《HCSE-Security培训总结》由会员分享,可在线阅读,更多相关《HCSE-Security培训总结(5页珍藏版)》请在金锄头文库上搜索。
1、H3CSE-Security 培训总结8月28日到9月7日期间,我参加了H3C公司举办的H3CSE-Security培训。H3C公司现在有了独立的网络安全产品线,对这一方面产品的投入不断增大,希望能在网络安全生品这一领域做成国内(品牌)第一。为配合产品的销售推广,最近H3C针对处代理商及相关客户开办了一系列的H3CSE网络安全培训。本次培训共有十天,4门课程包括有:布置安全防火墙系统、H3C安全新产品新特性构建VPN网络高级IPS系统配置。前3门为考试课程,IPS系统只讲了半天的课程考试不做要求。培训分为讲课及实验两部分,一般上午讲课为主,下午及晚上为实验及答疑时间。下面对各门课程的内容做一下
2、简要介绍。 一、布暑安全防火墙系统防火墙的课程大概可以分为三个方面的内容第一部分为对防火墙技术及网络安全做了一些概念性的介绍,指出了防火墙的几项必备技术:网络隔离及访问控制、攻击防范、地址转换(NAT)应用层状态检测(ASPF)、微分认证、内容安全过滤,安全管理。第二部分介绍了H3C SecPath 的防火墙系系列产品,主要对现有的产品在业务性能及典型应用,做了相应介绍。第三部分为这门课程的主机内容,主要讲了网络安全技术在H3C防火墙产品上的实现。防火墙的图形化管理系统:web管理,BIMS及VPN Manger管理软件。BIMS软件实现了对大量防火墙设备的升级及配置文件管理,VPN Mang
3、er 提供了对VPN网络的监控及布置功能。安全区域:把防火墙的端口加入不同的安全区域,实现对不同网络的隔离接入。需要注意的一点是防火墙的所有端口(除loopback口)都要要加入到相应的区域中,不然不能转发数据。访问控制列表(ACL):4种ACL,基于接口的ACL(1000-1999)、基本防问控制列表(2000-2999)、高级防问控制列表(3000-3999)、基于MAC的访问控制列表(4000-4999)。需要注意的是,基于接口的ACL只能用的防火墙接口的outbound方向;基于MAC的ACL只能用于透明模式及模合模式的桥模式下。包过滤技术:实现包过滤技术的核心技术是ACL,主要讲了A
4、SPF及黑名单技术。ASPF能够对双通道的应用层协议及TCP/UDP进行检测,从而实现对数据流的单访问控制。黑名单是根据数据的源地址进行过滤的一种技术,防火墙可以根据具体应用(主要指攻击防范)动态的添加及删除黑名单,实现对网络的安全防护。地址转换(NAT):地址转换可以实现对网络的单向访问,即保护了网络的安全又解决了公有IP地址短缺的问题。H3C可以实现的地址转换方式主要有:多对多地址转换、网络地址端口转换(NAPT)、Easy IP(直接使用接口上的公有IP转换)、NAT Server(通过地址及端口映射实现外部对内部网络的访问)报文统计:H3C主要提供了以下三种报文统计功能,系统统计、域统
5、计、IP统计。报文统计的功能应该是通过报文统计,监控网络状况,根据具体应用设置的安全阀值,来触发网络系统的安全防护措施。攻击防范:本节内容介绍了常见的网络攻击行为及基本原理,并启用防火墙的各项防范功能对网络进行安全防护。网页过滤和邮件过滤:这一部分应该就是前面提到的防火墙技术中的内容过滤。H3C对web的访问可以对网页内容及网址(url)过滤,邮件可以通过对邮件的内容、附件、主题、收件人地址进行过滤。需要注意的是:1、要实现内容过滤必须先配置ASPF策略对http或smtp以及tcp进行检测;2、配置完成后要记得把配置后的策略保存为一个文件;3、如防火墙重新启动,需要调用保存的配置文件。用户认
