1、信息安全产品配置与应用Configuration and Application of Information Security Products路亚信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇本讲任务与学习目标信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇需求分析的基本过程了解分析确定信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇需求分析需求分析需求分析 是整个活动中非常关键的一个环节,错误的分析,会导致后期工作无法开展 了解现状了解现状 信息系统情况 网络使用情况 明显存在的问题 分析现状分析现状 信息系统的重
2、要性及对网络的依赖性 网络的可靠性 发生风险事件时的影响范围和破坏程度 确定需求确定需求 确定用户的真实需求 确定网络安全建设目标信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇需求分析了解现状如何去了解现状?交流、沟通交流什么?沟通什么?是否发生过网络安全事件?要信息系统应用及范围?网络拓扑情况?目前采取了什么样的网络安全防护手段?有什么网络安全规划?今后的信息系统扩展可能会如何?信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇需求分析分析现状前提了解到的现状,准确了解到的需求准确分析分析现状情况下,存在的网络安全风险分析风险发生时,可能带来的
3、破坏情况分析如何通过部署网络安全设备,处置上述风险分析部署网络安全设备后的效果分析扩展性和延续性信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇需求分析了解、分析、确定 了解现状、分析现状,实际并没有那么明确的界限,一般是在与客户沟通过程中,穿插进行的。在完成语言的交流后,根据需要进一步以书面方式提交相关报告在完成现状了解、分析后,需求与目标的确定就自然而然的确定了信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇需求分析举例信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇需求分析了解、分析网络拓扑网络边界不明确,各网络区域
4、混合在一起,之间没有访问控制措施无线接入安全隐患大2个服务器区域(做了基本的区域划分)应用系统内部应用,外部应用互联网访问信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇需求分析确定目标实现更进一步的网络安全域(区域)的划分实现区域间的网络访问控制实现内网与互联网间的双向双向访问控制实现互联网对内网服务器区域应用的访问控制实现对无线接入的网络访问控制实现对网络访问行为的基本日志记录.信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇需求分析方案设计方案评审方案评审方案评审:对提交的方案进行分析、审核,是否可以满足需求分析中确定的目标.(客户或专家评
5、审)方案设计方案设计:根据需求分析与目标,设计可以满足要求的网络安全解决方案.需求分析需求分析:根据了解到的现状,分析切实可行的需求.信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇方案设计防火墙的基本功能网络区域逻辑隔离网络区域间(及主机间)的网络访问控制对常见在应用层的入侵攻击行为进行阻断地址转换、路由基本日志记录防火墙的扩展功能用户认证用户访问内容过滤(过滤http、mail等关键字)带宽(连接数)控制信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇方案设计网络安全区域边界确定(或设计)根据网络安全边界,确定防火墙的部署位置需要使用的防火墙
6、功能需要重点保护的服务器及应用的保护方式设计需要配置的防火墙基本安全控制策略设计是否需要启用日志或其他扩展功能依照方案设计,部署防火墙后的效果分析所设计方案的扩展性(包括不足的地方)信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇方案设计举例信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇方案设计举例调整了网络区域边界防火墙部署在多个网络区域连接边界实现了区域间的访问控制需要启用地址转换、路由功能需要启用对外网服务器区域的入侵防护功能可以实现内网用户访问互联网的内容过滤、带宽控制、并发连接控制等可以实现内网用户与互联网间访问的双向日志记录信息安全
7、产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇设计方案编写 Word使用能力 PPT使用能力 Visio使用能力 信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙部署设计方案目录展示信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙部署设计方案展示方案展示(使用成功方案案例)信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇本讲任务与学习目标信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇配置策略设计可
8、以不用文字形式表现出来,可以在头脑中策划是不可跳过的一个步骤,不设计防火墙具体的配置策略,如何进行下一步的防火墙配置?(没有乐谱,如何弹奏)策略设计与网络环境、应用情况关系密切,必须确认真实、准确的防火墙部署与需要实现的功能要求路由、NAT、访问控制、主机保护最简的策略设计,是一堆表格信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇配置策略设计防火墙接口Ip/掩码掩码网关网关对端设备对端设备对端地址对端地址说明说明Eth0【接口地址接口地址/掩码掩码】【可以没有可以没有】【设备接口设备接口】【对端设备地对端设备地址址】【用途用途】Eth1192.168.2.1/2419
9、2.168.2.20核心交换机核心交换机E2192.168.2.20连接内网连接内网Eth2OOOOOEth3OOOOOEth4OOOOOOXOXO信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇配置策略设计防火墙接口NGFW 4000-UF(服务器区域)Eth0(GBIC多模光口)核心交换机6506光纤Eth1(GBIC多模光口)服务器区汇聚交换机光纤Eth2(GBIC多模光口)PDM服务器光纤Eth3(GBIC多模光口)科技大楼二级交换机光纤NGFW 4000Eth0Eth1(百兆自适应电口)双绞线Eth2(百兆自适应电口)双绞线Eth3信息安全产品配置与应用信息安
