第17章 安全设备规划与配置33.ppt

1、第17章 安全设备规划与配置,本章要点 网络安全设备概述 网络安全设计与配置 Cisco ASDM 配置,17.1 网络安全设备概述,无论是大中型企业网络，还是小型家庭办公网络，对网络安全方面的要求一直保持上升趋势。 解决网络安全问题最常用的防护手段就是安装相应的安全设备，尤其是对于大中型规模的网络而言，网络安全设备更是实现网络安全必不可少的装备。网络安全设备目前主要包括3种类型，即防火墙、IDS和IPS。,17.1.1 防火墙,Cisco PIX 535防火墙,防火墙的英文名称为“Fire Wall”，是目前最重要的一种网络防护设备。网络防火墙的主要功能就是抵御外来非法用户的入侵，就像是矗立

2、在内部网络和外部网络之间的一道安全屏障。,1. 防火墙的主要功能,防火墙的主要功能，一般来说主要有以下几个方面。,（1）创建一个阻塞点 （2） 隔离不同的网络 （3） 强化网络安全策略 （4） 包过滤 （5） 网络地址转换 （6） 流量控制和统计分析 （7） URL级信息过滤,2. 防火墙的局限性与脆弱性,17.1.2 IDS,入侵检测系统（Intrusion Detection Systems，IDS）作为一种网络安全的监测设备，依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。,1. IDS概述,不

3、同于防火墙，IDS入侵检测系统是一个监听设备，无需串接在任何链路中，无需网络流量流经该设备，即可监测到网络中的异常传输。事实上，IDS就是网络中的一个窃听设备，时刻关注着网络中的数据传输。,Cisco IDS,2. IDS的优势与缺陷,（1）IDS的优势,整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件。 对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。 独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证。 同一网段或

4、者同一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低,（2）IDS的缺陷,检测范围不够广。 检测效果不理想。 无力防御UDP攻击。 只能检测，不能防御。 无法把攻击防御在网络之外。 过分依赖检测主机。 难以突破百兆瓶颈。 性能有待提高。 伸缩性欠佳。 部署难度大。 安全策略不够丰富。,17.1.3 IPS,入侵防御系统（Intrusion Prevention System，IPS）的设计基于一种全新的思想和体系架构。工作于串联（IN-LINE）方式，采用ASIC、FPGA或NP（网络处理器）等硬件设计技术实现网络数据流的捕获，引擎综合特征检测、异常检测、DoS检测和缓冲区溢出检测

5、等多种手段；并使用硬件加速技术进行深层数据包分析处理，能高效、准确地检测和防御已知、未知的攻击及DoS攻击；并实施多种响应方式，如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等，突破了传统IDS只能检测不能防御入侵的局限性，提供了一个完整的入侵防护解决方案。,1. IPS概述,Cisco IPS设备,2. IPS的技术特征,作为信息安全保障主动防御的核心技术，IPS一般应具有下列主要的技术特征。,（1）完善的安全策略 （2）嵌入式运行模式 （3）丰富的入侵检测手段 （4）强大的响应功能 （5）高效的运行机制 （6）较强的自身防护能力,3. IPS的分类,IPS大致可以分为以下几

6、类。,（1）基于主机的入侵防御（HIPS） （2）基于网络的入侵防御（NIPS） （3）应用入侵防御（AIP）,4. IPS的技术优势,实时检测与主动防御是IPS最为核心的设计理念，也是其区别于防火墙和IDS的立足之本。为实现这一理念，IPS在如下5个方面实现了技术突破，形成了不可低估的优势。,（1）在线安装（In-Line）。 （2）实时阻断（Real-time Interdiction） （3）先进的检测技术（Advanced Detection Technology） （4）特殊规则植入功能（Build-in Special Rule） （5）自学习与自适应能力（Self-study &

7、 Self-adaptation Ability）,5. IPS的缺陷,IPS技术的缺陷主要包括4个方面，即单点故障、性能瓶颈、误报与漏报和总拥有成本较高。,（1）单点故障（Single-point Fault） （2）性能瓶颈（Performance Bottle-neck） （3）误报（False positive）与漏报（False negatives） （4）总体拥有成本（TOC）高,17.2 网络安全设计与配置,17.2.1防火墙设计,防火墙通常部署于网络的边界。边界可以是局域网与广域的、局域网与Internet的、不同子网之间，以及子网与服务器之间的等。,1. 内部网络与Inter

8、net的连接之间,防火墙分割的三个区域,内部区域,外部区域,DMZ区域,2. 连接局域网和广域网,局域网和广域网之间的连接是应用防火墙最多的网络，不过网络用户根据自己具体需要的不同，有两种连接方式可供选择。,DMZ区域,外部网络,存在边界路由器网络连接,内部网络,无边界路由器的网络连接,内部网络,外部网络,DMZ区域,3. 内部网络不同部门之间的连接,连接内部子网络,被保护网络,4. 用户与中心服务器之间的连接,虚拟防火墙,17.2.2 IDS设计,IDS一般位于内部网的入口处，安装在防火墙的后面，用于检测入侵和内部用户的非法活动，提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害

9、之前进行拦截和响应入侵处理。,1. IDS位置,服务器区域的交换机上,服务器,IDS,核心交换机,2. IDS与防火墙联动,IDS与防火墙协同工作,服务器,核心交换机,IDS,防火墙,17.2.3 IPS设计,1. 路由防护,IPS,内部服务器,核心交换机,DMZ区,网络客户端,路由防护，将IPS直接部署至路由器和核心交换机之间，借助网络的边界防护，实现IPS和防火墙功能，为整个网络提供网络安全保护。,2. 交换防护,将IPS作为网络核心，采用一进多出或多进多出的方式，实现不同网段相互连接，进行数据交换，同时实现防火墙功能。,内部服务器,网络客户端,IPS,3. 多链路防护,采用多路IPS的连

10、接方式，一路IPS防护一个ISP接入，各路IPS相互独立，彼此之间没有数据交换，互不干扰 。,内部服务器,网络客户端,外部服务器,IPS,核心交换机,4. 混合防护,多种模式分层防护，监控与防护相结合，更完善。在线NIPS模式与旁路NIDS模式相配合。,内部服务器,网络客户端,外部服务器,远程用户接入,IPS,IDS,17.2.3 综合安全设计,IDS,IPS,MARS,核心交换机集成 防火墙模块,路由器启用IOS防火墙,交换机启用IOS防火墙,17.3 Cisco ASDM配置,Cisco自适应安全设备管理器（Adaptive Security Device Manager ，ASDM）通过一个直观、易用、基于Web的管理界面，提供了世界级的安全管理和监控服务。结合Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备，Cisco ASDM提供的智能向导、强大的管理工具和灵活的监控服务，进一步增强Cisco安全设备套件提供的先进的集成安全和网络功能，从而加速安全设备的部署。其基于Web的安全设计可使用户能随时随地访问Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备。,17.3.1 Cisco ASDM简介,作为自适