CHAP4-防火墙与入侵检测

,一级标题微软雅黑,28,号，白色,第二级标题微软雅黑,24,号，白色,第三级微软雅黑,20,号，白色,第四级微软雅黑,18,，白色,第五级微软雅黑,16,，白色,单击此处编辑母版标题样式,知识改变命运，光谷成就未来,*,网络系统管理与维护,知识改变命运，光谷成就未来,光谷教育职业技能培训,第四章 防火墙与入侵检测,ISA Server 2006,知识改变命运，光谷成就未来,主要内容：,理解防火墙,配置防火墙,理解入侵检测,知识改变命运，光谷成就未来,4.1,理解防火墙,防火墙的含义,防火墙是指隔离本地网络和外界网络的安全防御系统,防火墙已成为网络安全中最重要的防护设施，它是保护网络并连接网络到外部的最有效方法,知识改变命运，光谷成就未来,防火墙,Internet,局域网,4.1,理解防火墙,防火墙的功能,知识改变命运，光谷成就未来,过滤进出网络的数据,控制不安全的服务,集中的安全保护,强化私有权,网络连接的日志记录及使用统计,4.1,理解防火墙,防火墙的分类,数据包筛选技术：工作在,OSI,参考模型的网络层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许数据包通过,知识改变命运，光谷成就未来,4.1,理解防火墙,防火墙的分类,代理服务器技术：,主要工作在,OSI,的应用层。代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求,代理型防火墙可以允许或拒绝特定的应用程序或服务，还可以实施数据流监控、过滤、记录和报告功能,知识改变命运，光谷成就未来,4.1,理解防火墙,防火墙的分类,复合型防火墙,数据包筛选技术,代理服务器技术,补充：,状态检测型防火墙：可以动态地根据实际应用需求，自动生成或删除包过滤规则,这种防火墙不但能根据数据包的源地址、目标地址、协议类型、源端口、目标端口等对数据包进行控制，而且能记录通过防火墙的连接状态，直接对包里的数据进行处理,知识改变命运，光谷成就未来,4.2,配置防火墙,硬件防火墙,Check Point,公司的,Fire Wall-1,Cisco,公司的,PIX,防火墙、,ASA 5500,软件防火墙,微软公司：,ISA Server 2004/2006,知识改变命运，光谷成就未来,4.2,配置防火墙,ISA Server 2006,简介,ISA Server 2006,简介,ISAInternet Security and Acceleration,Internet,安全与加速,ISA Server 2006,的主要功能,知识改变命运，光谷成就未来,防火墙,VPN,服务,Web,缓存,ISA Server 2006,简介,防火墙的部署方案：边缘防火墙（双宿主堡垒主机）,ISA Server,防火墙有两个网络连接,结构简单，易于部署,4.2,配置防火墙,ISA Server 2006,简介,知识改变命运，光谷成就未来,ISA Server,防火墙,内部网络,Internet,ISA Server 2006,简介,防火墙的部署方案：三向防火墙,ISA Server,防火墙有,3,个网络连接,在,DMZ,区域中放置可以被外部用户访问的资源,4.2,配置防火墙,ISA Server 2006,简介,知识改变命运，光谷成就未来,内部网络,Internet,(DMZ),外围网络,ISA Server,防火墙,ISA Server 2006,简介,防火墙的部署方案：背对背防火墙,前端防火墙连接外部与,DMZ,区域,后端防火墙连接内部与,DMZ,区域,4.2,配置防火墙,ISA Server 2006,简介,知识改变命运，光谷成就未来,内部网络,Internet,(DMZ),外围网络,后端防火墙,前端防火墙,4.2,配置防火墙,安装,ISA Server 2006,安装,ISA Server 2006,安装前的准备,软件需求,Windows Server 2003,安装了,SP1,或更高,Windows Server 2003 R2,硬件需求,CPU,：,550Mhz,以上,RAM,：,256MB,以上,H D,：,150MB,，如果使用缓存模式则需要,NTFS,文件系统,NIC,：必须为连接到,ISA Server 2006,的每个网络单独准备一个适配器，如果只有一个单适配器会自动作为缓存模式,知识改变命运，光谷成就未来,4.2,配置防火墙,安装,ISA Server 2006,安装,ISA Server 2006,安装,ISA Server 2006,标准版,ISA Server 2006,标准版,为小型企业、工作组和部门环境提供企业级防火墙和,Web,缓存的能力,ISA Server 2006,企业版,用于大容量,Internet,通信环境，提供了集中式服务器管理、多级访问策略、服务器阵列群集，以及容错能力等。