5-2《云安全产品配置与应用》课程-安全审计篇-方案设计与课件

1、云安全产品配置与应用之安全审计篇方案设计与产品部署云安全产品配置与应用之安全审计篇任务目标任务1：学习使用安全审计设备设计网络安全方案子任务A：需求分析子任务B：方案设计任务2：学习安全审计中实际部署中的配置子任务A：安全审计部署策略设计子任务B：安全审计配置学习目标掌握一般网络安全方案设计方法熟悉安全审计配置策略设计了解天融信安全审计实际操作本讲主要内容任务目标本讲主要内容需求分析的基本过程了解现状分析现状确定需求（目标）了解分析确定需求分析的基本过程了解现状分析现状确定需求（目标）了解分析确需求分析需求分析 是整个活动中非常关键的一个环节，错误的分析，会导致后期工作无法开展 了解现状 信息

2、系统情况 网络使用情况 明显存在的问题 分析现状 信息系统的重要性及对网络的依赖性 网络的可靠性 发生风险事件时的影响范围和破坏程度 确定需求 确定用户的真实需求确定网络安全建设目标需求分析需求分析 是整个活动中非常关键的一个环节，错误的分析需求分析了解现状如何去了解现状？交流、沟通交流什么 ？ 沟通什么 ？是否发生过网络安全事件 ？要信息系统应用及范围 ？网络拓扑情况 ？目前采取了什么样的网络安全防护手段 ？有什么网络安全规划 ？今后的信息系统扩展可能会如何 ？需求分析了解现状如何去了解现状？需求分析分析现状前提了解到的现状，准确了解到的需求准确分析分析现状情况下，存在的网络安全风险分析风险

3、发生时，可能带来的破坏情况分析如何通过部署网络安全设备，处置上述风险分析部署网络安全设备后的效果分析扩展性和延续性需求分析分析现状前提需求分析了解、分析、确定 了解现状、分析现状，实际并没有那么明确的界限，一般是在与客户沟通过程中，穿插进行的。在完成语言的交流后，根据需要进一步以书面方式提交相关报告在完成现状了解、分析后，需求与目标的确定就自然而然的确定了需求分析了解、分析、确定 了解现状、分析现状，实际并没有那需求分析举例需求分析举例企业的财务系统、办公系统及人力资源系统等均已实现信息化、网络化，基本实现无纸化办公；企业核心应用均已经接入企业局域网，部分应用并通过局域网接入到互联网；企业对计

4、算机、网络的依赖性极大，员工的工作时间基本都是在办公电脑前度过的。企业的核心数据均采用网络方式传输，对带宽要求很高，目前该企业的网络出口带宽为50M。需求分析了解、分析企业的财务系统、办公系统及人力资源系统等均已实现信息化、网络虽然企业网络带宽需求量很大，但在正常工作使用的情况下，目前50M的出口带宽是可以满足基本需求的。网络拥堵的主要原因是由于缺少监控手段，很多员工上班时使用BT、电驴等P2P软件下载电影，回家后观看；另一种情况是进行大量的网上资源下载，图一己之利，多数人都不进行限速。这样大流量的下载，将企业网带宽占满；企业中普遍存在着员工使用大量工作时间浏览与工作无关网页，比如娱乐八卦、新

5、闻、长篇小说等，导致工作效率较低；员工利用工作时间炒股的现象比较严重；企业网缺少必要的监控和审计手段，员工利用网络的外发的信息不可控。 需求分析确定目标虽然企业网络带宽需求量很大，但在正常工作使用的情况下，目前5需求分析方案设计方案评审方案评审 ：对提交的方案进行分析、审核，是否可以满足需求分析中确定的目标.（客户或专家评审）方案设计 ：根据需求分析与目标，设计可以满足要求的网络安全解决方案.需求分析 ：根据了解到的现状，分析切实可行的需求.确定最佳解决方案需求分析方案设计方案评审方案评审 ：对提交的方案进行分析方案设计采用网关方式串联部署设备，使其发挥最大功效；封堵BT、电驴等与工作无关的P

6、2P下载应用，如有员工确实因为工作需要进行P2P下载，应通过办公网上的流程向信息中心申请；根据单位各部门、各系统实际需求情况，设立用户组，合理分配带宽；封堵各种炒股软件、游戏等应用程序连接到互联网；对HTTP、FTP、SMTP、POP3等协议进行安全审计，以对Web浏览、数据传输、外发邮件等进行安全监控，做到有据可查；信息中心会同行政部门，共同制定员工上网行为的规章条例，对通过会议等方式对员工进行教育和安抚。方案设计采用网关方式串联部署设备，使其发挥最大功效；方案设计举例方案设计举例设计方案编写使用客户最认可的、容易理解的手段，以文字+图形方式表现出来Word使用能力PPT使用能力Visio使