6、证:分别对AAA、RADIUS、HWTACASC 做了介绍及相关配置。在了解以上几种协议的基础上,注意RADIUS和HWTACASC的一些区别。R认证授统一,H分别进行;R使用UDP传输,H使用TCP;R对论证密码加密,H对全体报文加密;R适用于记费,H适用于安全控制。H支持对网关上的配置命令授权,R不支持。运行模式和双机备份:H3C的SecPath防火墙,支持三种工作模式:路由模式,透明模式,混合模式。路由模式布置防火墙需要对现有网络结构进行修改,而透明模式可以直接把防火墙串到网络中而不修改网络结构。需要注意的是防火墙在路由模式下的转发性能更强一些。双机热备:主要指的是用VRRP技术实现防火
7、墙设备的冗余备份。二、构建安全VPN网络VPN课程也可以分为三部分。第一部分为H3C的VPN安全产品介绍,主要讲了安全网关家族成员,业务特性及维护配置基础。第二部分为VPN技术原理及相关的加密算法。第三部分为H3C设备的VPN业务实现。下面对技术原理及业务实现做一下简要介绍。VPN定义:利用公共网络(比如:Internet、帧中继、ATM等)来构建的私有网络被称为VPN(Virtual Private Network)。VPN的安全性,是通过一系列的安全协议及算法实现的。VPN的分类:按应用类型(对象)分为三类:Access VPN(指远程流动员工接入到公司网络)、Intranet VPN(指
8、分枝机构与公司总部的网络连接)、Extranet VPN(指企业与合作伙伴间的网络连接);按实现层次可分为:二层隧道VPN(可以对数据的二层帧封装传递)、三层隧道VPN(只对网络层的数据包进行封培育传递)加密算法:通过一系列的加密协议及算法保证数据在网络上的安全传输,主要有安全需求有以下几方面:私密性:通过加密实现,加密分为对称加密(密钥算法有:DES/3DES,ASE,RC4)和非对称加密(密钥算法有:DH,RSA)完整性:通过数据摘要(也叫MAC:消息验证码)实现,主要为摘要算法有MD5、SHA1身份验证:使用x.509v3证书和数据签名(对报文的摘要用私钥加密,得到的结果被称为数据签名)
9、。PKI体系结构:PKI是一个签发证书、传播证书、使用证书的环境,保证了公钥的可获得性、真实性、完整性。L2TP VPN:L2TP VPN是二层隧道VPN,是Access VPN的主要实现方式,也被称为VPDN。H3C二层隧道VPN只支持L2TP。L2TP VPN有两种发起方式,基于用户的和基于NAS。需要注意的是L2TPVPN只能实现对用户的认证接入,但不能实现对数据流的加密传输。GRE VPN:GRE VPN是一种三层VPN隧道协议、应用于Intranet VPN及Extranet VPN。GRE是利用一种网络层协议对另一种网络层协议B的报文进行封装,从而实现报文在异种网络中的传输。异种报
10、文传输的通道称为tunnel(隧道),Tunnel是一个虚拟的点对点的连接,并在tunnel的两端分别对数据进行封装及解封装。GRE数据使用47号协议直接封装在IP层之上,并且不能对数据进行加密。IPsec VPN:IPSec VPN是一种三层VPN实现机制,通过一系列安全协议及加密算法保证私有网络数据在公共网络上传输的私有性、完整性、真实性及反重放。IPsec包括AH(协议号51)和ESP(协议号50)两个协议,并有隧道(tunnel)及传送(transport)两种工作模式。通过配置可以实现IPSec的NAT穿越。IKE(Intelnet Key Exchange):是IPSEC 的信令协
11、议,为IPSec提供了自动协商交你密钥、建立安全联盟的服务。IKE可以在不安全的网络上安全的分发密钥,验证身份建立IPSEC安全联盟。IKE协商分两个阶段:先建立IKE SA,再在IKE SA的保护下完成IPSec协商。 DVPN(动态VPN):DVPN是华为的专利技术,使用C/S结构(其中一台DVPN接入设备做为Server,其它DVPN接入设备做为Client)实现了不同分支机构间VPN的动态建立。Client向Server注册信息。报文使用UDP封装,以保证NAT穿越。SSL VPN:SSL协议是一种位于应用层和TCP层之间,向上层提供加密安全服务协议。SSL对应用层提供了安全可靠的有连
