《安全设备规划与配置PPT课件》由会员分享,可在线阅读,更多相关《安全设备规划与配置PPT课件(33页珍藏版)》请在金锄头文库上搜索。
1、第第1717章章 安全设备规划与配置安全设备规划与配置本章要点本章要点网络安全设备概述网络安全设备概述网络安全设计与配置网络安全设计与配置Cisco ASDM 配置配置安全设备规划与配置17.1 17.1 网络安全设备概述网络安全设备概述无论是大中型企业网络,还是小型家庭办公网络,对网络安全方面的要求一直保持上升趋势。解决网络安全问题最常用的防护手段就是安装相应的安全设备,尤其是对于大中型规模的网络而言,网络安全设备更是实现网络安全必不可少的装备。网络安全设备目前主要包括3种类型,即防火墙、IDS和IPS。安全设备规划与配置17.1.1 防火墙 Cisco PIX 535防火墙 防火墙的英文名
2、称为“Fire Wall”,是目前最重要的一种网络防护设备。网络防火墙的主要功能就是抵御外来非法用户的入侵,就像是矗立在内部网络和外部网络之间的一道安全屏障。 安全设备规划与配置1. 防火墙的主要功能防火墙的主要功能,一般来说主要有以下几个方面。(1)创建一个阻塞点(2) 隔离不同的网络(3) 强化网络安全策略(4) 包过滤(5) 网络地址转换(6) 流量控制和统计分析(7) URL级信息过滤2. 防火墙的局限性与脆弱性安全设备规划与配置17.1.2 IDS入侵检测系统(Intrusion Detection Systems,IDS)作为一种网络安全的监测设备,依照一定的安全策略,对网络、系统
3、的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。安全设备规划与配置1. IDS概述不同于防火墙,IDS入侵检测系统是一个监听设备,无需串接在任何链路中,无需网络流量流经该设备,即可监测到网络中的异常传输。事实上,IDS就是网络中的一个窃听设备,时刻关注着网络中的数据传输。 Cisco IDS 安全设备规划与配置2. IDS的优势与缺陷(1)IDS的优势 整体部署,实时检测,可根据用户的历史行为模型、存储在计算机中的专家知识及神经网络模型,对用户当前的操作进行判断,及时发现入侵事件。对于入侵与异常不必做出阻断通信的决定,能够从容提供大
4、量的网络活动数据,有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。独立于所检测的网络,黑客难于消除入侵证据,便于入侵追踪与网络犯罪取证。同一网段或者同一台主机上一般只需部署一个监测点就近监测,速度快,拥有成本低 安全设备规划与配置(2)IDS的缺陷检测范围不够广。检测效果不理想。无力防御UDP攻击。只能检测,不能防御。无法把攻击防御在网络之外。过分依赖检测主机。难以突破百兆瓶颈。性能有待提高。伸缩性欠佳。部署难度大。安全策略不够丰富。安全设备规划与配置17.1.3 IPS 入侵防御系统(Intrusion Prevention System,IPS)的设计基于一种全新的思想和体系架构
5、。工作于串联(IN-LINE)方式,采用ASIC、FPGA或NP(网络处理器)等硬件设计技术实现网络数据流的捕获,引擎综合特征检测、异常检测、DoS检测和缓冲区溢出检测等多种手段;并使用硬件加速技术进行深层数据包分析处理,能高效、准确地检测和防御已知、未知的攻击及DoS攻击;并实施多种响应方式,如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等,突破了传统IDS只能检测不能防御入侵的局限性,提供了一个完整的入侵防护解决方案。 安全设备规划与配置1. IPS概述Cisco IPS设备 安全设备规划与配置2. IPS的技术特征作为信息安全保障主动防御的核心技术,IPS一般应具有下列主
6、要的技术特征。(1)完善的安全策略(2)嵌入式运行模式(3)丰富的入侵检测手段(4)强大的响应功能(5)高效的运行机制(6)较强的自身防护能力安全设备规划与配置3. IPS的分类IPS大致可以分为以下几类。(1)基于主机的入侵防御(HIPS)(2)基于网络的入侵防御(NIPS)(3)应用入侵防御(AIP)安全设备规划与配置4. IPS的技术优势实时检测与主动防御是IPS最为核心的设计理念,也是其区别于防火墙和IDS的立足之本。为实现这一理念,IPS在如下5个方面实现了技术突破,形成了不可低估的优势。(1)在线安装(In-Line)。(2)实时阻断(Real-time Interdiction)
