防火墙、入侵检测系统与整体安全策略.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
asa(config-if)# nameif DMZ asa(config-if)# ip address 192.168.1.254 255.255.255.0 asa(config-if)#security-level 50
DMZ 10.1.1.1/24 Inside E0/1 R3 192.168.1.1/24
如果要允许网络 172.16.1.0/24的入站 连接,应该如何配置?
12/27
配置静态路由
• ASA支持静态和默认路由、动态路由 需要指定接口 • 配置静态路由的命令
asa(config)# route interface-name network mask next-hop-address
172.16.2.0/24 10.1.1.1/24 Inside Outside 172.16.1.1/24
E0/0
R2
如果ASA 的型号是 5505,则不支持在物理接口上直接进行以上 asa(config-if)# nameif inside asa(config-if)# nameif outside asa# show conn detail 在 R1 上可以 Telnet 到 R2 ,但在 R2 上不能 Telnet 到 R1 在 R1 上是否能 ping 配置,必须通过VLAN虚接口来配置 asa(config-if)# ip address 通172.16.1.1 ,为 asa(config-if)# ip address ………………….. 10.1.1.254 172.16.1.254 255.255.255.0 什么? TCP 255.255.255.0 outside:172.16.1.1/23 inside:10.1.1.1/44043 flags UIO asa(config-if)#security-level 100 asa(config-if)#security-level 0
ASA接口的配置
• 配置接口的名称
asa(config-if)# nameif name
范围是0~100
• 配置接口的安全级别
asa(config-if)# security-level number
• 配置实例
R1
10.1.1.1/24 Inside E0/1
Outside 172.16.1.1/24
– 源IP地址 – 目的IP地址 – IP协议(例如TCP或UDP) – IP协议信息(例如TCP/UDP端口号,TCP序 列号,TCP控制位)
• 默认情况下,ASA对TCP和UDP协议提供 状态化连接,但ICMP协议是非状态化的
4/27
状态化防火墙2-2
• 状态化防火墙进行状态化处理的过程
Conn表 Inside IP Address IP Protocol Inside Port Outside IP Address Outside Port 10.1.1.1 TCP 12000 172.16.1.1 80
控制出站连接的流量 • 允许入站连接
ASA 如果inside 区域有多个子网,要禁止子网10.1.1.0/24的 – 的默认规则是禁止入站连接,如果要允许 流量出站 入站连接,就需要配置ACL
asa(config)# access-list out_to_in permit ip host 172.16.1.1 host asa(config)# access-list in_to_out deny ip 10.1.1.0 255.255.255.0 10.1.1.1 any asa(config)# access-group out_to_in in int outside asa(config)# access-list in_to_out permit ip any any asa(config)# access-group in_to_out in int inside
6/27
安全算法的原理2-2
• 数据报文穿越ASA的过程
2 3 4 5 ACL 8 7 XLATE CONN 检测 6
原始报文
1
返回报文
ASA ASA对返回报文的处理: 对原始报文的处理:
6. 1. 目的主机响应该报文 一个新来的TCP SYN报文到达ASA,试图建立一个新的连接 7. 2. ASA ASA接收返回报文并进行检测,查询连接确定会话信息与现有连接是否 检查访问列表,确定是否允许连接 匹配 3. ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接 8. ASA 转发属于已建立的现有会话的报文 表( xlate 和conn表)中创建一个新条目 4. ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一 步执行应用层检测 5. ASA根据检测引擎确定是否转发或丢弃报文。如果允许转发,则将报 文转发到目的主机
