第12章安全设备规划与配置 .pptxVIP

第12章 安全设备规划与配置 主讲人 刘晓辉333123本章内容安全设备规划与配置网络安全设计配置安全设备12.1 安全设备规划与配置 13.1.1 案例情景13.1.2 项目需求13.1.3 解决方案网关安全——网络防火墙局部安全——IDS全网安全防护——IPS12.2 网络安全设计 12.2.1 网络防火墙设计12.2.2 入侵检测系统设计12.2.3 入侵防御系统设计12.2.4 综合安全设计12.2.1 网络防火墙设计内部网络与Internet的连接之间连接局域网和广域网内部网络不同部门之间的连接用户与中心服务器之间的连接外部区域DMZ区域内部区域内部网络与Internet的连接之间外部网络内部网络DMZ区连接局域网和广域网存在边界路由器网络连接： 9、我们的市场行为主要的导向因素，第一个是市场需求的导向，第二个是技术进步的导向，第三大导向是竞争对手的行为导向。10、市场销售中最重要的字就是“问”。11、现今，每个人都在谈论着创意，坦白讲，我害怕我们会假创意之名犯下一切过失。12、在购买时，你可以用任何语言；但在销售时，你必须使用购买者的语言。13、He who seize the right moment, is the right man.谁把握机遇，谁就心想事成。14、市场营销观念：目标市场，顾客需求，协调市场营销，通过满足消费者需求来创造利润。15、我就像一个厨师，喜欢品尝食物。如果不好吃，我就不要它。16、我总是站在顾客的角度看待即将推出的产品或服务，因为我就是顾客。17、利人为利已的根基，市场营销上老是为自己着想，而不顾及到他人，他人也不会顾及你。连接局域网和广域网无边界路由器的网络连接： 外部网络 内部网络DMZ区被保护网络内部网络不同部门之间的连接用户与中心服务器之间的连接根据实施方式的不同分类： 每台服务器单独配置独立的防火墙配置虚拟网络防火墙核心交换机防火墙模块12.2.2 入侵检测系统设计IDS位置IDS与防火墙联动核心交换机服务器IDSIDS位置 IDS在交换式网络中一般选择如下位置：尽可能靠近攻击源；尽可能靠近受保护资源。这些位置通常在如下位置：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。防火墙核心交换机服务器IDS IDS与防火墙联动 IDS与防火墙联动 TCP重置的缺陷：只对TCP连接起作用。IDS向攻击者和受害者发送TCP Reset命令，IDS必须在40亿字节的范围内猜测到达受害者时的序列号数，以关闭连接。这种方法在实际上是不可实现的。即使IDS最终猜测到了到达受害者的序列号，关闭了连接，攻击实际上已经对受害者产生了作用。 IDS与防火墙联动 IDS与防火墙联动的缺点：使用和设置上复杂，影响FW的稳定性与性能。阻断来自源地址的流量，不能阻断连接或单个数据包。黑客盗用合法地址发起攻击，造成防火墙拒绝来自该地址的合法访问。可靠性差，实际环境中没有实用价值。12.2.3 入侵防御系统设计路由防护交换防护多链路防护混合防护 路由防护 交换防护 多链路防护 混合防护 12.2.4 综合安全设计 知识链接网络防火墙——Cisco PIX和ASAIDS与IPS比较部署位置不同。检测方式不同。处理攻击的方式不同。12.3 配置安全设备 12.3.1 Cisco ASA连接策略12.3.2 Cisco ASDM初始化12.3.3 网络设备集成化管理12.3.4 安全策略设置12.3.5 配置DMZ12.3.6 管理安全设备12.3.1 Cisco ASA连接策略安全Internet连接： InternetCisco ASA路由器私有网络12.3.1 Cisco ASA连接策略虚拟网络防火墙： 12.3.1 Cisco ASA连接策略发布网络服务器： 12.3.1 Cisco ASA连接策略VPN远程安全访问： 12.3.1 Cisco ASA连接策略站点VPN： 12.3.1 Cisco ASA连接策略Cisco ASA典型应用： 12.3.2 Cisco ASDM初始化安装前的准备 第1步，获得一个DES许可证或3DES-AES许可证。 第2步，在Web浏览器启用Java and Javascript。 第3步，搜集下列信息：? ? 在网络中能够识别自适应安全设备的主机名。? 外部接口、内部接口和其他接口的IP地址信息。? 用于NAT或PAT配置的IP地址信息。? DHCP服务器的IP地址范围。使用Startup Wizard12.3.3 网络设备集成化管理 对于Cisco AIP-SSM的全面管理服务虚拟化安全服务的世界级管理12.3.4 安全策略设置 在安全策略设置