信息安全产品配置与应用.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2019/9/12,#,信息安全产品配置与应用,Configuration and Application of Information,Security Products,路亚,1,任务目标,任务,1,：学习使用入侵检测设备设计网络安全方案,子任务,A,：需求分析,子任务,B,：方案设计,任务,2,：学习入侵检测中实际部署中的配置,子任务,A,：入侵检测部署策略设计,子任务,B,：入侵检测配置,学习目标,掌握一般网络安全方案设计方法,熟悉入侵检测配置策略设计,了解天融信入侵检测 实际操作,本讲主要内容,2,需求分析的基本过程,了解现状,分析现状,确定需求（目标）,了解,分析,确定,3,需求分析,需求分析,是整个活动中非常关键的一个环节，错误的分析，会导致后期工作无法开展,了解现状,信息系统情况,网络使用情况,明显存在的问题,分析现状,信息系统的重要性及对网络的依赖性,网络的可靠性,发生风险事件时的影响范围和破坏程度,确定需求,确定用户的真实需求,确定网络安全建设目标,4,需求分析,了解现状,如何去了解现状？,交流、沟通,交流什么？沟通什么？,是否发生过网络安全事件？,要信息系统应用及范围？,网络拓扑情况？,目前采取了什么样的网络安全防护手段？,有什么网络安全规划？,今后的信息系统扩展可能会如何？,5,需求分析,分析现状,前提,了解到的现状，准确,了解到的需求准确,分析,分析现状情况下，存在的网络安全风险,分析风险发生时，可能带来的破坏情况,分析如何通过部署网络安全设备，处置上述风险,分析部署网络安全设备后的效果,分析扩展性和延续性,6,需求分析,了解、分析、确定,了解现状、分析现状，实际并没有那么明确的界限，一般是在与客户沟通过程中，穿插进行的。在完成语言的交流后，根据需要进一步以书面方式提交相关报告,在完成现状了解、分析后，,需求与目标的确定,就自然而然的确定了,7,需求分析,举例,8,该公司的,web,服务器将会对互联网用户开放；,公司的核心数据均采用网络方式传输，并存储于主机硬盘上；,公司对网络安全的依赖性极大，一旦网络或计算机发生故障，可能会严重影响公司的业务；,网络规划得在不影响网络速度的前提下才行。,需求分析,了解、分析,9,定制一个针对企业目前网络及应用适用的网络安全方案；,可以实现对服务器和内网区域的监控；,可以对内部服务器进行独立的保护；,设备的产应采用最新技术，产品应具有延续性，至少保证,3,年的产品升级延续。,需求分析,确定目标,10,需求分析,方案设计,方案评审,方案评审,：对提交的方案进行分析、审核，是否可以满足需求分析中确定的目标,.,（客户或专家评审）,方案设计,：根据需求分析与目标，设计可以满足要求的网络安全解决方案,.,需求分析,：根据了解到的现状，分析切实可行的需求,.,确定最佳解决方案,11,方案设计,入侵检测通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。,入侵检测系统在网络连接过程中通过实时监测网络中的各种数据，并与自己的入侵规则库进行匹配判断，一旦发现入侵迹象立即响应,/,报警，从而完成整个实时监测。又通过安全审计将历史事件一一记录下来，作为证据和为实施数据恢复做准备。,通过入侵检测与防火墙的联动进行阻断攻击行为。,12,方案设计,入侵检测通过串联到网络中，监控整个内网区域和服务器区域；,入侵检测通过和防火墙进行联动，保护整个服务器区域免受攻击影响。,13,方案设计,举例,14,设计方案编写,使用客户最认可的、容易理解的手段，,以,文字,+,图形,方式表现出来,Word,使用能力,PPT,使用能力,Visio,使用能力,15,防火墙部署设计,方案目录展示,16,17,防火墙部署设计,方案展示,方案展示（使用成功方案案例）,18,任务目标,任务,1,：学习使用入侵检测设备设计网络安全方案,子任务,A,：需求分析,子任务,B,：方案设计,任务,2,：学习入侵检测中实际部署中的配置,子任务,A,：入侵检测部署策略设计,子任务,B,：入侵检测配置,学习目标,掌握一般网络安全方案设计方法,熟悉入侵检测配置策略设计,了解天融信入侵检测 实际操作,本讲主要内容,19,配置策略设计,可以不用文字形式表现出来，可以在头脑中策划；,是不可跳过的一个步骤，不了解入侵检测具体的部署、配置策略，如何进行下一步的入侵检测配置？（没有乐谱，如何弹奏）,部署、策略设计与网络环境、应用情况关系密切，,必须确认真实、准确的入侵检测部署与需要实,现的功能要求；,入侵检测与防火墙的联动进行配置，涉及到,联动证书的配置。