使用正常的掩码
将ACL应用到接口
asa(config)# access-group acl_name {in | out} interface interface_ name
11/27
配置ACL
R1 10.1.1.1/24 Inside E0/1
Outside 172.16.1.1/24
E0/0 R2
FTP服务器和论坛等
DMZ Inside Outside
Internet
默认的访问规则
• DMZ区的安全级别
– 介于inside和outside之间
• 有六条默认的访问规则
DMZ
在实际应用中,通常需要 配置访问规则和地址转换 允许outside访问DMZ
Inside
Outside
DMZ区域的基本配置
10/27
配置ACL
• 配置ACL有两个作用
– 允许入站连接 – 控制出站连接的流量 配置标准 配置扩展ACL
[standrad] {permit | deny} asa(config)# access-list acl_name [extended] ip_addr mask protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]
• 接口的名称
– 物理名称 – 逻辑名称
用来描述安全区域,例如inside、 outside
• 接口的安全级别
• 不同安全级别的接口之间访问时,遵从的默认规则
允许出站( outbound)连接 Inside
Outside Internet
安全级别高 安全级别低
禁止入站(inbound)连接
禁止相同安全级别的接口之间通信
13/27
ASA的其他配置
• ICMP协议
允许ICMP报文穿越 ASA asa(config)# access-list 111 permit icmp any any asa(config)# access-group 111 in int outside
• 保存running config配置
R1
E0/1
E0/0
RR
R2
1)在 ASA 上配置静态路由 asa# show route asa(config)# route outside 172.16.1.0 255.255.255.0 172.16.2.1 ……………… S 172.16.1.0 255.255.255.0 [1/0] via 172.16.2.1, outside 2)在路由器 RR上配置静态路由 C 172.16.2.0 255.255.255.0 is directly connected, outside C 10.1.1.0 255.255.255.0 is directly connected, inside
10.1.1.1 PC
Inside
Outside
172.16.1.1 Web
发起 HTTP请求 转发HTTP请求 防火墙将连接信息 防火墙拦截该流量,并检查其连接信息 添加到Conn表 在 在Conn Conn表中找到 表中未找 匹配信息,流量 到匹配信息,流 被允许 量被丢弃 服务器响应请求
5/27
防火墙、入侵检测系统与整体安全策略
防火墙的应用
Cisco防火墙简介
• 硬件与软件防火墙
– 软件防火墙 – 硬件防火墙
• ASA安全设备
– ASA 5500系列 常见型号:5505、5510、5520、5540、5550、 5580
3/27
状态化防火墙2-1
• 状态化防火墙维护一个关于用户信息的连 接表,称为Conn表 • Conn表中的关键信息
包括网络流量的内容、用户 连接活动的状态和行为 信息收集 3 种技术手段: 模式匹配 统计分析 完整性分析 统计分析首先给信息对象(如用户、连接等) 信号分析
创 完整性分析主要关注某个文件或对象是否被更改 建一个统计描述,统计正常使用时的一些测量 ,包括文件和目录的内容及属性,它在发现被更 属 模式匹配是将收集到的信息与已知的网络入侵和 改的、被特洛伊木马感染的应用程序方面特别有 性(如访问次数等)。测量属性的平均值将被 对入侵行为做出适当的反应, 系统误用模式数据库进行比较,从而发现违背安 用 效。 包括详细日志记录、实时报 全策略的行为。 来与网络行为进行比较,任何观察值在正常偏 优点:只要是成功的攻击导致了文件或其它对象 警和有限度的反击攻击源 优点:只需收集相关的数据集合,显著减少系统 差 的任何改变,它都能够发现 负担。 之外时,就认为有入侵发生。 缺点:不用于实时响应 缺点:需要不断的升级,不能检测到从未出现过 优点:可检测到未知的入侵和更为复杂的入侵 的攻击手段 缺点:误报、漏报率高,且不适应用户正常行 为 的突然改变
asa# write memory或 asa# copy running-config startup-config
• 清除running config的所有配置
