安全設備規劃與配置第一頁，共三十二頁，編輯于2023年，星期日17.1網絡安全設備概述無論是大中型企業網絡，還是小型家庭辦公網絡，對網絡安全方面的要求一直保持上升趨勢。解決網絡安全問題最常用的防護手段就是安裝相應的安全設備，尤其是對于大中型規模的網絡而言，網絡安全設備更是實現網絡安全必不可少的裝備。網絡安全設備目前主要包括3種類型，即防火墻、IDS和IPS。第二頁，共三十二頁，編輯于2023年，星期日17.1.1防火墻

CiscoPIX535防火墻

防火墻的英文名稱為“FireWall”，是目前最重要的一種網絡防護設備。網絡防火墻的主要功能就是抵御外來非法用戶的入侵，就像是矗立在內部網絡和外部網絡之間的一道安全屏障。

第三頁，共三十二頁，編輯于2023年，星期日1.防火墻的主要功能防火墻的主要功能，一般來說主要有以下幾個方面。（1）創建一個阻塞點（2）隔離不同的網絡（3）強化網絡安全策略（4）包過濾（5）網絡地址轉換（6）流量控制和統計分析（7）URL級信息過濾2.防火墻的局限性與脆弱性第四頁，共三十二頁，編輯于2023年，星期日17.1.2IDS入侵檢測系統（IntrusionDetectionSystems，IDS）作為一種網絡安全的監測設備，依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。第五頁，共三十二頁，編輯于2023年，星期日1.IDS概述不同于防火墻，IDS入侵檢測系統是一個監聽設備，無需串接在任何鏈路中，無需網絡流量流經該設備，即可監測到網絡中的異常傳輸。事實上，IDS就是網絡中的一個竊聽設備，時刻關注著網絡中的數據傳輸。

CiscoIDS第六頁，共三十二頁，編輯于2023年，星期日2.IDS的優勢與缺陷（1）IDS的優勢

●整體部署，實時檢測，可根據用戶的歷史行為模型、存儲在計算機中的專家知識及神經網絡模型，對用戶當前的操作進行判斷，及時發現入侵事件。●對于入侵與異常不必做出阻斷通信的決定，能夠從容提供大量的網絡活動數據，有利于在事后入侵分析中評估系統關鍵資源和數據文件的完整性。●獨立于所檢測的網絡，黑客難于消除入侵證據，便于入侵追蹤與網絡犯罪取證。●同一網段或者同一臺主機上一般只需部署一個監測點就近監測，速度快，擁有成本低

第七頁，共三十二頁，編輯于2023年，星期日（2）IDS的缺陷●檢測范圍不夠廣。●檢測效果不理想。●無力防御UDP攻擊。●只能檢測，不能防御。●無法把攻擊防御在網絡之外。●過分依賴檢測主機。●難以突破百兆瓶頸。●性能有待提高。●伸縮性欠佳。●部署難度大。●安全策略不夠豐富。第八頁，共三十二頁，編輯于2023年，星期日17.1.3IPS

入侵防御系統（IntrusionPreventionSystem，IPS）的設計基于一種全新的思想和體系架構。工作于串聯（IN-LINE）方式，采用ASIC、FPGA或NP（網絡處理器）等硬件設計技術實現網絡數據流的捕獲，引擎綜合特征檢測、異常檢測、DoS檢測和緩沖區溢出檢測等多種手段；并使用硬件加速技術進行深層數據包分析處理，能高效、準確地檢測和防御已知、未知的攻擊及DoS攻擊；并實施多種響應方式，如丟棄數據包、終止會話、修改防火墻策略、實時生成警報和日志記錄等，突破了傳統IDS只能檢測不能防御入侵的局限性，提供了一個完整的入侵防護解決方案。第九頁，共三十二頁，編輯于2023年，星期日1.IPS概述CiscoIPS設備