,20,配置策略设计,入侵检测接口,接口名称,接口,IP,地址,对端设备,备注,管理口,192.168.1.250,交换机内网区域,VLAN,接口,与,IDS,客户端通信使用,监控口,无,IP,地址,交换机镜像端口,服务器和内网区域所有接口都要镜像,COM,口,无,IP,地址,入侵检测配置主机,配置主机通过,com,口对,IDS,进行配置,21,IDS,通过监控口监控网络中的所有区域；,IDS,通过与网关防火墙进行联动保护服务器免受攻击；,（因为,IDS,是串联到网络中去的，它的部署上线不会影响网络正常的运行，所以我们可以先将,IDS,部署好后再进行,IDS,的策略配置）,配置策略设计,入侵检测策略配置,22,IDS,部署配置实践,-IDS,引擎配置,PC,串口线,接,COM,口,1.,用串口线把管理机和,IDS,的,COM,口,连接起来；,23,2.,在管理机上打开超级终端，进行,IDS,引擎的配置；（默认用户名：,admin,；密码：,talent,）,IDS,部署配置实践,-IDS,引擎配置,24,此时我们先对,IDS,引擎进行管理口的配置,3.,选择“系统管理”,“,网络配置”,“,IP,配置”,然后配置管理口的,ip,地址，子网掩码，网关。,IDS,部署配置实践,-IDS,引擎配置,25,IDS,部署配置实践,-IDS,引擎配置,管理口配置好了之后，我们就进行,IDS,的监听口的配置,4.,返回主界面，选择“引擎管理”,“引擎控制”,编辑当前配置”,“探头配置”。将,“,监听网卡,”,选择为所需要的抓包口，,“,响应网卡,”,选择为上面配置的管理口接口。,26,监听口和控制口都配置好了，就可以将,IDS,引擎上线了。监听口接交换机的镜像端，控制口接,IDS,管理主机（本案例中我们接到核心交换机的内外区域,VLAN,上任意一个接口上，只要与,IDS,管理中心路由可达即可）。,以上就完成了,IDS,引擎的操作，接下来我们介绍,IDS,控制主机的安装方法。,27,在管理主机上安装、配置,IDS,客户端：,1.,安装客户端；,IDS,部署配置实践,-IDS,管理中心配置,28,2.,登陆客户端，进行配置；（默认用户名：,admin,，密码：,talent,）,IDS,部署配置实践,-IDS,管理中心配置,29,探头配置：,选择“资产”,“引擎”，单击“添加”按钮，进行探头配置；,名称”和“组”自己填写，,ip,地址填入,IDS,控制口的,ip,，端口用默认的,2002,，“类型”选择自动获取，如果获取不成功，查看,IDS,的控制口与管理机之间链接是否正常，能否,ping,通，再看,ip,地址是否填写正确；,“策略”选择自动刷新探头，刷新出来后给这个探头分配策略,。,（因为我们要监控整个网络所有这里的探头策略我们选择默认策略就可以了，也可以根据需要自定义策略，我们将在后一章节详细介绍）,IDS,部署配置实践,-IDS,管理中心配置,30,31,探头配置好后，单击,“,确定,”,保存，然后就可以将刚才所选的配置下发到,IDS,引擎上了。单击“同步”，依顺序选择“下发策略”，“应用策略”。,IDS,部署配置实践,-IDS,管理中心配置,32,这样,IDS,管理中心就基本配置完成了，大家可以在实时和历史事件中看到数据。,IDS,部署配置实践,-IDS,管理中心配置,33,IDS,部署配置实践,-IDS,管理中心配置,点击引擎菜单中的引擎控制，打开防火墙联动证书窗口，导入防火墙生成的联动证书文件,Key_file_ids,应用；,点击策略编辑器中的响应按钮，打开响应对话框，编辑“天融信防火墙”属性；,用户可以对其响应属性进行修改。点击对话框中的“天融信防火墙”，在响应对话中会出现“天融信防火墙”，点击出现右边对话框中的响应方式；,双击编辑天融信防火墙的对象属性，输入防火墙的,IP,地址和密钥文件名；,双击右边对话框编辑响应对象属性。管理员可在下面的窗口中对天融信防火墙的响应方式进行设置；,在策略编辑器中针对需要防火墙阻断的事件，选择天融信防火墙的响应方式，即可对相应的事件实现防火墙阻断。（“策略”中选择该事件，然后在右边对话框中点击“添加”）,因为要将,IDS,与防火墙进行联动，我们需要在客户的防火墙上导出联动证书。,IDS,配置步骤如下：,34,35,更多实践案例,参考演示配置手册,上机实践,36,任务目标,任务,1,：学习使用入侵检测设备设计网络安全方案,子任务,A,：需求分析,子任务,B,：方案设计,任务,2,：学习入侵检测中实际部署中的配置,子任务,A,：入侵检测部署策略设计,子任务,B,：入侵检测配置,学习目标,掌握一般网络安全方案设计方法,熟悉入侵检测配置策略设计,了解天融信入侵检测 实际操作,本讲主要内容,37,