asa(config)# clear config 百度文库ll
• 清除running config中指定命令的配置
asa(config)# clear config configcommand [level2configcommand]
• 删除startup-config配置文件
asa# write erase
14/27
多安全区域
• DMZ区域的概念和作用
– DMZ(DeMilitarized Zone)称为“隔离区”, 也称“非军事化区” – 位于企业内部网络和外部网络之间的一个网络区 可以放置一些必须公开的 服务器,例如Web服务器、 域
E0/2 Outside E0/0
安全级别0
172.16.1.1/24 R2
R1
安全级别100
• 验证默认规则 配置ACL实现R2能够Telnet到R3
– R1上可以 Telnet 到 R2和R3 在 使用“ show conn detail ”命令查看Conn表 – 在 R3 上可以 Telnet 到R2”命令查看路由表 但不能Telnet到R1 使用“ show route – 在R2上不能Telnet到R1和R3
• 使用一个或多个监听端 口“嗅探” • 不转发任何流量
IDS
受保护的网络
对收集的报文,提取相应的流量统计特征值,并 利用内置的特征库,与这些流量特征进行分析、 比较、匹配 根据系统预设的阀值,匹配度较高的报文流量将 被认为是攻击,IDS将根据相应的配置进行报警 或进行有限度的反击
IDS工作流程
7/27
ASA的基本配置-主机名和密 码
• 配置主机名
ciscoasa(config)# hostname asa
• 配置密码
– 配置特权密码
asa(config)# enable password asa802
– 配置远程登录密码
asa(config)# passwd cisco
8/27
ASA的接口
安全算法的原理2-1
• ASA使用安全算法执行以下三项基本操作
– 访问控制列表
• 基于特定的网络、主机和服务(TCP/UDP端口号) 控制网络访问
– 连接表
• 维护每个连接的状态信息 • 安全算法使用此信息在已建立的连接中有效转发 流量
– 检测引擎
• 执行状态检测和应用层检测 • 检测规则集是预先定义的,来验证应用是否遵从 每个RFC和其他标准
入侵检测系统的配置
IDS/IPS概述
• 入侵检测系统(Intrusion Detection System,IDS)
– 对入侵行为发现(告警)但不进行相应的处理
• 入侵防护系统(Intrusion Prevention System,IPS)
– 对入侵行为发现并进行相应的防御处理
IDS工作原理
DMZ 10.1.1.1/24 Inside E0/1 R3 192.168.1.1/24
如果要允许网络 172.16.1.0/24的入站 连接,应该如何配置?
12/27
配置静态路由
• ASA支持静态和默认路由、动态路由 需要指定接口 • 配置静态路由的命令
asa(config)# route interface-name network mask next-hop-address
172.16.2.0/24 10.1.1.1/24 Inside Outside 172.16.1.1/24
E0/0
R2
如果ASA 的型号是 5505,则不支持在物理接口上直接进行以上 asa(config-if)# nameif inside asa(config-if)# nameif outside asa# show conn detail 在 R1 上可以 Telnet 到 R2 ,但在 R2 上不能 Telnet 到 R1 在 R1 上是否能 ping 配置,必须通过VLAN虚接口来配置 asa(config-if)# ip address 通172.16.1.1 ,为 asa(config-if)# ip address ………………….. 10.1.1.254 172.16.1.254 255.255.255.0 什么? TCP 255.255.255.0 outside:172.16.1.1/23 inside:10.1.1.1/44043 flags UIO asa(config-if)#security-level 100 asa(config-if)#security-level 0
ASA接口的配置
• 配置接口的名称
asa(config-if)# nameif name
范围是0~100
• 配置接口的安全级别
asa(config-if)# security-level number
• 配置实例
R1
10.1.1.1/24 Inside E0/1
Outside 172.16.1.1/24
– 源IP地址 – 目的IP地址 – IP协议(例如TCP或UDP) – IP协议信息(例如TCP/UDP端口号,TCP序 列号,TCP控制位)