12、接服务,对所传输的数据提供了私性的保护、完整性的校验,以及对端身份的验证。SSL VPN是应用SSL协议在客户端和企业之间建立的加密隧道。为减轻服务器加解密负担,一般使用SSL VPN网关代替服务器来应答客户端发起的SSL连接,并负责对收发的数据进行加解密。SSL代理与后台服务器之间将以明文方式进行加密通讯。目前H3C的SSL VPN功能以在网络设备上安装SSL VPN插卡的方式实现。通过老师的的演示及做实验,发现SSL VPN还是非常实用的,配置简单管理方便,客户端不用安装软件,以对资源的访问权限及客户端的使用环境控制的也很细致。移动客户VPN:H3C移动客户VPN指的是通过在客户端的PC机
13、上安装客户端软件(iNode)和硬件(SecKey),直接过通互联网拨入到公司网络连接。这种VPN就是H3C的基于客户端发起的Access VPN的接入方式。VPN客户端有两种工作模式:L2TP,VPN客户端同时做为L2TP协议的LAC和ppp用户,通过L2TP协议和中心网关建立L2TP隧道;L2TP Over IPSec ,VPN客户端首先和中心网关建立IPSec隧道,然后在IPSEC隧道上建立L2TP隧道通信。VPN可靠性:H3C VPN可靠性,指的是解决VPN网关设备的单点故障,以及VPN单条链路的故障检测问题。设备单故障解决:布暑两台设备通过VRRP实现设备的冗余备份,自动切换。链路备
14、份:使用动态路由或者侦测组方式实现在链路状态的监测,从而实现通信线路的快速切换。三、H3C安全新产品新特性课程的内容,像课程的名子一样,主要介绍了H3C的一些新的安全产品和安全产品所支持的新特性。目前H3C的安全产品主要有以下几种:防火墙、VPN网关、IDS、IPS、防毒墙,安全中心等。需要注意的是本课程介绍的网络安全产品的新特性,只有中高端的防火墙硬件支持,并且需要把防火墙的系统软件版本升级到E1622P02以下才可以,使用时请注意产品说明。SecCemter 安全中心:该产品的主要作用是收集主机及网络设备的日志信息,对信息实时监控且可以产生报警信息,对生成报告进行分析,并具有审计功能的系统
15、。安全中心由硬件服务器及安装在服务器上的软件组成。服务器装有windows2003操作系统,配有多块网卡(用于收集不同网络日志信息),拥有大容量硬盘。网络设备需要把日志输出指向安全中心后,安全中心就会自动添加网络设备,并可以对其进行日志管理。对于主机设备,需要在安全中心上手动添加,以获取日志信息。培训的时候看了一个H3C做的河南农行的实例,感觉产品功能还是比较强的,只是报价有些贵。ASM防毒卡:H3C提出了一个OAA(开放业务架构)的概念,H3C的部分产品为第三方厂商(主要应该是与其它厂商间的合作吧)硬件及软件的接口插糟,从而能使用H3C的网络安全产品可以提供附加的安全功能。ASM防毒卡及后面
16、提到的NSM流量监控卡就是这样的产品。ASM防卡是H3C与瑞星公司合作,用于在网络设备上实现对病毒防护的产品,防毒卡相当于一个单的小型主机,以插卡的方式安装到了网络产品上。网络设备通过对数据流的重定向功能,实现对相心数据流的病毒检查。目前防毒卡只支对应用层HTTP、FTP、POP3、SMTP种数据流的检测。防毒卡配有专用的管理接口,以web方式管理配置。NSM 网络全监控卡:与ASM卡一样,是一种安装于网络设备上的插卡,用于监控网络数据流信息。通过在网络设备上配置端口镜像,使NSM卡获取数据流。NSM卡主要可以实现以下方面功能:网络流量统计、网络流量监控、网络安全漏洞检测、网络的优化与规划。NSM卡配有专用的管理接口,以web方式管理配置(http/https)。ecPath防火墙的混合模式特性:防火墙可以工作在三种工作模式,即路由模式、透明模式和混合模式。在操作系统E1622以上的版本支持混合