7、用能力设计方案编写使用客户最认可的、容易理解的手段，Word使用能防火墙部署设计方案目录展示防火墙部署设计方案目录展示5-2云安全产品配置与应用课程-安全审计篇-【方案设计与课件防火墙部署设计方案展示方案展示（使用成功方案案例）防火墙部署设计方案展示方案展示（使用成功方案案例）任务目标任务1：学习使用安全审计设备设计网络安全方案子任务A：需求分析子任务B：方案设计任务2：学习安全审计中实际部署中的配置子任务A：安全审计部署策略设计子任务B：安全审计配置学习目标掌握一般网络安全方案设计方法熟悉安全审计配置策略设计了解天融信安全审计实际操作本讲主要内容任务目标本讲主要内容配置策略设计可以不用文字形

8、式表现出来，可以在头脑中策划；是不可跳过的一个步骤，不了解安全审计具体的部署、配置策略，如何进行下一步的安全审计配置 ？（没有乐谱，如何弹奏）部署、策略设计与网络环境、应用情况关系密切，必须确认真实、准确的安全审计部署与需要实现的功能要求；配置策略设计可以不用文字形式表现出来，可以在头脑中策划；配置策略设计安全审计接口接口名称接口IP地址对端设备eth11,2口配置为桥接，管理ip为0路由器接口eth2防火墙接口配置策略设计安全审计接口接口名称接口IP地址对端设备eth安全审计使用透明模式接入网络中；为需要监控的网段选择好监控策略（一般来说根据需求选择定义策略）；为需要网段选择好带宽控制策略。

9、配置策略设计安全审计策略配置安全审计使用透明模式接入网络中；配置策略设计安全审计策略配添加桥接口。打开网络控制网络管理-网络接入，进入802.1d Bridge页面，添加一个桥，如下图：在本页面点击添加按钮，进行添加桥的配置 （ip地址配置为0/24，接口选择为eth1和eht2,并选择“生效”）安全审计配置实践-接口配置添加桥接口。打开网络控制网络管理-网络接入，进入802打开网络控制-网络管理-路由配置，在此处加上默认路由，即网关到下一跳的路由，可以根据具体情况选择加入回指路由；如果需要地址映射，则打开网络控制-NAT配置，添加地址转换规则，例如内网地址范围为/24，网络出口地址为，只需在

10、SNAT中添加规则：转换前地址（段）栏中输入/24，在“转换后地址池开始”栏中输入，“转换后地址池结束”栏中同样输入，最后在“设备接口名”栏中输入对应的接口名即可。 安全审计配置实践-路由配置打开网络控制-网络管理-路由配置，在此处加上默认路由，即 模块规则是审计和控制的主要功能设置点，这里包括内容较为丰富，需要逐个进行设置。 添加模块规则的步骤如下：首先填写要监控的 IP 地址（IP、IP 段），或者从列表中选择部门/用户/策略组（支持CTRL、SHIFT 键进行多选）；然后在模块列表中选择要监控启动的模块(支持CTRL、SHIFT 键进行多选)；填写本条规则的优先级，默认为500；值越小，

11、优先级越高。可以针对所选择模块设定具体项目；针对“项目”的设定，选择对应的关系；针对“项目”及“关系”的设置，输入对应的管理内容；然后用鼠标点选模块的启动时间：包括星期和时间；选择相应的处理动作 每个模块都有可选择的细项，如点击发送邮件，如图可看见6个小项，可根据这项项目进行审计、阻断、告警。如果要阻断，则先要设置审计，优先级为500，然后再设置一个阻断，把优先级设置为400，相当于设置一个阻断，必须要设置两条规则才能起作用，唯一不同的地方是优先级不一样。Bypass设置的目的是让这里的IP地址和网络行为不受限制和审计。Bypass要激活才能生效安全审计配置实践-审计策略配置 模块规则是审计和

12、控制的主要功能设置5-2云安全产品配置与应用课程-安全审计篇-【方案设计与课件设定需要监控的网络接口。打开网络控制网络管理-网络接入，在以太网卡的设置页面选择需要监控的以太网接口；打开网络控制网络管理-网络接入，进入到本地网段页面，添加本地网段，一般是需要监控的网段； 打开网络审计-审计配置-模块规则，点击页面的【添加】按钮，添加网络应用的审计规则；（按照您自己的需要，在指定IP段输入需要监控的IP，在右侧模块列表中选择需要监控的网络应用，然后依次设定优先级、动作、策略状态等。在完成上述设置后，点击确认按钮，即可完成策略添加 ）在返回的页面中点击【应用】按钮，即可使新添加的策略生效 安全审计配置实践-安全策略应用设定需要监控的网络接口。打开网络控制网络管理-网络接入如果设备需要设置阻断或带宽控制，那么这里必须指定内网、外网，而且必须设置正确，并且运行模式的控制功能一定要启用，否则带宽控制无法生效 ；在带宽策略列表中添加控制网段或IP，选择好控制的程序类型（如P2P等），设定好上下行的带宽。安全审计配置实践-带宽配置如果设备需要设置阻断或带