第十頁，共三十二頁，編輯于2023年，星期日2.IPS的技術特征作為信息安全保障主動防御的核心技術，IPS一般應具有下列主要的技術特征。（1）完善的安全策略（2）嵌入式運行模式（3）豐富的入侵檢測手段（4）強大的響應功能（5）高效的運行機制（6）較強的自身防護能力第十一頁，共三十二頁，編輯于2023年，星期日3.IPS的分類IPS大致可以分為以下幾類。（1）基于主機的入侵防御（HIPS）（2）基于網絡的入侵防御（NIPS）（3）應用入侵防御（AIP）第十二頁，共三十二頁，編輯于2023年，星期日4.IPS的技術優勢實時檢測與主動防御是IPS最為核心的設計理念，也是其區別于防火墻和IDS的立足之本。為實現這一理念，IPS在如下5個方面實現了技術突破，形成了不可低估的優勢。（1）在線安裝（In-Line）。（2）實時阻斷（Real-timeInterdiction）（3）先進的檢測技術（AdvancedDetectionTechnology）（4）特殊規則植入功能（Build-inSpecialRule）（5）自學習與自適應能力（Self-study&Self-adaptationAbility）第十三頁，共三十二頁，編輯于2023年，星期日5.IPS的缺陷IPS技術的缺陷主要包括4個方面，即單點故障、性能瓶頸、誤報與漏報和總擁有成本較高。（1）單點故障（Single-pointFault）（2）性能瓶頸（PerformanceBottle-neck）（3）誤報（Falsepositive）與漏報（Falsenegatives）（4）總體擁有成本（TOC）高第十四頁，共三十二頁，編輯于2023年，星期日17.2網絡安全設計與配置17.2.1防火墻設計防火墻通常部署于網絡的邊界。邊界可以是局域網與廣域的、局域網與Internet的、不同子網之間，以及子網與服務器之間的等。第十五頁，共三十二頁，編輯于2023年，星期日1.內部網絡與Internet的連接之間

防火墻分割的三個區域內部區域外部區域DMZ區域第十六頁，共三十二頁，編輯于2023年，星期日2.連接局域網和廣域網局域網和廣域網之間的連接是應用防火墻最多的網絡，不過網絡用戶根據自己具體需要的不同，有兩種連接方式可供選擇。第十七頁，共三十二頁，編輯于2023年，星期日DMZ區域外部網絡存在邊界路由器網絡連接內部網絡第十八頁，共三十二頁，編輯于2023年，星期日無邊界路由器的網絡連接內部網絡外部網絡DMZ區域第十九頁，共三十二頁，編輯于2023年，星期日3.內部網絡不同部門之間的連接連接內部子網絡被保護網絡第二十頁，共三十二頁，編輯于2023年，星期日4.用戶與中心服務器之間的連接虛擬防火墻第二十一頁，共三十二頁，編輯于2023年，星期日17.2.2IDS設計IDS一般位于內部網的入口處，安裝在防火墻的后面，用于檢測入侵和內部用戶的非法活動，提供對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前進行攔截和響應入侵處理。

第二十二頁，共三十二頁，編輯于2023年，星期日1.IDS位置服務器區域的交換機上服務器IDS核心交換機第二十三頁，共三十二頁，編輯于2023年，星期日2.IDS與防火墻聯動

IDS與防火墻協同工作服務器核心交換機IDS防火墻第二十四頁，共三十二頁，編輯于2023年，星期日17.2.3IPS設計1.路由防護IPS內部服務器核心交換機DMZ區網絡客戶端路由防護，將IPS直接部署至路由器和核心交換機之間，借助網絡的邊界防護，實現IPS和防火墻功能，為整個網絡提供網絡安全保護。

第二十五頁，共三十二頁，編輯于2023年，星期日2.交換防護將IPS作為網絡核心，采用一進多出或多進多出的方式，實現不同網段相互連接，進行數據交換，同時實現防火墻功能。

內部服務器網絡客戶端IPS第二十六頁，共三十二頁，編輯于2023年，星期日3.多鏈路防護采用多路IPS的連接方式，一路IPS防護一個ISP接入，各路IPS相互獨立，彼此之間沒有數據交換，互不干擾。內部服務器網絡客戶端外部服務器IPS核心交換機第二十七頁，共三十二頁，編輯于2023年，星期日4.混合防護多種模式分層防護，監控與防護相結合，更完善。在線NIPS模式與旁路NIDS模式相配合。內部服務器網絡客戶端外部服務器遠程用戶接入IPSIDS第二十八頁，共三十二頁，編輯于2023年，星期日17.2.3綜合安全設計IDSIPSMARS核心交換機集成

防火墻模塊路由器

啟用IOS防火墻交換機

啟用IOS防火墻第二十九頁，共三十二頁，編輯于2023年，星期日17.3CiscoASDM配置Cisco自適應安全設備管理器（AdaptiveSecurityDeviceManager，ASDM）通過一個直觀、易用、基于Web的管理界面，提供了世界級的安全管理和監控服務。結合CiscoASA5500系列自適應安全設備和CiscoPIX安全設備，CiscoASDM提供的智能向導、強大的管理工具和靈活的監控服務，進一步增強Cisco安全設備套件提供的先進的集成安全和網絡功能，從而加速安全設備的部署。其基于Web的安全設計可使用戶能隨時隨地訪問CiscoASA5500系列自適應安全設備和CiscoPIX安全設備。第三十頁，共三十二頁，編輯于2023年，星期日17.3.1CiscoASDM簡介作為自適應安全設備管理器，C