功能更强大，部署更复杂,安装过程,知识改变命运，光谷成就未来,教师演示,4.2,配置防火墙,安装,ISA Server 2006,安装,ISA Server 2006,安装后的检查,检查“服务”,知识改变命运，光谷成就未来,4.2,配置防火墙,安装,ISA Server 2006,安装,ISA Server 2006,管理控制台界面简介,知识改变命运，光谷成就未来,左窗格（树窗格）,右窗格（详细信息窗格）,任务窗格,4.2,配置防火墙,配置,ISA Server,的客户端,配置,ISA Server,的客户端,可以在一台计算机上同时配置多种客户端,知识改变命运，光谷成就未来,Web,代理客户端,防火墙客户端,SecureNAT,客户端,4.2,配置防火墙,配置,ISA Server,的客户端,配置,ISA Server,的客户端,Web,代理客户端,支持协议：,HTTP,，,HTTPS,，,FTP,支持身份验证,需要在,ISA Server,和客户机上进行相应的配置工作,ISA Server,服务器上配置如下：,知识改变命运，光谷成就未来,教师演示,4.2,配置防火墙,配置,ISA Server,的客户端,配置,ISA Server,的客户端,Web,代理客户端,在客户机上配置如下：,知识改变命运，光谷成就未来,教师演示,4.2,配置防火墙,配置,ISA Server,的客户端,配置,ISA Server,的客户端,配置防火墙客户端,客户端需要安装防火墙客户端软件,可以访问所有,TCP/UDP,的网络资源,Web,请求传给,ISA Server,的,TCP8080,端口,非,Web,请求传给,ISA Server,的,TCP1745,端口,在服务器端的设置,知识改变命运，光谷成就未来,4.2,配置防火墙,配置,ISA Server,的客户端,知识改变命运，光谷成就未来,配置,ISA Server,的客户端,配置防火墙客户端,安装文件在,ISA Server,安装光盘的,Client,文件夹中,安装设置,4.2,配置防火墙,配置,ISA Server,的客户端,知识改变命运，光谷成就未来,配置,SecureNAT,客户端,SecureNAT Client,不需要安装特定软件，但必须正确设置默认网关地址,教师演示,4.2,配置防火墙,配置,ISA Server,的客户端,知识改变命运，光谷成就未来,三种客户端的比较,特性,SecureNAT,Firewall,Web Proxy,是否需要安装,否，但是需要修改网络配置,是,否，但是需要配置浏览器,操作系统支持,任何支持,TCP/IP,协议的系统,只有,Windows,操作平台,所有操作平台，但是需要以,Web,应用的方式,协议支持,TCP,、,HTTP,、,UDP,、,HTTPS,、,FTP,及其他,TCP,、,UDP,之,Winsock,应用程序,HTTP,、,HTTPS,、,FTP,以及,Gopher,用户身份验证,只要,VPN,客户端,需要,需要,服务器应用程序,不需要配置或安装,需要配置文件,N/A,4.2,配置防火墙,实现对,Internet,资源的访问,知识改变命运，光谷成就未来,“多网络”的概念,“内部”网络,“本地主机”网络,“,VPN,客户端”网络,“外部”网络,ISA Server,防火墙,内部网络,Internet,4.2,配置防火墙,实现对,Internet,资源的访问,知识改变命运，光谷成就未来,创建“策略元素”,防火墙策略由策略元素组成，用于指定防火墙规则的参数,ISA,的策略元素包括：,协议,用户,内容类型,计划,网络对象,27,协议,：,内置协议元素,协议类型：,TCP,、,UDP,、,ICMP,或,IP,方向：,UDP,包括“发送”、“接收”、“发送接收”或“接收发送”。,TCP,包括“入站”和“出站”。,ICMP,和,IP,包括“发送”和“发送接收”,端口范围：,TCP,和,UDP,的端口范围是,1,到,65535,之间,协议号：,IP,级别的协议是,0,到,254,之间的数,4.2,配置防火墙,实现对,Internet,资源的访问,28,用户：,可以包括来自任何身份验证方案的用户,ISA Server,预定义了以下用户：,所有经过认证的用户,所有用户,系统和网络服务,4.2,配置防火墙,实现对,Internet,资源的访问,29,内容类型：,ISA,可以根据已定义的规则检查数据包的内容，以便限制或过滤某些,内容,4.2,配置防火墙,实现对,Internet,资源的访问,30,计划：,时间计划用于设定时间范围,可以根据企业需求将一天,24,小时分成许多时段,ISA,预定义时间计划元素：,周末（,Weekends,），包括星期六和星期天,工作时间（,Work hours,），包括从星期一到星期五的上午,9:00,到下午,5:00,4.2,配置防火墙,实现对,Internet,资源的访问,31,网络对象：,网络：网络是一定范围的,IP,地址,网络集：网络集包含一个或多个网络,计算机：一台计算机代表一个,IP,地址,地址范围、子网和计算机集：代表一定范围的,IP,地址,4.2,配置防火墙,实现对,Internet,资源的访问,32,4.2,配置防火墙,实现对,Internet,资源的访问,创建“访问规则”,教师演示,内部网络资源的发布概述,将内部网络中的服务提供给外部网络用户访问的过程叫做“发布”,发布内部网络中的服务后，,ISA,处理外部客户向内部提出的请求，并将请求转发给内部服务器,33,4.2,配置防火墙,实现对内部资源的访问,ISA Server,防火墙,内部网络,Internet,WEB Server,192.168.1.1,34,4.2,配置防火墙,实现对内部资源的访问,用于发布内部网络资源的,DNS,配置,注意：配置对外提供服务的,DNS,注意：配置对内提供服务的,DNS,注意：待发布的服务器必须是,SecureNAT,客户端,ISA Server,防火墙,内部网络,Internet,WEB Server,192.168.1.1,131.107.1.200,192.168.1.254,DNS Server,192.168.1.100,外网,DNS Server,35,4.2,配置防火墙,实现对内部资源的访问,创建发布规则,教师演示,36,4.2,配置防火墙,支持远程客户机的,VPN,访问,VPN,与防火墙的集成,ISA Server,防火墙,内部网络,Internet,VPN,客户机,1,VPN,客户机,2,VPN,客户机,1,VPN,客户机,2,37,4.2,配置防火墙,支持远程客户机的,VPN,访问,支持,VPN,客户机的远程访问,ISA Server,防火墙,内部网络,192.168.1.0,Internet,VPN,客户机,1,VPN,客户机,1,教师演示,4.3,理解入侵检测,入侵检测的含义,QQ,，经常发生密码被盗的事情,系统密码被盗,知识改变命运，光谷成就未来,4.3,理解入侵检测,入侵检测的含义,入侵,某人尝试进入一个系统，访问未经授权的资源,或者利用系统漏洞获得系统的最高权限等的非法行为,入侵检测,通过对特定行为的分析检测到对系统的闯入,知识改变命运，光谷成就未来,黑客,局域网,防火墙,检测系统,进行入侵检测的软件和硬件的组合即为,IDS,4.3,理解入侵检测,入侵检测与防火墙的区别,防火墙,大门警卫,入侵检测系统,监控摄像机,知识改变命运，光谷成就未来,4.3,理解入侵检测,入侵检测系统的分类,入侵检测的内容与功能,根据实现技术划分,异常发现技术,模式发现技术,根据数据来源划分,基于主机、基于网络、分布式入侵检测系统,根据检测功能划分,网络入侵检测系统,系统完整性校验系统,日志文件分析系统,欺骗系统,知识改变命运，光谷成就未来,4.3,理解入侵检测,配置入侵检测,ISA Server,支持的入侵检测项目,一般攻击的入侵检测,DNS,攻击的入侵检测,POP,攻击的入侵检测,阻止包含,IP,选项的数据包,阻止,IP,片段的数据包,淹没缓解,知识改变命运，光谷成就未来,4.3,理解入侵检测,配置入侵检测,启用入侵检测与警报设置,启用入侵检测,知识改变命运，光谷成就未来,教师演示,4.3,理解入侵检测,配置入侵检测,启用入侵检测与警报设置,警报设置,知识改变命运，光谷成就未来,教师演示,4.3,理解入侵检测,配置入侵检测,阻止,IP,选项与,IP,片段数据包,启用淹没缓解功能,知识改变命运，光谷成就未来,教师演示,