• 默认情况下,ASA对TCP和UDP协议提供 状态化连接,但ICMP协议是非状态化的
4/27
状态化防火墙2-2
• 状态化防火墙进行状态化处理的过程
Conn表 Inside IP Address IP Protocol Inside Port Outside IP Address Outside Port 10.1.1.1 TCP 12000 172.16.1.1 80
控制出站连接的流量 • 允许入站连接
ASA 如果inside 区域有多个子网,要禁止子网10.1.1.0/24的 – 的默认规则是禁止入站连接,如果要允许 流量出站 入站连接,就需要配置ACL
asa(config)# access-list out_to_in permit ip host 172.16.1.1 host asa(config)# access-list in_to_out deny ip 10.1.1.0 255.255.255.0 10.1.1.1 any asa(config)# access-group out_to_in in int outside asa(config)# access-list in_to_out permit ip any any asa(config)# access-group in_to_out in int inside
6/27
安全算法的原理2-2
• 数据报文穿越ASA的过程
2 3 4 5 ACL 8 7 XLATE CONN 检测 6
原始报文
1
返回报文
ASA ASA对返回报文的处理: 对原始报文的处理:
6. 1. 目的主机响应该报文 一个新来的TCP SYN报文到达ASA,试图建立一个新的连接 7. 2. ASA ASA接收返回报文并进行检测,查询连接确定会话信息与现有连接是否 检查访问列表,确定是否允许连接 匹配 3. ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接 8. ASA 转发属于已建立的现有会话的报文 表( xlate 和conn表)中创建一个新条目 4. ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一 步执行应用层检测 5. ASA根据检测引擎确定是否转发或丢弃报文。如果允许转发,则将报 文转发到目的主机
使用正常的掩码
将ACL应用到接口
asa(config)# access-group acl_name {in | out} interface interface_ name
11/27
配置ACL
R1 10.1.1.1/24 Inside E0/1
Outside 172.16.1.1/24
E0/0 R2
FTP服务器和论坛等
DMZ Inside Outside
Internet
默认的访问规则
• DMZ区的安全级别
– 介于inside和outside之间
• 有六条默认的访问规则
DMZ
在实际应用中,通常需要 配置访问规则和地址转换 允许outside访问DMZ
Inside
Outside
DMZ区域的基本配置
10/27
配置ACL
• 配置ACL有两个作用
– 允许入站连接 – 控制出站连接的流量 配置标准 配置扩展ACL
[standrad] {permit | deny} asa(config)# access-list acl_name [extended] ip_addr mask protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]
• 接口的名称
– 物理名称 – 逻辑名称
用来描述安全区域,例如inside、 outside
• 接口的安全级别
• 不同安全级别的接口之间访问时,遵从的默认规则
允许出站( outbound)连接 Inside
Outside Internet
安全级别高 安全级别低
禁止入站(inbound)连接
禁止相同安全级别的接口之间通信
13/27
ASA的其他配置
• ICMP协议
允许ICMP报文穿越 ASA asa(config)# access-list 111 permit icmp any any asa(config)# access-group 111 in int outside
• 保存running config配置
R1
E0/1
E0/0
RR
R2
1)在 ASA 上配置静态路由 asa# show route asa(config)# route outside 172.16.1.0 255.255.255.0 172.16.2.1 ……………… S 172.16.1.0 255.255.255.0 [1/0] via 172.16.2.1, outside 2)在路由器 RR上配置静态路由 C 172.16.2.0 255.255.255.0 is directly connected, outside C 10.1.1.0 255.255.255.0 is directly connected, inside
