安全设备规划与配置

安全设备规划与配置第一页，共三十二页，编辑于2023年，星期日17.1网络安全设备概述无论是大中型企业网络，还是小型家庭办公网络，对网络安全方面的要求一直保持上升趋势。解决网络安全问题最常用的防护手段就是安装相应的安全设备，尤其是对于大中型规模的网络而言，网络安全设备更是实现网络安全必不可少的装备。网络安全设备目前主要包括3种类型，即防火墙、IDS和IPS。第二页，共三十二页，编辑于2023年，星期日17.1.1防火墙

CiscoPIX535防火墙

防火墙的英文名称为“FireWall”，是目前最重要的一种网络防护设备。网络防火墙的主要功能就是抵御外来非法用户的入侵，就像是矗立在内部网络和外部网络之间的一道安全屏障。

第三页，共三十二页，编辑于2023年，星期日1.防火墙的主要功能防火墙的主要功能，一般来说主要有以下几个方面。（1）创建一个阻塞点（2）隔离不同的网络（3）强化网络安全策略（4）包过滤（5）网络地址转换（6）流量控制和统计分析（7）URL级信息过滤2.防火墙的局限性与脆弱性第四页，共三十二页，编辑于2023年，星期日17.1.2IDS入侵检测系统（IntrusionDetectionSystems，IDS）作为一种网络安全的监测设备，依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。第五页，共三十二页，编辑于2023年，星期日1.IDS概述不同于防火墙，IDS入侵检测系统是一个监听设备，无需串接在任何链路中，无需网络流量流经该设备，即可监测到网络中的异常传输。事实上，IDS就是网络中的一个窃听设备，时刻关注着网络中的数据传输。

CiscoIDS第六页，共三十二页，编辑于2023年，星期日2.IDS的优势与缺陷（1）IDS的优势

●整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件。●对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。●独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证。●同一网段或者同一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低

第七页，共三十二页，编辑于2023年，星期日（2）IDS的缺陷●检测范围不够广。●检测效果不理想。●无力防御UDP攻击。●只能检测，不能防御。●无法把攻击防御在网络之外。●过分依赖检测主机。●难以突破百兆瓶颈。●性能有待提高。●伸缩性欠佳。●部署难度大。●安全策略不够丰富。第八页，共三十二页，编辑于2023年，星期日17.1.3IPS

入侵防御系统（IntrusionPreventionSystem，IPS）的设计基于一种全新的思想和体系架构。工作于串联（IN-LINE）方式，采用ASIC、FPGA或NP（网络处理器）等硬件设计技术实现网络数据流的捕获，引擎综合特征检测、异常检测、DoS检测和缓冲区溢出检测等多种手段；并使用硬件加速技术进行深层数据包分析处理，能高效、准确地检测和防御已知、未知的攻击及DoS攻击；并实施多种响应方式，如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等，突破了传统IDS只能检测不能防御入侵的局限性，提供了一个完整的入侵防护解决方案。第九页，共三十二页，编辑于2023年，星期日1.IPS概述CiscoIPS设备

第十页，共三十二页，编辑于2023年，星期日2.IPS的技术特征作为信息安全保障主动防御的核心技术，IPS一般应具有下列主要的技术特征。（1）完善的安全策略（2）嵌入式运行模式（3）丰富的入侵检测手段（4）强大的响应功能（5）高效的运行机制（6）较强的自身防护能力第十一页，共三十二页，编辑于2023年，星期日3.IPS的分类IPS大致可以分为以下几类。（1）基于主机的入侵防御（HIPS）（2）基于网络的入侵防御（NIPS）（3）应用入侵防御（AIP）第十二页，共三十二页，编辑于2023年，星期日4.IPS的技术优势实时检测与主动防御是IPS最为核心的设计理念，也是其区别于防火墙和IDS的立足之本。为实现这一理念，IPS在如下5个方面实现了技术突破，形成了不可低估的优势。（1）在线安装（In-Line）。（2）实时阻断（Real-timeInterdiction）（3）先进的检测技术（AdvancedDetectionTechnology）（4）特殊规则植入功能（Build-inSpecialRule）（5）自学习与自适应能力（Self-study&Self-adaptationAbility）第十三页，共三十二页，编辑于2023年，星期日5.IPS的缺陷IPS技术的缺陷主要包括4个方面，即单点故障、性能瓶颈、误报与漏报和总拥有成本较高。（1）单点故障（Single-pointFault）（2）性能瓶颈（PerformanceBottle-neck）（3）误报（Falsepositive）与漏报（Falsenegatives）（4）总体拥有成本（TOC）高第十四页，共三十二页，编辑于2023年，星期日17.2网络安全设计与配置17.2.1防火墙设计防火墙通常部署于网络的边界。边界可以是局域网与广域的、局域网与Internet的、不同子网之间，以及子网与服务器之间的等。第十五页，共三十二页，编辑于2023年，星期日1.内部网络与Internet的连接之间

防火墙分割的三个区域内部区域外部区域DMZ区域第十六页，共三十二页，编辑于2023年，星期日2.连接局域网和广域网局域网和广域网之间的连接是应用防火墙最多的网络，不过网络用户根据自己具体需要的不同，有两种连接方式可供选择。第十七页，共三十二页，编辑于2023年，星期日DMZ区域外部网络存在边界路由器网络连接内部网络第十八页，共三十二页，编辑于2023年，星期日无边界路由器的网络连接内部网络外部网络DMZ区域第十九页，共三十二页，编辑于2023年，星期日3.内部网络不同部门之间的连接连接内部子网络被保护网络第二十页，共三十二页，编辑于2023年，星期日4.用户与中心服务器之间的连接虚拟防火墙第二十一页，共三十二页，编辑于2023年，星期日17.2.2IDS设计IDS一般位于内部网的入口处，安装在防火墙的后面，用于检测入侵和内部用户的非法活动，提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前进行拦截和响应入侵处理。

第二十二页，共三十二页，编辑于2023年，星期日1.IDS位置服务器区域的交换机上服务器IDS核心交换机第二十三页，共三十二页，编辑于2023年，星期日2.IDS与防火墙联动

IDS与防火墙协同工作服务器核心交换机IDS防火墙第二十四页，共三十二页，编辑于2023年，星期日17.2.3IPS设计1.路由防护IPS内部服务器核心交换机DMZ区网络客户端路由防护，将IPS直接部署至路由器和核心交换机之间，借助网络的边界防护，实现IPS和防火墙功能，为整个网络提供网络安全保护。

第二十五页，共三十二页，编辑于2023年，星期日2.交换防护将IPS作为网络核心，采用一进多出或多进多出的方式，实现不同网段相互连接，进行数据交换，同时实现防火墙功能。

内部服务器网络客户端IPS第二十六页，共三十二页，编辑于2023年，星期日3.多链路防护采用多路IPS的连接方式，一路IPS防护一个ISP接入，各路IPS相互独立，彼此之间没有数据交换，互不干扰。内部服务器网络客户端外部服务器IPS核心交换机第二十七页，共三十二页，编辑于2023年，星期日4.混合防护多种模式分层防护，监控与防护相结合，更完善。在线NIPS模式与旁路NIDS模式相配合。内部服务器网络客户端外部服务器远程用户接入IPSIDS第二十八页，共三十二页，编辑于2023年，星期日17.2.3综合安全设计IDSIPSMARS核心交换机集成

防火墙模块路由器

启用IOS防火墙交换机

启用IOS防火墙第二十九页，共三十二页，编辑于2023年，星期日17.3CiscoASDM配置Cisco自适应安全设备管理器（AdaptiveSecurityDeviceManager，ASDM）通过一个直观、易用、基于Web的管理界面，提供了世界级的安全管理和监控服务。结合CiscoASA5500系列自适应安全设备和CiscoPIX安全设备，CiscoASDM提供的智能向导、强大的管理工具和灵活的监控服务，进一步增强Cisco安全设备套件提供的先进的集成安全和网络功能，从而加速安全设备的部署。其基于Web的安全设计可使用户能随时随地访问CiscoASA5500系列自适应安全设备和CiscoPIX安全设备。第三十页，共三十二页，编辑于2023年，星期日17.3.1CiscoASDM简介作为自适应安全设备管理器，C