1、专专 业业 务务 实实 学学 以以 致致 用用计算机网络安全技术与实施计算机网络安全技术与实施教学课件教学课件专专 业业 务务 实实 学学 以以 致致 用用3.5 3.5 任务任务-目录目录3.5 3.5 任务任务5-5-基于深信服设备进行网络行为控制基于深信服设备进行网络行为控制 3.5.1 3.5.1 任务描述任务描述3.5.2 3.5.2 引导文本引导文本3.5.3 3.5.3 设计部署深信服设备设计部署深信服设备3.5.4 3.5.4 利用深信服设备实施企业内部网络保护利用深信服设备实施企业内部网络保护3.5.5 3.5.5 进行防护效果检测进行防护效果检测3.5.6 3.5.6 知识
2、技能要点测评知识技能要点测评专专 业业 务务 实实 学学 以以 致致 用用3.5.1 3.5.1 工作任务总体描述(表)工作任务总体描述(表)学习情境学习情境学习情境3-对网络访问行为进行控制建议课内学时任务名称任务名称工作任务5-基于深信服设备进行网络行为控制 4学时(理论实践一体)企业工作情境描述企业工作情境描述对中等规模以上的企业事业单位的网络安全防护手段中,较多采用硬件防火墙技来实施对网络的保护,同时提供外部的网络服务功能,如通过DMZ接口连接服务器,为外部提供WWW、FTP、MAIL等服务。硬件防火墙的在性能上有很大的优势,为企业的安全防护能提供有力帮助。工作任务分析工作任务分析在这
3、个工作任务中我们要在深信服设备上配置基本的防火墙功能,对硬件防火墙来说,能过命令行配置一般较复杂,且需要很大的工作量,所以一般的硬件防火墙都提供有专门的配置软件。任务目标任务目标1、巩固硬件防火墙的基本概念、性能、功能相关的知识;2、能在深信服设备上配置基本的防火墙功能;3、学会硬件防火墙的功能与配置,能利用现有的硬件防火墙配置对企业网络的保护,掌握硬件防火墙的配置方法与技巧。学习场境简化与转换设计与学习任务布置学习场境简化与转换设计与学习任务布置场境简化与转换设计:场境简化与转换设计:对学习情境中的企业总部的硬件防火墙进行配置,实现对多数常见攻击的防护,结构如右图所示。学习任务布置:学习任务
4、布置:本任务在此网络环境中通过对防火墙配置实现对网络的保护,并能进行相应防护效果的检测。工具及软件选用工具及软件选用1、硬件防火墙设备(可根据现有条件选择)或利用PIX模拟软件进行模拟配置。参考资料手册参考资料手册1、利用互联网搜索相关知识查询;2、教材中的引导文本;3、课程网站上的关于本部分的视频教程。学习任务操作流程学习任务操作流程操作流程参见下面的工作任务实施过程专专 业业 务务 实实 学学 以以 致致 用用任务分解图任务分解图应用于大中型企业的硬件防火墙应用于大中型企业的硬件防火墙企业总部企业总部路由器路由器防火墙防火墙互联网互联网攻击者攻击者内部用户内部用户企业服务器企业服务器INO
5、UTDMZ专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本1 1、防火墙的分类、防火墙的分类防火墙的分类可以有很多种,这里从技术上进行分类。除包过滤技术被认为是网络层防火墙外,其它都可以认为是应用层防火墙技术,现分别对几种技术加以介绍:包过滤(Packet Filter)技术也称为分组滤技术,典型的包过滤技术作用于网络层与传输层,通过对每个数据包按照管理人员所定义的进行检查过滤,主要是对TCP/IP协议中的五元组进行规则制定与检查实施。如检查数据包的源地址、目的地址、协议号、源端口和目的端口等标志位是否匹配规则。包过滤不管会话的状态,也不分析数据。如管理人
6、员规定只允许由内到外的目的端口为80的数据包通过,则只有符合该条件数据包可以通过此防火墙。这是防火墙最基本功能,合理的配置可以过滤掉大部分攻击。电路级网关(Circuit-level Gateway)一般被认为是工作于OSI七层中的传输层与会话层之间,所谓电路是指虚电路。电路级网关可用于检查控制信任的一端与不信任一端的TCP握手信息是否合法。在TCP或UDP发起一个连接或电路之前,验证该会话的可靠性。只有在握手被验证为合法且握手完成之后,才允许数据包的传输。一个会话建立后,此会话的信息被写入防火墙维护的有效连接表中。数据包只有在它所含的会话信息符合该有效连接表中的某一入口时,才被允许通过。会话
7、结束时,该会话在表中的入口被删掉。电路级网关只对连接在会话层进行验证。一旦验证通过,在该连接上可以运行任何一个应用程序。以FTP为例,电路层网关只在一个FTP会话开始时,在传输层的TCP协议中对此会话进行验证。如果验证通过,则所有的数据都可以通过此连接进行传输,直至会话结束。典型的应用是SOCKET。专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本1 1、防火墙的分类、防火墙的分类应用网关(Application Gateway)也称为应用代理,可以作用于应用层,检验通过的所有数据包中的应用层的数据。通过对每种应用服务设计代理程序并运行于防火墙或主机上,对
