安全設備基本部署和操作培訓課件

安全設備基本部署和操作培訓2023/3/24目錄USG系列Internet一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。兩個安全域之間通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為內(nèi)部網(wǎng)受保護網(wǎng)絡InternetHostA

HostCHostDHostBDefaultGateway=防火墻相當于一個簡單的路由器67提供簡單的路由功能NO.2

路由接入內(nèi)部工作子網(wǎng)與外網(wǎng)的訪問控制進行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進日志文件合法請求則允許對外訪問發(fā)起訪問請求防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理隔離2、訪問控制3、對工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)DMZ區(qū)域與外網(wǎng)的訪問控制

Internet區(qū)域Internet邊界路由器進行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進日志文件禁止對外發(fā)起連結(jié)請求發(fā)起訪問請求防火墻在此處的功能：1、DMZ網(wǎng)段與外部子網(wǎng)的物理隔離2、訪問控制3、對DMZ子網(wǎng)做MAP映射4、日志記錄DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)撥號用戶對內(nèi)部網(wǎng)的訪問控制撥號服務器Cisco2620移動用戶PSTNModemModem進行一次性口令認證認證通過后允許訪問內(nèi)網(wǎng)將訪問記錄寫進日志文件內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)對總部的訪問控制撥號服務器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNSFW+VPNFW+VPN進行規(guī)則檢查將訪問記錄寫進日志文件防火墻在此處的功能：1、將內(nèi)部子網(wǎng)與連接下屬機構(gòu)的公網(wǎng)隔離開2、控制下屬機構(gòu)子網(wǎng)用戶對總部內(nèi)網(wǎng)的訪問3、對下屬機構(gòu)網(wǎng)絡與總部子網(wǎng)之間的通訊做日志和審計NAT網(wǎng)關(guān)和IP復用Internet4HostA受保護網(wǎng)絡HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報頭數(shù)據(jù)IP報頭源地址：1目地址：4源地址：目地址：4隱藏了內(nèi)部網(wǎng)絡的結(jié)構(gòu)內(nèi)部網(wǎng)絡可以使用私有IP地址公開地址不足的網(wǎng)絡可以使用這種方式提供IP復用功能USG演示設備971 <----> USG5360SVN3000最佳接入體驗所見即所得快速部署無客戶端文件服務器網(wǎng)管Manager酒店住宅營業(yè)廳系統(tǒng)(BOSS系統(tǒng))郵件服務器SMCWeb服務器移動辦公終端不需要部署特定軟件，通過瀏覽器就可以實現(xiàn)應用系統(tǒng)訪問訪問資源通過Web頁面逐項呈現(xiàn)，訪問人員對內(nèi)網(wǎng)提供的服務一目了然無需改變內(nèi)網(wǎng)網(wǎng)絡結(jié)構(gòu)即可實現(xiàn)快速部署優(yōu)秀的Web界面快速實現(xiàn)用戶和權(quán)限管理SVN3000經(jīng)典部署ClientIntranetServers本地數(shù)據(jù)庫LDAPRADIUSCASecurID加密認證Syslog

Server授權(quán)審計SVN3000演示設備972 <----> SVN3000NIP實時檢測實時地監(jiān)視、分析網(wǎng)絡中所有的數(shù)據(jù)報文發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文安全審計對系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動響應主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey形象地說，它就是網(wǎng)絡攝象機，能夠捕獲并記錄網(wǎng)絡上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。NIP應用場景HostCHostDHostBHostA受保護網(wǎng)絡InternetIDS發(fā)起攻擊發(fā)送通知報文驗證報文并采取措施發(fā)送響應報文識別出攻擊行為阻斷連接或者報警等漏洞掃描系統(tǒng)脆弱報告攻擊NIP演示設備NIP控制臺 11 遠程桌面 hs400/Admin@123網(wǎng)絡設備SNMP支持啟用SNMPAgent，配置版本為支持所有版本snmp-agentsys-infoversionall配置團體名和訪問權(quán)限

snmp-agentcommunityreadpublic

snmp-agentcommunitywriteprivate使用LoopB