防火牆入門 主講:王慶祥 2007/12/19 2007/12/26.

Slides:



Advertisements
Similar presentations
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
Advertisements

Fortinet产品IDC安全解决方案.
半导体所网络概况 图书信息中心 张 棣.
第6章 计算机网络基础 1.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
MIE-311 Mobile Network Security
高雄應用科技大學 有線網路建置實習(III)
網路設備即時監控與異常自動復原系統 胡中強 林佑群 蔡殿偉.
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
企業如何建置安全的作業系統 Windows XP 網路安全
實驗六 路由器操作設定實驗 教師: 助教:.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
校園網路管理實電務 電子計算機中心 謝進利.
Netman Linux 的防火牆設計與應用 Netman
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
宽带路由器配置与应用.
网络地址转换(NAT) 及其实现.
FortiGate Multi-Threat Security Systems
第 6 章 IP 遶送.
5.5 网桥 网桥是用来连接局域网的互连设备,工作在数据链路层。 转发局域网之间的数据帧,必要时进行帧格式转换 能隔离以太网中的碰撞
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
現階段網路電話撥號說明 99/1/15 by 維珉.
David liang 数据通信安全教程 防火墙技术及应用 David liang
利用 ISA Server 2004 建置應用層防護機制
通訊 授課:方順展.
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
Transparent proxy 班級:資傳四A 組員:林佳辰 陳星宇 邱鈺翔
TCP協定 (傳輸層).
DGS-1510 基隆教網教育訓練文件.
HiNet 光世代非固定制 用戶端IPv6設定方式說明
R教學 安裝RStudio 羅琪老師.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
Windows 2003 server 進階介紹 麋鹿.
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
無線路由器(AP)管理.
OpenID與WordPress使用說明
江西财经大学信息管理学院 《组网技术》课程组
國際資訊安全標準ISO 27001之網路架構設計 –以國網中心為例探討風險管理
NetST®防火墙培训教程 清华得实® 保留所有权利.
第12章 远程访问、NAT技术.
第 17 章 網路規劃 著作權所有 © 旗標出版股份有限公司.
第二章 防火墙基础技术.
DHCP for W2K.
網路安全技術期末報告 Proxy Server
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
ISA Server 2004.
常見網路設備簡介 A 周緯龍.
3-page Introduction of Firewall, NAT, and VPN
Firewall-pfsense Mars Su
個人電腦與網路 1.個人電腦IP設定 自動取得IP與固定IP IP登錄系統與IP自動分配系統 固定IP申請 IP衝突處理
虛擬傢俱館 指導老師: 高玉芬 老師 組員: B 黃琪芳 B 蔡宜眞 B 林政緯
單元三 資訊安全與保護 Learning Lab.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
資訊安全和資訊倫理宣導 永康區復興國小教務處.
取得與安裝TIDE 從TIBBO網站取得TIDE
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
國立新港藝術高中申請TANet新世代網路連線計畫書
國立屏東大學宿舍網路連線 設定說明 104/08/12.
Cloud Operating System - Unit 03: 雲端平台建構實驗
第四章 通訊與網路管理 授課老師:褚麗絹.
第10讲 Web服务.
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
ARP攻擊 A 吳峻誠.
VoIP安全議題 姓名:許雅玲 指導老師:梁明章 老師.
長期照護機構如何應用資訊工具協助管理 主講:周中和.
進階應用層防火牆實務 謝長明 技術總監 長成資訊顧問股份有限公司.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
第 4 章 网络层.
Presentation transcript:

防火牆入門 主講:王慶祥 2007/12/19 2007/12/26

Fortigate 400之過去現在與未來 緣起:三年前的一項國教課重大採購案 時空環境的改變,對FG400所產生的影響 接下來將面臨的問題 CPU 高utilization的韌體更新 WebGuard除役 網路電話 接下來將面臨的問題 Licence即將到期 更新FortiOS的教育訓練

FortiGate – 400 Supports high-availability (HA) configuration LCD Display Command-Line 4 User Definable Removable Hard Drive Supports high-availability (HA) configuration 4 User-definable ports & zones Integrated logging (removable 20 GB hard drive) Terminates PPTP and L2TP traffic on any configured port/interface Ideal for enterprises that can benefit from multi-zone applications

ISMS建置計畫 教育體系資訊安全責任分級。 教育體系資通安全管理系統(Information Security Management System, ISMS)建置與驗證機制說明。 Fortigate 400防火牆可以協助支援哪些工作?

網管人員可能面臨的問題 學校連上網路的設備逐年累加,公眾IP已不敷使用 筆記型電腦氾濫,需要管理嗎?該怎麼管? 電腦一多,網路連線速率就越來越慢 學務系統架構在網際網路服務的基礎上,會有哪些風險?該怎麼避免?

網管人員可能面臨的問題 無線基地台造成安控風險,如何設限避免成為校內網路的漏洞。 電腦病毒、惡意軟體一大堆,班級電腦沒有更新病毒碼,一上網就中了木馬。 有些服務是明碼傳輸,若是從校外連回學校,要怎麼確保安全? 如何防範網路剪刀手的惡意阻斷?

網管人員可能面臨的問題 垃圾郵件滿天飛,若是無法避免,該怎麼減少困擾? 有些電腦開啟通訊埠、沒有定期update系統漏洞,該怎麼處理會比較好? 即時通訊到底適不適合開放?Foxy呢? Log的格式不易判讀,怎麼知道使用者對於網路的存取記錄?

何謂防火牆? 防火牆 : 兩個不同網路間的安全閘道 追蹤及控制網路的連線 可以對每一個網路連線選擇允許,拒絕,丟棄,加密,紀錄等動作 Internet “允許資料往Internet” 防火牆 : 兩個不同網路間的安全閘道 追蹤及控制網路的連線 可以對每一個網路連線選擇允許,拒絕,丟棄,加密,紀錄等動作 “拒絕來自Internet 的資料” 企業網路

防火牆運作模式 – 如何架設Fortigate? Route / NAT mode 1. Fortigate和ATU-R該用何種網路線介接?(平行線或跳接線) 2. Fortigate和Switch該用何種網路線介接?(平行線或跳接線)

FG400 – NAT/Route

NAT( Network Address Translation)轉址運作原理 192.172.1.1-192.172.1.254 219.22.165.1 Public IP Address(es) Internal IP Addresses Internet 企業網路 將企業內部使用的保留位址轉換為合法位址 隱藏內部主機的真實位址,被免遭受攻擊 可以讓企業內部使用更多的主機

NAT ( Network Address Translation)轉址運作原理 Internet 1.1.1.1 1.1.2.1 NAT .1 .5 Http-Server .5 192.168.1.0 SrcIP DstIP Prot SrcPort DstPort Data 192.168.1.5 1.1.2.5 6 12345 80 Get SrcIP DstIP Prot SrcPort DstPort Data 1.1.1.1 1.1.2.5 6 54321 80 Get 防火牆Policy (啓動NAT). 將內部來源IP轉址成FG外部網路介面IP, Fortigate會記錄NAT 轉址表. 將內部來源IP轉址成FG所定義IP pool中的IP, Fortigate會記錄NAT轉址表. RFC1918: Indicates Private IP Networks. 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16

Route路由運作原理 防火牆policy (不啓動NAT). FG只檢查路由表,根據路由表將封包送往所指定的位址,而不變動來源IP或來源埠 Internet 1.1.1.1 1.1.2.1 Route .1 .5 Http-Server .5 1.1.3.0 SrcIP DstIP Prot SrcPort DstPort Data 1.1.3.5 1.1.2.5 6 12345 80 Get SrcIP DstIP Prot SrcPort DstPort Data 1.1.3.5 1.1.2.5 6 12345 80 Get 防火牆policy (不啓動NAT). FG只檢查路由表,根據路由表將封包送往所指定的位址,而不變動來源IP或來源埠

防火牆運作模式 Transparent mode 1. 介於router和switch間, 或 2. 介於ATU-R和Router間 無論是route/NAT或是transparent 模式, 通過的封包都會由Fortigate進行封包檢查

FG400 – Transparent

Transparent 通透模式運作原理 防火牆policy 沒有NAT或路由,FG單純地檢查經過的封包 Internet 1.1.1.1 1.1.2.1 Trans .1 .5 Http-Server .5 1.1.1.0 SrcIP DstIP Prot SrcPort DstPort Data 1.1.1.5 1.1.2.5 6 12345 80 Get SrcIP DstIP Prot SrcPort DstPort Data 1.1.1.5 1.1.2.5 6 12345 80 Get 防火牆policy 沒有NAT或路由,FG單純地檢查經過的封包

學校連上網路的設備逐年累加,公眾IP已不敷使用 採用DHCP,動態配發IP 針對內部網路,採行NAT的機制,減少Public IP的需求。 可在DHCP上設定網卡位址(mac address)與IP的對應,以便使用記錄的稽核。 針對某些FTP Server會限制來源的連線數,可在對外網路設定Virtual IP因應。

筆記型電腦氾濫,需要管理嗎?該怎麼管? 有設備就一定要管,只是看管理的範圍和尺度。 可設定IP mac綁定(Binding),避免Power User藉由更改IP逃避稽核,或是規避防火牆的控管規則。

電腦一多,網路連線速率就越慢 由於ethernet採用CSMACD,因此上網設備一多,封包踫撞的情形就愈明顯,可利用Switch Hub稍微緩解。 適當將校園網路進行區段切割(segment),可有效紓解,進一步配合防火牆策略,可強化整體安全。

學務系統架構在網際網路服務的基礎上,會有哪些風險?該怎麼避免? 學務系統主機應該單純服務,除了HTTPd、mySQLd之外,非必要的daemon與xwindow都不要安裝,設定好iptables開於特定對象,並自動進行系統yum更新。 啟用port443,以安全加密通道傳輸。 將SFS主機置於防火牆內部,採PAT提供對外服務。

無線基地台造成安控風險,如何設限避免成為校內網路的漏洞。 針對校外高手,隱藏SSID、鎖定mac通常用意不大,可使用WEP或WPA,增強實體接取的安全強度。 http://sectools.org/crackers.html 可配合防火牆進行使用者身份認證,當認證通過後記錄使用者上線log,再開放存取服務。

電腦病毒、惡意軟體一大堆,班級電腦沒有更新病毒碼,一上網就中了木馬。 定期教育訓練與資安宣導仍有其必要性。 郵件的寄出(SMTP)與收取(POP3、IMAP),甚至Webmail附件,都必須經過閘道防毒管控。 參考校內流量,在FG400可在負荷的範圍內,進行HTTP、FTP、IMAP、POP3、SMTP、IM、NNTP等過濾分析。

有些服務是明碼傳輸,若是從校外連回學校,要怎麼確保安全? 對於居家辦公的老師,可透過VPN連線,以保障網路傳輸的過程,不被中途攔截並解析封包內容。 針對一般網頁應用,啟用FG400的SSL VPN的Web mode就已足夠,若是針對特殊應用需求,則可設定Tunnel mode,以獲得最大的彈性。

如何防範網路剪刀手的惡意阻斷? 網路剪刀手(Netcut)是可以從網路取得的tools,利用ARP Spoof的手法,變更特定電腦或是閘道器上的ARP快取,以達到阻斷連線的目的。 建立FG400的Static ARP table,可確保ARP資料的正確性。

垃圾郵件滿天飛,若是無法避免,該怎麼減少困擾? 這是一個棘手的問題,或可考慮Google Apps,將Email的服務委外處理。 使用縣府配發的垃圾郵件過濾設備,沒錢的單位可利用軟體式nopam,亦可有不錯的效果) 利用FG400的簡易比對機制(特定來源、黑白名單…) 可購買FG400 AntiSPAM的授權,做進一步防範。

有些電腦開啟通訊埠、沒有定期update系統漏洞,該怎麼處理會比較好? 系統更新(Windows Update)和更新病毒碼一樣重要,可配合辦理教育訓練。 使用FortiAnalyzer,定期對內部環境進行掃瞄,藉以發現可能的弱點,明確處理已知間題。

即時通訊到底適不適合開放?Foxy呢? IM管控一直是見仁見智的措施,必要時可進行攔阻,甚至側錄通訊內容(最好事先告知同仁再設定)。 Foxy等P2P的軟體,在實際使用層面上,通常是弊大於利(侵犯智慧財產權),最好不要在具有敏感性資料的電腦上執行。 可加以阻斷,或是利用sniffer找出特徵。

Log的格式不易判讀,怎麼知道使用者對於網路的存取記錄? 網路相關記錄建議保存半年以上。 搭配FortiReport或是採購FortiAnalyzer,以滿足需求。

與防火牆有關的控制項 分享其它所面臨的風險與威脅 保障資訊資產的C I A,搭配ISO27001的附錄控制項,思考防火牆所能發揮的功用。 機密性(Confidentiality):使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。 完整性(Integrity):保護資產的準確度和完全性的性質。 可用性(Availability):經授權個體因應需求之可存取及可使用的性質。

FG400操作界面

FG400操作界面

FG400操作界面

FG400操作界面

FG400操作界面

Fortigate 管理介面 透過CLI (command line Interface), 如: console, telnet, ssh. 透過WEB GUI (Graphic User Interface), 如: Internet Explorer 使用http 或 https (SSL).

制定防火牆規則 Firewall -> Policy -> Create New

制定防火牆規則 Source interface 選 inernal Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策 在FG-60,FG-100 機型內,則已預建了一條如上的防火牆政策,且已啓動了防毒的功能 (但會在後面章節修改,這個預建的政策不建議直接使用)

制定防火牆規則 若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.

實險操作練習 需要輸入帳號密碼才可連到Internet 設定防毒(AntiVirus),避免從網路下載病毒 網路競賽,限定只能連上特定網站 網路查資料比賽,禁止使用yahoo知識家 建立VPN

進階課程內容 韌體升級、備份和還原設定 DHCP服務設定、利用Expect實作IP與MAC綁定 入侵偵測與啟用網路攻擊特徵判定 韌體升級、備份和還原設定  DHCP服務設定、利用Expect實作IP與MAC綁定 入侵偵測與啟用網路攻擊特徵判定 整合LDAP進行使用者認證 建立VPN 弱點掃瞄 事件記錄與通知