10.1.1.1 PC
Inside
Outside
172.16.1.1 Web
发起 HTTP请求 转发HTTP请求 防火墙将连接信息 防火墙拦截该流量,并检查其连接信息 添加到Conn表 在 在Conn Conn表中找到 表中未找 匹配信息,流量 到匹配信息,流 被允许 量被丢弃 服务器响应请求
5/27
防火墙、入侵检测系统与整体安全策略
防火墙的应用
Cisco防火墙简介
• 硬件与软件防火墙
– 软件防火墙 – 硬件防火墙
• ASA安全设备
– ASA 5500系列 常见型号:5505、5510、5520、5540、5550、 5580
3/27
状态化防火墙2-1
• 状态化防火墙维护一个关于用户信息的连 接表,称为Conn表 • Conn表中的关键信息
包括网络流量的内容、用户 连接活动的状态和行为 信息收集 3 种技术手段: 模式匹配 统计分析 完整性分析 统计分析首先给信息对象(如用户、连接等) 信号分析
创 完整性分析主要关注某个文件或对象是否被更改 建一个统计描述,统计正常使用时的一些测量 ,包括文件和目录的内容及属性,它在发现被更 属 模式匹配是将收集到的信息与已知的网络入侵和 改的、被特洛伊木马感染的应用程序方面特别有 性(如访问次数等)。测量属性的平均值将被 对入侵行为做出适当的反应, 系统误用模式数据库进行比较,从而发现违背安 用 效。 包括详细日志记录、实时报 全策略的行为。 来与网络行为进行比较,任何观察值在正常偏 优点:只要是成功的攻击导致了文件或其它对象 警和有限度的反击攻击源 优点:只需收集相关的数据集合,显著减少系统 差 的任何改变,它都能够发现 负担。 之外时,就认为有入侵发生。 缺点:不用于实时响应 缺点:需要不断的升级,不能检测到从未出现过 优点:可检测到未知的入侵和更为复杂的入侵 的攻击手段 缺点:误报、漏报率高,且不适应用户正常行 为 的突然改变
asa# write memory或 asa# copy running-config startup-config
• 清除running config的所有配置
asa(config)# clear config 百度文库ll
• 清除running config中指定命令的配置
asa(config)# clear config configcommand [level2configcommand]
• 删除startup-config配置文件
asa# write erase
14/27
多安全区域
• DMZ区域的概念和作用
– DMZ(DeMilitarized Zone)称为“隔离区”, 也称“非军事化区” – 位于企业内部网络和外部网络之间的一个网络区 可以放置一些必须公开的 服务器,例如Web服务器、 域
E0/2 Outside E0/0
安全级别0
172.16.1.1/24 R2
R1
安全级别100
• 验证默认规则 配置ACL实现R2能够Telnet到R3
– R1上可以 Telnet 到 R2和R3 在 使用“ show conn detail ”命令查看Conn表 – 在 R3 上可以 Telnet 到R2”命令查看路由表 但不能Telnet到R1 使用“ show route – 在R2上不能Telnet到R1和R3
• 使用一个或多个监听端 口“嗅探” • 不转发任何流量
IDS
受保护的网络
对收集的报文,提取相应的流量统计特征值,并 利用内置的特征库,与这些流量特征进行分析、 比较、匹配 根据系统预设的阀值,匹配度较高的报文流量将 被认为是攻击,IDS将根据相应的配置进行报警 或进行有限度的反击
IDS工作流程
7/27
ASA的基本配置-主机名和密 码
• 配置主机名
ciscoasa(config)# hostname asa
• 配置密码
– 配置特权密码
asa(config)# enable password asa802
– 配置远程登录密码
asa(config)# passwd cisco
8/27
ASA的接口
安全算法的原理2-1
• ASA使用安全算法执行以下三项基本操作
– 访问控制列表
• 基于特定的网络、主机和服务(TCP/UDP端口号) 控制网络访问
– 连接表
• 维护每个连接的状态信息 • 安全算法使用此信息在已建立的连接中有效转发 流量
– 检测引擎
• 执行状态检测和应用层检测 • 检测规则集是预先定义的,来验证应用是否遵从 每个RFC和其他标准
入侵检测系统的配置
IDS/IPS概述
• 入侵检测系统(Intrusion Detection System,IDS)
– 对入侵行为发现(告警)但不进行相应的处理
• 入侵防护系统(Intrusion Prevention System,IPS)
– 对入侵行为发现并进行相应的防御处理
IDS工作原理