网络安全高级应用第二章.ppt

* 说明安全级别的范围为0－100，值越大，安全级别越高。 一般情况，都将inside的安全级别设置为最高（100），将outside设置为最低，这点毋庸置疑。但是为什么一般用于方式服务器的DMZ区的安全级别要在两者之间呢？ 错误的观点认为，DMZ放置的服务器资源非常重要（至少比客户端重要），所以它的安全级别应该最高。 首先并不是所有的服务器需要放置在DMZ区，例如公司内部某部门内部使用的，或公司内部使用的服务器就不应放置在DMZ区；一般都会把需要外网访问的服务器放置在DMZ（分公司通过外网访问也算），这时就必须开放某些端口以提供访问，这就会降低安全性，相对来说更容易被入侵；如果将服务器放置在最高级别，一旦服务器被入侵，黑客将获得整个网络的访问权限。这是一种安全的设计理念，只是从可能性方面分析网络设计的合理性。 DMZ区域可能不只一个，例如有一个DMZ是供分公司访问的，另外一个是供公网用户访问的，它们的安全级别自然不同，谁高谁低取决于谁更可信，一般来说，分公司要比公网用户更可信，所以分公司的DMZ的安全级别就会高于外网DMZ。 * ASA 5505不支持在物理接口上直接配置，必须通过VLAN虚接口来配置。 之所以ASA5505设计成只支持虚接口，因为对于小型企业而言，构建网络多数考虑的是如果节省资金，往往牺牲一部分性能也无所谓（对性能的要求本来就不高）。设想一下，加入公司有两台服务器或更多需要外网访问，如果不是虚接口的设计，公司就必须提供一台交换机，连接两台服务器。但是如果选择ASA5505（相当于防火墙+交换机），由于有8个物理接口，同时支持虚接口，因此可以将两台服务器直接连到防火墙上。 * 使用命令“show route”查看路由表，命令与路由器不同。 * ASA支持3种主要的远程管理接入方式：Telnet、SSH和ASDM。 使用Telnet远程管理是不安全的，所以一般禁止从外部接口使用Telnet接入。 * 在生成RSA密钥对的过程中需要用到主机名和域名。 默认情况下，SSH同时支持版本1和版本2。 配置完后在Out主机上使用工具Putty登录ASA的Outside接口，注意ASA默认使用用户名：pix。 在ASA上使用show ssh session查看SSH会话。 * 自适应安全设备管理器（ASDM）是一种GUI远程管理方式。 要使用ASDM，首先要保证ASA的Flash中有ASDM映像，可以通过命令“dir”查看。 * 先讲解再演示。 从网站下载并安装Java Runtime Environment（JRE）。 使用ASDM有两种方式：以应用程序的方式运行ASDM和以Web方式运行ASDM。 * 动态nat是单向的 nat 0可以指定不需要被转换的流量，一般应用在VPN的配置中，将在后续章节中进行讲解。 在ASA上使用命令“show xlate”可以查看到2条地址转换条目。 * 本页重点讲述配置nat-control前后的区别： 未配置nat-control， * 注意掩码部分使用正常的掩码，而不象路由器ACL那样使用反码。 本案例中禁止inside区域内部分主机-5访问outside 。 演示完配置后，验证在PC1上无法访问Out主机 。将PC1的IP改为0，可以访问Out主机 。 * 从低安全级别接口访问高安全级别接口，必须配置ACL。因为启用了nat-control命令，从低安全级别接口访问高安全级别接口必须匹配NAT规则，通常是配置Static NAT（静态NAT），静态NAT是双向的。 这一点需要强调。 * 默认情况下，禁止ICMP报文穿越ASA防火墙，这是基于安全性的考虑。 为了方便调试，可以配置允许几种类型的ICMP应答报文穿越ASA防火墙，在调试完毕后，通常建议禁止ICMP报文穿越ASA防火墙。 * 通过提问的方式小结前面讲解的主要知识点。 查看路由表的命令是“show route”。 ASA支持3种主要的远程管理接入方式：Telnet、SSH和ASDM。 从低安全级别接口访问高安全级别接口，需要配置Static和ACL命令。 * URL过滤可以实现某些主机只能访问特定的网站，这一方面可以控制用户的上网范围，另一方面可以加强安全性，降低访问木马网页的可能性。 对于任何防火墙产品来说，最重要的功能之一就是对事件的日志记录，ASA防火墙使用同步日志（syslog）来记录所有在防火墙上发生的事件。 ASA防火墙的IOS提供了IDS（Intrusion Detection System，入侵检测系统）特性，可以执行边界入侵检测功能。 * 在前面的实验环境下，在Out服务器上使用不同的主机头搭建网站 。 介绍要达到的要求，实施URL过滤的步骤 。