图1 IDS联动典型组网图
USG与IDS设备联动,可以充分利用专用IDS软件的功能,对流经网络的报文进行详细的分析与检查,探测各种异常情况和可能的攻击行为,并通过USG进行实时的响应。
配置IDS联动
当需要防范内部网络用户的破坏以及对内部网络的攻击时,需要配置USG的IDS联动功能。
前提条件
在配置IDS联动前,需要完成以下任务: ? ?
配置接口IP地址 配置接口加入安全区域
操作步骤
1. 执行命令system-view,进入系统视图。
2. 执行命令firewall ids port port-number,配置USG和外接IDS服务器通讯的端口。 3. 执行命令firewall ids enable,启动外接IDS功能。
4. 执行命令firewall ids server ip-address,配置外接IDS服务器地址。
5. 执行命令firewall ids authentication type { md5 [ key key-string ] | none },配置
与外接IDS服务器的报文认证方式。
后续处理
执行命令display firewall ids,查看IDS联动的配置信息。
Firewall IDS information: firewall IDS: enable debug flag: off server port: 40000 authentication type: md5
authentication string: %$%$n`Y1\
client address 0: 1.1.1.1 (connected) client address 1: 1.1.1.2 (connected) client address 2: 1.1.1.3 (connected) client address 3: 1.1.1.4 (connected) client address 4: 1.1.1.5 (connected) client address 5: 1.1.1.6 (connected)
如上显示信息所示,启动了IDS联动功能,设备与外接IDS服务器的报文认证方式为md5,认证字密文显示为%$%$n`Y1\。
配置终端安全管理(TSM联动)
TSM是一套解决内网用户安全隐患的综合解决方案,本设备在该方案中承担安全接入控制网关(SACG)的角色,主要的作用是控制各类用户访问网络的行为。
说明:
上网用户管理功能与TSM联动功能互斥,只能配置其中一个。如果两者都被配置,则功能均不生效。 ?
TSM联动简介
TSM是一套完整的解决终端安全问题的解决方案,涉及的原理和概念众多,本文档只是进行简单介绍,并且主要侧重与SACG有关的部分信息。如果需要了解关于TSM的全部信息,请参考TSM产品的相关资料。 ?
配置SACG与TSM控制器的连接
SACG通过TSM控制器与整个TSM服务器群交互用户信息和流量控制策略。所以要使用TSM联动功能,必须将SACG与TSM控制器进行连接。 ?
管理用户与角色
在SACG上,用户与角色的管理大部分操作都是由TSM系统自动完成的,但是SACG也提供了一些手工或强制管理用户和角色的功能,以满足一些特殊需求。 ?
配置自定义策略
自定义策略是给某些不需要经过TSM系统处理的特权用户使用的。通过给这些用户单独制定转发策略,可以使这些用户不经过认证、安全检查、授权等一系列过程而直接获得相应的网络权限。 ?
维护TSM联动
维护TSM联动的操作主要包括查看当前的配置信息和用户信息,清除空策略以及清除统计信息。 ?
配置举例
本节将介绍旁挂、直挂场景下的TSM联动的配置案例。
TSM联动简介
TSM是一套完整的解决终端安全问题的解决方案,涉及的原理和概念众多,本文档只是进行简单介绍,并且主要侧重与SACG有关的部分信息。如果需要了解关于TSM的全部信息,请参考TSM产品的相关资料。 ?
终端安全理念与TSM简介
终端安全理念是对普通防火墙防范外网安全风险理念的补充,可以解决日益增加的内网安全隐患。 ?
SACG工作原理简介
了解SACG的工作原理,有助于理解后续TSM联动的配置。 ?
SACG的部署方式
SACG主要提供直挂和旁挂两种不同的部署模式,不同模式中设备的配置存在少量差异,本节主要介绍这两种模式的原理及配置上的差异。
终端安全理念与TSM简介
终端安全理念是对普通防火墙防范外网安全风险理念的补充,可以解决日益增加的内网安全隐患。 随着网络的发展与防火墙设备的普及,企业的网络安全威胁的主要来源正逐渐从外网转移到内网,包括: ?
非法终端和非授权终端对业务系统的访问,主要包括以下几种情况: ? ? ? ? ?
非自有的终端设备接入企业内网 不合法人员利用企业设备接入企业内网 合法人员越权访问网络资源
终端不安全导致病毒的扩散
终端数量大、系统复杂、员工的违规行为得不到监控
TSM(Terminal Security Management)方案正是为了解决这一问题而提出来的。它将网络划分为以下几类区域: ?
用户域
所有接入企业内网的终端设备,例如台式机、便携机以及通过Internet接入的出差员工、驻外机构、合作伙伴等。 ?
网络域
进行流量转发的网络设备所组成的域,承载业务流量,实现各网络的互联。SACG就部署在这个域中。 ?
认证前域
认证前域是终端设备在完成认证之前可以访问的区域。该区域主要用于对终端设备和用户进行认证、授权、策略管理、补丁下发等。TSM方案的中大部分组件都部署在该区域中。
? 受控域
受控域是终端在完成认证之后才可以访问的区域。包括两种: ?
隔离域
隔离域是指在终端用户通过了身份认证但未通过授权时可以访问的区域。通常将能够帮助终端用户消除安全隐患的相关资源(如补丁服务器、防病毒服务器等)部署在本区域。 ?
认证后域
认证后域是企业真正的核心资源所在的区域,终端设备和用户都必须进行认证和授权之后才能访问自己的权限相对应的安全区域。
TSM方案的典型组网图如图1所示。
图1 TSM方案典型组网图
TSM的主要工作流程是:
1. 终端设备接入网络,发起认证请求。
2. SACG将接收到的认证请求转发给服务器中的TSM控制器,同时阻止未通过认证和授权的
终端设备访问认证后域。
3. TSM系统进行权限以及终端安全性核查。如果终端设备存在安全漏洞,TSM系统会首先开
放该设备访问隔离域的权限,使其可以下载补丁或病毒库。修复安全漏洞成功后,TSM系统确定是否允许其访问认证后域,并且确定允许其访问哪个认证后域。 4. TSM系统将针对该终端生成的用户访问控制策略下发到SACG上。
5. SACG根据收到的策略生成相应的转发策略,判断是否允许相关终端设备通过SACG访问认
证后域。
SACG工作原理简介
了解SACG的工作原理,有助于理解后续TSM联动的配置。
USG在TSM方案中承担SACG这个角色,主要作用是进行网络访问权限控制。在TSM方案中,对各类用户进行访问控制的策略不需要手工创建,而是由TSM系统根据相关的策略配置,自动下发到USG上。
终端通过SACG进行认证请求的方式主要有以下两种: ?
TSM代理认证
TSM代理是TSM的一个组件,作为TSM的客户端安装在终端设备上。主要承担用户身份认证、终端设备安全性检查以及与TSM后台服务器的自动交互等工作。安装TSM代理后,与TSM控制器联动的所有过程都是由TSM代理自动完成,实现了对用户的透明。 ?
无代理Web认证
如果终端设备上不能安装TSM代理软件,例如终端设备的操作系统为UNIX,那么在用户没有经过认证就通过HTTP方式(包括通过端口映射功能识别出的HTTP方式)访问Web的情况下,会被强制跳转到一个用于认证的Web界面。用户可以通过该界面进行相应的认证请求。无代理Web认证不能实现TSM方案的所有功能,所以不推荐使用。 TSM服务器将访问控制策略下发给SACG的原理是: ?
通过在SACG上配置TSM联动功能,将SACG上的ACL3099~3999作为接纳TSM下发控制策略的容器,这901条ACL分别对应ID号为0~900的901种角色,每种角色对应TSM系统中的一个受控域。其中ACL3099对应角色0,是所有接入用户的缺省角色,可以用来允许未经认证的用户访问认证前域。剩余的ACL3100~3999对应角色1~900号角色,这些角色是由TSM系统下发的普通角色。
执行default acl 3099命令指定缺省ACL后,ACL3099中的原有规则会被自动清除,并且不能被人工配置。
执行right-manager server-group enable开启与TSM服务器的连接后,ACL3100~ACL3999将不能被人工配置。如果在开启之前,这些ACL已经包含规则或者正在被其他功能使用,必须先手工清除规则,并且取消在其他功能中的使用,才能开启与TSM服务器的连接。 ?
一个终端设备接入后,通过SACG向TSM服务器发起认证请求,认证通过后,TSM服务器将该终端设备的IP地址以及对应的角色信息发给SACG。 ?
SACG根据TSM服务器下发的各条ACL中的信息,建立一个源IP监控表,记录IP地址、角色、角色的权限以及可访问的资源等信息的对应关系。
SACG收到一个来自终端设备的报文后,在进行域间包过滤时,按如图1所示流程进行处理:
图1 TSM联动下的策略查找流程
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库USG配置nat server(5)在线全文阅读。
相关推荐: