首页 第12章安全设备规划与配置

第12章安全设备规划与配置

举报
开通vip

第12章安全设备规划与配置第12章安全设备规划与配置主讲人刘晓辉本章内容安全设备规划与配置网络安全设计配置安全设备12.1安全设备规划与配置13.1.1案例情景13.1.2项目需求13.1.3解决方案网关安全——网络防火墙局部安全——IDS全网安全防护——IPS12.2网络安全设计12.2.1网络防火墙设计12.2.2入侵检测系统设计12.2.3入侵防御系统设计12.2.4综合安全设计12.2.1网络防火墙设计内部网络与Internet的连接之间连接局域网和广域网内部网...

第12章安全设备规划与配置
第12章安全设备规划与配置主讲人刘晓辉本章内容安全设备规划与配置网络安全设计配置安全设备12.1安全设备规划与配置13.1.1案例情景13.1.2项目需求13.1.3解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 网关安全——网络防火墙局部安全——IDS全网安全防护——IPS12.2网络安全设计12.2.1网络防火墙设计12.2.2入侵检测系统设计12.2.3入侵防御系统设计12.2.4综合安全设计12.2.1网络防火墙设计内部网络与Internet的连接之间连接局域网和广域网内部网络不同部门之间的连接用户与中心服务器之间的连接内部网络与Internet的连接之间连接局域网和广域网存在边界路由器网络连接:连接局域网和广域网无边界路由器的网络连接:DMZ区 内部网络外部网络内部网络不同部门之间的连接用户与中心服务器之间的连接 每台服务器单独配置独立的防火墙 配置虚拟网络防火墙根据实施方式的不同分类:核心交换机防火墙模块12.2.2入侵检测系统设计IDS位置IDS与防火墙联动IDS位置IDS在交换式网络中一般选择如下位置: 尽可能靠近攻击源; 尽可能靠近受保护资源。这些位置通常在如下位置: 服务器区域的交换机上; Internet接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上。IDS与防火墙联动IDS与防火墙联动TCP重置的缺陷:只对TCP连接起作用。IDS向攻击者和受害者发送TCPReset命令,IDS必须在40亿字节的范围内猜测到达受害者时的序列号数,以关闭连接。这种方法在实际上是不可实现的。即使IDS最终猜测到了到达受害者的序列号,关闭了连接,攻击实际上已经对受害者产生了作用。IDS与防火墙联动IDS与防火墙联动的缺点:使用和设置上复杂,影响FW的稳定性与性能。阻断来自源地址的流量,不能阻断连接或单个数据包。黑客盗用合法地址发起攻击,造成防火墙拒绝来自该地址的合法访问。可靠性差,实际环境中没有实用价值。12.2.3入侵防御系统设计路由防护交换防护多链路防护混合防护路由防护交换防护多链路防护混合防护12.2.4综合安全设计知识链接网络防火墙——CiscoPIX和ASAIDS与IPS比较部署位置不同。检测方式不同。处理攻击的方式不同。12.3配置安全设备12.3.1CiscoASA连接策略12.3.2CiscoASDM初始化12.3.3网络设备集成化管理12.3.4安全策略设置12.3.5配置DMZ12.3.6管理安全设备12.3.1CiscoASA连接策略安全Internet连接:CiscoASA私有网络路由器Internet12.3.1CiscoASA连接策略虚拟网络防火墙:12.3.1CiscoASA连接策略发布网络服务器:12.3.1CiscoASA连接策略VPN远程安全访问:12.3.1CiscoASA连接策略站点VPN:12.3.1CiscoASA连接策略CiscoASA典型应用:12.3.2CiscoASDM初始化安装前的准备 第1步,获得一个DES许可证或3DES-AES许可证。 第2步,在Web浏览器启用JavaandJavascript。 第3步,搜集下列信息:  在网络中能够识别自适应安全设备的主机名。 外部接口、内部接口和其他接口的IP地址信息。 用于NAT或PAT配置的IP地址信息。 DHCP服务器的IP地址范围。使用StartupWizard12.3.3网络设备集成化管理对于CiscoAIP-SSM的全面管理服务虚拟化安全服务的世界级管理12.3.4安全策略设置在安全策略设置上,通常包括以下几种设置: 内到外全部允许,外到内全部拒绝。 内到外和外到内都要做ACL控制、映射、NAT。 设置IPSec、L2TP、SSLVPN。12.3.5配置DMZ运行ASDM为NAT创建IP地址池为外部端口指定IP地址池配置内部客户端访问DMZ区的Web服务器配置内部客户端访问Internet为Web服务器配置外部ID允许Internet用户访问DMZ的Web服务12.3.5配置DMZWeb服务器连接至安全设备的DMZ接口。HTTP客户端位于私有网络,可以访问位于DMZ中的Web服务器,并且可以访问Internet中的设备。Internet中的HTTP客户端允许访问DMZ区的Web服务器,除此之外的其他所有的通信都被禁止。网络有2个可路由的IP地址可以被公开访问:安全设备外部端口的IP地址为209.165.200.225,DMZ中Web服务器的公开IP地址为209.165.200.226。运行ASDM运行ASDM为NAT创建IP地址池为外部端口指定IP地址池配置内部客户端访问DMZ区的Web服务器配置内部客户端访问Internet 借助NAT规则,可以实现内部客户端对DMZ区中Web服务器的访问。当然,借助NAT规则也应当能够实现内部客户端对Internet的访问。不过,管理员无需再创建任何规则,因为IP地址池包括了2种需要转换的地址,即DMZ接口使用的IP地址,和外部接口使用的IP地址。为Web服务器配置外部ID允许Internet用户访问DMZ的Web服务12.3.6管理安全设备监视安全设备运行状态查看和分析网络流量查看和分析系统日志安全监控工具监视安全设备运行状态查看和分析网络流量查看和分析系统日志安全监控工具 监控工具 系统图 连接图 攻击保护系统图 接口图 VPN统计和连接图习题1.企业网络中常用的安全设备有哪些?主要应用在网络中的哪些位置?2.简述IPS的主要功能。3.简述CiscoASA些列产品有的功能特点。4.什么是DMZ,如何通过CiscoASA防火墙配置DMZ?实验:设计安全企业网络实验目的 掌握常用安全网络设备的部署与应用。实验内容 设计一个简单的企业网络,分别将网络防火墙、IPS、IDS等设 备应用到网络中的不同位置。实验步骤 1.设计网络环境,绘制简单的网络拓扑图。 2.按照网络拓扑图连接网络设备。 3.为网络设备分配IP地址,并通过客户端测试彼此之间的连通 性。 4.通过客户端观察网络设备的运行状态。 5.调阅网络设备运行日志并进行分析。
本文档为【第12章安全设备规划与配置】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_808969
暂无简介~
格式:ppt
大小:3MB
软件:PowerPoint
页数:0
分类:建筑/施工
上传时间:2018-11-18
浏览量:3