1、信息安全产品配置与应用Configuration and Application of Information Security Products重庆电子工程职业学院|路亚信息安全产品配置与应用模块一、防火墙产品配置与应用信息安全产品配置与应用防火墙的功能基本功能基本功能地址转换地址转换访问控制访问控制VLAN支持支持带宽管理(带宽管理(QoS)入侵检测和攻击防御入侵检测和攻击防御用户用户认证认证IP/MACIP/MAC绑定绑定动态动态IP环境支持环境支持数据库长连接应用支持数据库长连接应用支持路由支持路由支持ADSL拨号功能拨号功能SNMPSNMP网管支持网管支持日志审计日志审计高可用性高可
2、用性扩展功能防病毒IPSVPNIPSEC VPNPPTP/L2TPGRE信息安全产品配置与应用地址转换(NAT)202.102.93.54Host A受保护网络Host C Host D 192.168.1.21192.168.1.25防火墙Eth2:192.168.1.23Eth0:101.211.23.1数据IP报头数据IP报头源地址:192.168.1.21目地址:202.102.93.54源地址:101.211.23.1目地址:202.102.93.54101.211.23.2v 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能
3、信息安全产品配置与应用MAP(地址/端口映射)Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW 199.168.1.2FTP 199.168.1.3MAIL 199.168.1.4DNS 199.168.1.5199.168.1.612.4.1.5202.102.1.3MAP 199.168.1.2:80 TO 202.102.1.3:80MAP 199.168.1.3:21 TO 202.102.1.3:21MAP 199.168.1.4:53 TO 202.102.1.3:53MAP 199.168.1.5:25 TO 202.102.1.3:25http:/19
4、9.168.1.2http:/202.102.1.3信息安全产品配置与应用防火墙的基本访问控制功能Host C Host D Access list 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass规则匹配成功v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v基于用户v 基于流量v 基于文件v 基于网址v 基于MAC地址信息安全产品配置与应用时间控制策略Host C Host D
5、在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet信息安全产品配置与应用VLAN间控制-对TRUNK的支持只有支持TRUNK的防火墙才能在这种环境下工作只有支持TRUNK的防火墙才能在这种环境下工作信息安全产品配置与应用QoS带宽管理信息安全产品配置与应用内置入侵检测功能防火墙具有内置的IDS模块,可以有效检测并抵御常见的攻击行为,用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击:1.统计型攻击,包括:Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击,包括
6、:Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等信息安全产品配置与应用抗Dos攻击功能防火墙的SYN代理实现原理:v在服务器和外部网络之间部署防火墙系统;v防火墙在收到客户端的Syn包后,防火墙代替服务器向客户端发送Syn/Ack包;v如果防火墙收到客户端的Ack信息,表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。v通过这种Syn代理技术,保证每个Syn包源的真实有效性,确保虚假请求不被发往服务器,从而彻底防范对服务器的Syn-Flood攻击。信息安全产品配置与应用与IDS的安全联动Host C H
7、ost D Host B Host A 受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等信息安全产品配置与应用对认证方式和第三方认证支持liming*信息安全产品配置与应用IP与MAC(用户)的绑定InternetHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND 199.168.1.2 To 00-50-04-BB-71-A6BIND 199.168.1.4 T
8、o 00-50-04-BB-71-BCIP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网199.168.1.2信息安全产品配置与应用对DHCP应用环境的支持DHCP服务器Host AHost BHost CHost DHost EHost F没有固定IP地址只允许Host B上网设定Host B的MAC地址设定Host B的IP地址为空根据Host B的MAC地址进行访问控制信息安全产品配置与应用对数据库长连接的支持客户机数据库查询一般需要比较长的时间,这些通讯连接建立成功后可能暂时没有数据通过(空连接),普通防火墙在连接建立一段时间后如果没有数
9、据通讯会自动切断连接,导致业务不能正常运行需要在防火墙里面维护这个连接状态,直到查询结束。该功能是可选的。信息安全产品配置与应用策略路由功能信息安全产品配置与应用动态路由-RIP信息安全产品配置与应用动态路由-OSPF信息安全产品配置与应用ADSL拨号功能信息安全产品配置与应用支持SNMP网络管理Host C Host D Host B Host A 受保护网络Internet信息安全产品配置与应用日志分析功能1.会话日志:即普通连接日志v通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过2.命令日志和内容日志:即深度分析日志v在通信日志的基础之上,记录下各个应用层命令参
10、数和内容。例如HTTP请求及其要取的网页名。3.提供日志分析工具自动产生各种报表,智能化的指出网络可能的安全漏洞4.常见日志格式:Syslog、Webtrent信息安全产品配置与应用普通连接日志-会话日志信息安全产品配置与应用深度分析日志(1)-命令日志信息安全产品配置与应用深度分析日志(2)-内容日志信息安全产品配置与应用高可用性-双机热备功能内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线Active FirewallStandby Firewall检测Active Firewall的状态发现出故障,立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后,接管它的工作信息安全产品配置与应用高可用性-服务器服务器负载均衡信息安全产品配置与应用高可用性-网络链路备份功能信息安全产品配置与应用高可用性-双系统冗余信息安全产品配置与应用扩展功能-病毒过滤功能(1)信息安全产品配置与应用扩展功能-病毒过滤功能(2)信息安全产品配置与应用扩展功能-IPSEC VPN功能信息安全产品配置与应用L2TP/PPTP/GRE VPN功能信息安全产品配置与应用DDNS功能信息安全产品配置与应用