8、服务应用的客户端它相当于服务器、以于服务器它相当于客户端。实际中的应用网关多是通过主机实现,如ISA软件就可以实现此功能。状态检测(Status Detection)技术也被称为状态包过滤技术或动态包过滤技术,可以直接对分组里的数据进行检查,主要是对协议报头中的各标志位进行检查,建立连接状态表,前后报文相关,根据前后分组的数据包状态进行组合判断以决定对其的处理动作。复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面
9、对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。目前,多采用复合型防火墙,因其可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制相对较弱。防火墙的技术上多是集合了以上的多种技术再配有厂商自己的专有技术加以实现的,如Cisco的防火墙集合了已有防火墙技术和基于上下文的访问技术CBAC。专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本、SANGFOR ACSANGFOR AC防火墙基本功能防火墙
10、基本功能防火墙规则:防火墙规则是控制AC设备各个网口转发数据的开关。这里设置的规则基于IP和端口进行数据包的转发控制,和传统的四层防火墙相似。HTTPCIFS防火墙规则专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本、SANGFOR ACSANGFOR AC防火墙基本功能防火墙基本功能NAT代理上网:NAT代理上网功能即SNAT,用来设置对数据包源IP地址进行转换的规则。一般在公网出口的设备做SNAT,来实现把私有地址转换成公网地址。IP1IP4SNAT专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本、SANGFOR
11、ACSANGFOR AC防火墙基本功能防火墙基本功能端口映射:端口映射即DNAT,用来设置对数据包目标IP地址进行转换的规则。常用来实现客户内网有服务器需要发布到公网,或者内网用户需要通过公网地址访问内部服务器的需求。IP2IP4DNATIP4IP2专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本、组织结构和上网策略、组织结构和上网策略组织结构:组织结构即为用户和用户组的所属层级关系。SANGFOR AC 提供树形的组织结构,通过树形用户结构管理,符合企业的人员结构划分,同时又可以对相同的上网策略进行继承。上网策略:上网策略是对用户的上网行为进行控制、提醒
12、、审计。控制用户使用网络资源的权限;对用户使用网络资源情况进行提醒;对用户访问网络的行为进行审计,从而构建一个可管理、可视化的网络环境。简单而言,上网策略就是要实现让网络管理者能够控制用户能做什么,知道用户正在做什么、以及用户做了什么的功能。专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本4 4、上网策略分类、上网策略分类AC将上网策略分为六大类。上网权限策略:上网权限策略:主要控制用户能够使用网络资源的权限(能做什么),包括应 用控制,WEB过滤,SSL管理,邮件过滤功能 上网审计策略:上网审计策略:审计用户上网行为(做了什么),包括应用审计,外发文件告
13、警,流量与上网时长审计,网页内容审计 上网安全策略:上网安全策略:防止用户使用不安全的网络资源,包括危险行为识别,ActiveX插件过滤和脚本过滤 专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本4 4、上网策略分类、上网策略分类AC将上网策略分为六大类。终端提醒策略:终端提醒策略:提醒用户不恰当使用网络资源的情况,包括上网时长提醒,上网流量提醒,公告页面。流量配额与时长控制策略:流量配额与时长控制策略:限制用户能使用网络资源的流量和时长,包括流量配额,上网时长控制,并发连接数控制。准入策略:准入策略:终端用户满足特定条件准许使用网络资源,审计加密的IM软
14、件的聊天内容,组织外线路检测。专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本5 5、上网策略匹配原则、上网策略匹配原则u 同类型的策略匹配顺序同类型的策略匹配顺序:和控制台界面的排列顺序一致u相同类型策略的匹配顺序:由上往下匹配的原则。说明:a.如果一个组关联了多条不同模块的策略,只要有一个模块拒绝,则拒绝。b.如果一个组关联了多条相同模块的策略,则按从上往下匹配的原则,匹配第一条策略的动作。专专 业业 务务 实实 学学 以以 致致 用用3.5.2 3.5.2 引导文本引导文本5 5、上网策略匹配原则、上网策略匹配原则若用户/组关联多条上网权限策略,策略的匹配顺序如下:
