防火墙部分
1、防火墙的配置中的三个基本原则
(1)简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
(2)全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
(3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。目前来说,要做到这一点比较困难。
2、防火墙的具体配置步骤
1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。
2. 打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。 3. 运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在\附件\程序组中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
4. 当PIX防火墙进入系统后即显示\的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。
5. 输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。 6. 输入命令: configure terminal,进入全局配置模式,对系统进行初始化设置。 (1). 首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)
Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,\选项为系统自适应网卡类型
Interface ethernet1 auto
(2). 配置防火墙内、外部网卡的IP地址
IP address inside ip_address netmask # Inside代表内部网卡 IP address outside ip_address netmask # outside代表外部网卡 (3). 指定外部网卡的IP地址范围: global 1 ip_address-ip_address (4). 指定要进行转换的内部地址 nat 1 ip_address netmask (5). 配置某些控制选项:
conduit global_ip port[-port] protocol foreign_ip [netmask]
其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。
7. 配置保存:wr mem 8. 退出当前模式
9. 查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
10. 查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。
11. 查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
3、配置访问列表
所用配置命令为:access-list,合格格式比较复杂。
它是防火墙的主要配置部分,上述格式中带\部分是可选项,listnumber参数是规则号,标准规则号(listnumber1)是1~99之间的整数,而扩展规则号(listnumber2)是100~199之间的整数。它主要是通过访问权限\和\来指定的,网络协议一般有IP TCP UDP ICMP等等。如只允许访问通过防火墙对主机:220.154.20.254进行www访问。 其中的100表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。
4、地址转换(NAT)
防火墙的NAT配置与路由器的NAT配置基本一样,首先也必须定义供NAT转换的内部IP地址组,接着定义内部网段。
定义供NAT转换的内部地址组的命令是nat,它的格式为:nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]],其中if_name为接口名;nat_id参数代表内部地址组号;而local_ip为本地网络地址;netmask为子网掩码;max_conns为此接口上所允许的最大TCP连接数,默认为\,表示不限制连接;em_limit为允许从此端口发出的连接数,默认也为\,即不限制。
表示把所有网络地址为10.1.6.0,子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。
随后再定义内部地址转换后可用的外部地址池,它所用的命令为global,基本命令格式为:
global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各参数解释同上。如:
global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0
将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址,其子网掩耳盗铃码为255.255.255.0。
入侵检测部分
1、RG-IDS帐户管理
(1)原理 用户管理承担着系统认证中心的角色。用户登录时认证中心对用户名、密码做认证,如果有绑定设置则根据其绑定方式(静态绑定、动态绑定)对用户做绑定处理。此外,在认证登录用户时,如果某个用户从相同的IP(隐含的动态绑定)重复多次登录尝试,则将该用户视为可疑用户,认证中心会将该用户锁定,同时发送审计事件通知用户管理员(触发锁定的登录尝试次数可以用户管理员在创建时指定)。 用户管理还具有添加、删除用户和修改用户信息,并且可以为不同的用户分配权限。不同角色的用户具有不同的权限,每一种用户都不能越权操作。 (2)实验步骤
第一步:用户管理员登录
使用的默认的“Admin”帐号登录系统(默认安装时用户“Admin”的密码为“Admin”,强烈建议用户管理员第一次登录后修改该密码)。 第二步:用户查看
查看用户列表里各用户的状态。 第三步:新建一个用户
在“用户属性配置“窗口添加该用户的基本信息以及给该用户分配权限。 第四步:验证该用户
用新建的用户登录系统。 第五步:验证管理权限
用户可以查看本系统的策略。
2、RG-IDS策略管理
(1)原理 传感器使用策略来控制其所监测的内容,并对监测到的事件作出响应。您可以使用系统管理平台所附带的预定义策略,也可以从预定义策略派生新的策略。预定义策略分别侧重于用户所关心的各种层面,用户可选择适合自己的预定义策略直接应用。考虑到用户的不同需求,系统管理平台提供了用户自定义策略的功能。用户可以从预定义策略派生新的策略并且对新策略进行编辑,用户还可对其关心的部分攻击签名进行微调,以便更符合用户的需要。
在策略管理中,用户需要配置安全事件的响应方式。这些响应方式包括Console显示、Write DB、SNMP Trap、E-mail、OPSEC以及用户自定义响应。其中除Console显示和Write DB不需要配置,其他响应方式均需要做相应的配置工作 (2)实验步骤
第一步:策略编辑界面浏览
点击主界面上的“策略”按钮,切换到策略编辑器界面,策略编辑器的窗口分为四个区
域。通过“策略编辑器”窗口,可以新建、派生、修改、删除、查看、导入和导出策略。 第二步:派生新策略
在策略模板区域选中一个预定义策略AttackDetector,右键单击该策略,在出现的菜单中选择“派生策略”。 第三步:策略编辑
策略中可以选择用户所关注的事件签名进行检测,编辑策略的步骤如下:
1) 点击一个自定义策略。
2) 点击“编辑锁定”以确保其他人不能同时更改策略。 3) 在攻击签名窗口展开攻击签名。 4) “选中”或“取消选中”攻击签名。 5) 为攻击签名选择响应方式。 6) 点击“保存策略”。
第四步:策略锁定和解除策略锁定
锁定策略时,在策略管理窗口点击快捷按钮“编辑锁定”,策略管理窗口被锁定。当多用户同时登录控制台时,当前用户可以编辑策略,其他用户不能修改。
接触策略锁定时,在策略管理窗口点击快捷按钮“解除锁定”,编辑权限被释放,当多用户同时登录控制台时,允许其他某个用户编辑策略。 第五步:导出策略
右键点击一个策略,选择“导出策略”。 第六步:导入策略
右键点击某个策略,选择“导入策略”。 第七步:策略应用
打开“组件”,在EC——引擎上点击右键,选择“应用策略”。
3、配置交换机端口镜像
(1)原理 交换机的端口镜像特性可以允许管理员对网络中的特定流量进行镜像分析。即在交换机上,对特定流量进行复制并发送到指定端口。
(2)实验步骤
第一步:定义需要镜像的特定流量 第二步:配置镜像流量的流出端口 第三步:验证测试
4、端口扫描攻击检测
(1)原理 端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。
端口扫描技术行为作为恶意攻击的前奏,严重威胁用户的网络,RG-IDS通过扫描的行
入侵检测与防火墙试卷复习题