10、全产品配置与应用课程之防火墙篇课程之防火墙篇配置策略设计路由、NAT通信策略(路由)源地址(网)源地址(网)目的地址(网)目的地址(网)下一跳路由下一跳路由接口接口说明说明路由路由1【从哪个地方来从哪个地方来】【到哪个地方去到哪个地方去】【网关地址网关地址】【从哪个接口从哪个接口出去出去】【用途用途】路由路由2192.168.2.0/24172.10.1.0/24172.10.2.2Eth1外网路由外网路由路由路由3OOOOO路由路由4OOOOO路由路由5OOOOOOXOXO信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇配置策略设计路由、NAT通信策略(NAT)源地址
11、(网)源地址(网)目的地址(网)目的地址(网)服务服务源转换源转换目的转换目的转换说明说明【从哪个地方来从哪个地方来】【到哪个地方去到哪个地方去】【】【地址或范围地址或范围】【地址或均衡组地址或均衡组】【用途用途】192.168.2.0/24互联网区域互联网区域ALL互联网接口地址互联网接口地址访问互联网访问互联网互联网区域互联网区域互联网接口地址互联网接口地址80/tcp内网服务器地址内网服务器地址互联网访问互联网访问内网网站内网网站OOOOOOOOOOOXOXO信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇配置策略设计访问控制策略访问控制源地址(网)源地址(网)目
12、的地址(网)目的地址(网)服务服务日志记录日志记录深度过滤深度过滤权限权限【从哪个地方来从哪个地方来】【到哪个地方去到哪个地方去】【】【是否记录是否记录】【关键字过滤关键字过滤】【允许允许/禁止禁止】内网区域内网区域互联网区域互联网区域ALL不记录不记录不过滤不过滤允许允许互联网区域互联网区域Web服务器服务器80/tcp记录记录不过滤不过滤允许允许ANYANYALL不记录不记录不过滤不过滤禁止禁止OOOOOOXOXO信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇配置策略设计其他功能应用用户认证实现对用户通过防火墙访问其他网络的身份认证深度过滤、应用过滤实现对邮件、网
13、页关键字、域名 的过滤,禁止访问某一类的网站,收发某一类的邮件实现对P2P、QQ、PPLive等应用的控制:并发连接、带宽等带宽控制实现对具体IP、网段或应用的带宽占用分配,或优先级设置双击热备提高网络稳定性,避免单机故障造成网络连接中断信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙策略配置实践-地址转换基本需求网络卫士防火墙的接口Eth0连接企业内网,内网为192.168.100.0/24,Eth0的IP地址为192.168.100.1;Eth1连接外网,Eth1的IP地址为202.10.10.1。企业可用的公网IP地址范围为202.10.10.1-202.1
14、0.10.10,网络拓扑结构的示意图如下所示。配置要点定义内网地址资源,可定义的地址资源包括主机地址资源、范围地址资源、子网地址资源、区域和VLAN。定义要转换的公网地址资源。定义源地址转换策略。信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙策略配置实践-地址转换1.选择资源管理 区域,点击“添加”,定义区域资源。设置内网区域area_eth0与属性eth0绑定且禁止访问。外网区域area_eth1与属性eth1绑定且允许访问。信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙策略配置实践-地址转换2.定义内部地址资源,选择资源管理
15、地址,并选择相应页签,点击“添加”可以定义主机地址资源、地址范围资源和子网地址资源。A)定义NAT主机资源:选择“子网”页签,点击“添加”。信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙策略配置实践-地址转换2.定义内部地址资源,选择资源管理 地址,并选择相应页签,点击“添加”可以定义主机地址资源、地址范围资源和子网地址资源。B)定义NAT地址池:选择“范围”页签,点击“添加。信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙策略配置实践-地址转换3.定义NAT地址转换策略。选择防火墙 地址转换,点击右上角“添加”,进入NAT规则配置
16、界面,如下图所示,选择“源转换”选项设定源地址转换策略。信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙策略配置实践-地址转换3.定义NAT地址转换策略。选择防火墙 地址转换,点击右上角“添加”,进入NAT规则配置界面,如下图所示,选择“源转换”选项设定源地址转换策略。A)点击“源”页签,添加NAT规则的源,内部地址资源:子网100.X。如下图所示信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙策略配置实践-地址转换3.定义NAT地址转换策略。选择防火墙 地址转换,点击右上角“添加”,进入NAT规则配置界面,如下图所示,选择“源转换”
17、选项设定源地址转换策略。B)点击“目的”页签添加NAT规则的目的,外网区域:area_eth1。信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙策略配置实践-地址转换3.定义NAT地址转换策略。选择防火墙 地址转换,点击右上角“添加”,进入NAT规则配置界面,如下图所示,选择“源转换”选项设定源地址转换策略。C)设置源地址转换为地址池中地址的转换规则,设置为范围地址资源nat-pool。也可以设置转换为固定地址对象的转换规则。信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇防火墙策略配置实践-地址转换1)定义区域资源#define area
18、 add name area_eth1 access on attribute eth1#define area add name area_eth0 access off attribute eth02)定义内网地址资源#define subnet add name 子网100.x ipaddr 192.168.100.0 mask 255.255.255.03)定义NAT地址池资源#define range add name nat-pool ip1 202.10.10.1 ip2 202.10.10.104)定义NAT地址转换规则在地址池中动态选择转换后的IP#nat policy add srcarea area_eth0 orig_src 子网100.x dstarea area-eth1 trans_src nat-pool enable yes。信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇更多实践案例参考演示配置手册上机实践信息安全产品配置与应用信息安全产品配置与应用课程之防火墙篇课程之防火墙篇本讲任务与学习目标
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。