网御星云培训教材
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
wk.baidu.com
18
管理访问的基本配置
配置接口的IP连接性 –分配地址 –Management services –Manage IP地址 (可选)
改变根管理员密码 创建系统管理员
入侵防御IPS
在线升级
电口/光口 扩展卡 数据库审计
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
5
第二章
多核防火墙
© 2011 Leadsec Security, Inc. All rights reserved.
网御星云安全 产品技术培训
支撑云计算业务创新的商业平台
2011-10-08
北京网御星云信息技术
版权所有 © 2009 Cisco Systems, Inc. 保留所有权利。
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
2
第一章
云计算安全架构综述
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
Leadsec Confidential
7
防火墙发展历程——硬件技术
防火墙 突破性能极限就是对硬件调整的结果
X86架构
ASIC架构
NP架构
多核架构
性能 (高) ASIC架构 NP架构
多核架构
X86架构
2014-7-25
© 2011 Leadsec Security, Inc. All rights reserved. Leadsec Confidential
深度检测 ?
• 多级安全检测 • 自动签名检测 • 虚拟化、协同性 •提高软件平台 设计能力
• 可以检查应用层协议
• 处理速度慢,兼容性差 •内核小、效率高、易扩
•稳定、安全、健壮性差 •成熟度、可移植性差
© 2011 Leadsec Security, Inc. All rights reserved.
•使用 ? 显示可用选项
•在命令提示符下使用 •在命令的参数中使用
© 2011 Leadsec Security, Inc. All rights reserved. Leadsec Confidential
16
帮助工具--CLI
键入?后,将会显示两 列:
–左边一列显示了下一步 需键入的命令 •未在括号内的字符是 需要逐字键入的 •在括号内的字符是变 量 –右列是对左列显示命令 的描述
串口
可用于管理Leadsec安全设备的一个直接物理连接
串口连接具有某些优势:
–专门访问的物理安全 –不需要网络连接就能完成配置任务 –不需要IP地址 –可查看启动信息 –可查看实时 debug 或 snoop 输出
11
© 2011 Leadsec Security, Inc. All rights reserved.
20
管理访问的基本配置(续)
管理员登录超时时间配置
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
21
本地服务
© 2011 Leadsec Security, Inc. All rights reserved.
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
13
图形界面 - WebUI
可以通过图形化用户界面进行网络管理 –需要极少配置(默认管理地址:10.1.5.254) –https://10.1.5.254:8888(默认管理接口Ge0/0) –PC需要本地子网上的一个地址 –密码保护 -https
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
23
网络接口配置
以太网 接口 配置
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
14
建立串口连接
Leadsec 防火墙
串口
可用于管理Leadsec安全设备的一个直接物理连接
串口连接具有某些优势:
–专门访问的物理安全 –不需要网络连接就能完成配置任务 –不需要IP地址 –可查看启动信息 –可查看实时 debug 或 snoop 输出
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
17
图形界面 - WebUI
可以通过图形化用户界面进行网络管理 –需要极少配置(默认管理地址:10.1.5.254) –https://10.1.5.254:8888 –PC需要本地子网上的一个地址 –密码保护 -https
Leadsec Confidential
6
Firewall技术变革
防火墙 包过滤 通用 OS
• 基于三层/四层的过滤 • 实现简单,速度快 •安全性低,初级技术 •个人终端系统
的技术变革是简短的、快速的. 应用代理 嵌入 式OS
• 基于应用层的代理转发
状态检测 专用 OS
• 引入状态表
• 规范3层和4层行为 • 处理快,安全性较高 •网络处理时时性高 •根据用户需求定制
© 2011 Leadsec Security, Inc. All rights reserved. Leadsec Confidential
28
策略顺序调整
–通过调整PCP包分类的顺序来控制策略的顺序
© 2011 Leadsec Security, Inc. All rights reserved.
24
网络接口配置
桥接口 配置
•桥接口主要用以完成二层报文透传功能 •在透明模式中使用桥接口
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
25
常用配置 熟悉配置常见的安全业务 介绍 多核防火墙主要安全业务配置
15
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
命令行界面 – 功能
打开一个终端会话;使用默认值登陆 –login: administrator 默认进入命令行界面 (CLI) –使用向上或向下箭头键回到以前命令 –使用CTL-A移动到命令行的开头 –使用CTL-E 移动到命令行的结尾 –使用左箭头和右箭头键移动光标编辑命令 –使用TAB进行命令补全 –可用的帮助 password: administrator
•使用 ? 显示可用选项
•在命令提示符下使用 •在命令的参数中使用
© 2011 Leadsec Security, Inc. All rights reserved. Leadsec Confidential
12
帮助工具--CLI
键入?后,将会显示两 列:
–左边一列显示了下一步 需键入的命令 •未在括号内的字符是 需要逐字键入的 •在括号内的字符是变 量 –右列是对左列显示命令 的描述
Leadsec Confidential
命令行界面 – 功能
打开一个终端会话;使用默认值登陆 –login: administrator 默认进入命令行界面 (CLI) –使用向上或向下箭头键回到以前命令 –使用CTL-A移动到命令行的开头 –使用CTL-E 移动到命令行的结尾 –使用左箭头和右箭头键移动光标编辑命令 –使用TAB进行命令补全 –可用的帮助 password: administrator
Leadsec Confidential
26
安全业务参数
安全 业务 参数
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
27
包分类(PCP)
包分类
•PCP匹配原则:序号小的PCP优先匹配。 一旦匹配某条PCP则不再继续向下匹配。 •新增的PCP自动排列在最后一条,可以通 过调序使该PCP被优先匹配。
3
云计算安全架构
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
4
网御星云自防御云计算业务安全战略关键组件
多核防 火墙
SSL VPN 万兆多 核异常 流量清 洗 万兆接口卡
Leadsec Manager统 一策略管理和日志审计
1
课程目标
完成本课程,你将能够:
Leadsec 多核防火墙管理 Leadsec 多核防火墙策略配置
Leadsec Guard日常管理及维护
Leadsec IPS日常管理及维护 Leadsec SAG日常管理及维护 Leadsec 安全审计日常管理及维护 日常网络故障排错
In
Applications
硬 件 平 台
VSP
CPU CPU CPU I/O
Out
CPU
Mgr.
I/O
Mgr
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
9
多核防火墙快速上手
快速上手(请参考快速安装手册) 支持管理方式:
可扩展性(易)
page8
8
采用高性能多核硬件架构
高性能多核硬件架构 多核架构优势 – 新建会话能力强,达到40万 – 支撑更高更多的网络接口,4XFP/48SFP – 控制/数据层面分离 – 高负载时仍然可以进行正常的管理操作 – CPU忙碌时不影响已建立的会话数据转发 多核芯片特点 – 2×Unit/KingGuard,8×Core/Unit, 4×vCPU/Core – XLR内部数据交换128Gbps – 集成加解密引擎,支持AES、3DES多种 算法 – 支持C语言开发,编程灵活 多 核 芯 片
–配置PCP规则对数据报文进行有效分类. –对对应的PCP分类报文进行NAT转换,保证其对互联网的访问。 –在相应类型的数据报文上挂载DPI,QOS,连接数限制等安全业务。 –配置相应的DNAT策略,保证内网DMZ区服务器的访问控制及安全性。
26
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
22
SSH远程登录管理防火墙
SSH登录管理必须首先在菜单“防火墙>>本地服务”中 添加ssh-server服务,才可以通过SSH协议远程登录安全 网关。以SecureCRT 5.0版本客户端为例,客户端设置 选择协议为ssh2,端口为8283,用户为root,默认密码 leadsecntr。此时客户端的IP必须是管理主机IP之一。 root@SuperV-5800 ~$ cli_sh SuperV-5800#config SuperV-5800(config)#
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
19
管理访问的基本配置(续)
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
串口命令行管理-用于灾难的恢复工作
WebUI管理-用于日常配置管理 SSH远程管理-用于远程管理调试 集中管理-用于设备集群管理模式
10
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
10
建立串口连接
Leadsec 防火墙