7、(3)先进的检测技术(Advanced Detection Technology)(4)特殊规则植入功能(Build-in Special Rule)(5)自学习与自适应能力(Self-study & Self-adaptation Ability)安全设备规划与配置5. IPS的缺陷IPS技术的缺陷主要包括4个方面,即单点故障、性能瓶颈、误报与漏报和总拥有成本较高。(1)单点故障(Single-point Fault)(2)性能瓶颈(Performance Bottle-neck)(3)误报(False positive)与漏报(False negatives)(4)总体拥有成本(TOC)高
8、安全设备规划与配置17.2 网络安全设计与配置17.2.1防火墙设计防火墙通常部署于网络的边界。边界可以是局域网与广域的、局域网与Internet的、不同子网之间,以及子网与服务器之间的等。安全设备规划与配置1. 内部网络与Internet的连接之间 防火墙分割的三个区域内部区域外部区域DMZ区域安全设备规划与配置2. 连接局域网和广域网局域网和广域网之间的连接是应用防火墙最多的网络,不过网络用户根据自己具体需要的不同,有两种连接方式可供选择。安全设备规划与配置DMZ区域外部网络存在边界路由器网络连接内部网络安全设备规划与配置无边界路由器的网络连接内部网络外部网络DMZ区域安全设备规划与配置3
9、. 内部网络不同部门之间的连接连接内部子网络被保护网络安全设备规划与配置4. 用户与中心服务器之间的连接虚拟防火墙安全设备规划与配置17.2.2 IDS设计IDS一般位于内部网的入口处,安装在防火墙的后面,用于检测入侵和内部用户的非法活动,提供对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前进行拦截和响应入侵处理。 安全设备规划与配置1. IDS位置服务器区域的交换机上服务器IDS核心交换机安全设备规划与配置2. IDS与防火墙联动 IDS与防火墙协同工作服务器核心交换机IDS防火墙安全设备规划与配置17.2.3 IPS设计1. 路由防护IPS内部服务器核心交换机DMZ区网络客户
10、端路由防护,将IPS直接部署至路由器和核心交换机之间,借助网络的边界防护,实现IPS和防火墙功能,为整个网络提供网络安全保护。 安全设备规划与配置2. 交换防护将IPS作为网络核心,采用一进多出或多进多出的方式,实现不同网段相互连接,进行数据交换,同时实现防火墙功能。 内部服务器网络客户端IPS安全设备规划与配置3. 多链路防护采用多路IPS的连接方式,一路IPS防护一个ISP接入,各路IPS相互独立,彼此之间没有数据交换,互不干扰 。内部服务器网络客户端外部服务器IPS核心交换机安全设备规划与配置4. 混合防护多种模式分层防护,监控与防护相结合,更完善。在线NIPS模式与旁路NIDS模式相配
11、合。内部服务器网络客户端外部服务器远程用户接入IPSIDS安全设备规划与配置17.2.3 综合安全设计IDSIPSMARS核心交换机集成 防火墙模块路由器启用IOS防火墙交换机启用IOS防火墙安全设备规划与配置17.3 Cisco ASDM配置Cisco自适应安全设备管理器(Adaptive Security Device Manager ,ASDM)通过一个直观、易用、基于Web的管理界面,提供了世界级的安全管理和监控服务。结合Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备,Cisco ASDM提供的智能向导、强大的管理工具和灵活的监控服务,进一步增强Cisco安
12、全设备套件提供的先进的集成安全和网络功能,从而加速安全设备的部署。其基于Web的安全设计可使用户能随时随地访问Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备。 安全设备规划与配置17.3.1 Cisco ASDM简介作为自适应安全设备管理器,Cisco ASDM以图形界面方式,配置和管理Cisco PIX和Cisco ASA安全设备。安全设备规划与配置Cisco ASDM具有如下特点。1. 集成化管理提高管理效率。2. 启动向导加速安全设备的部署。3. 仪表盘提供重要实时系统状态信息。4. 安全策略管理降低运营成本。5. 安全服务实现基于角色的、安全的管理访问。安全设备规划与配置安全设备规划与配置
