联想网御UTM技术培训.ppt

《联想网御UTM技术培训.ppt》由会员分享，可在线阅读，更多相关《联想网御UTM技术培训.ppt（62页珍藏版）》请在三一文库上搜索。

1、1,联想网御UTM技术培训,2,目录,三、入侵防护功能调试,四、病毒防护功能调试,五、反垃圾邮件功能调试,一、UTM原理技术介绍,二、UTM管理界面介绍,3,一、UTM原理技术介绍,用户网络中的常见问题,传统的网络安全架构,Antispam 减少不需要的邮件 Web filters 减少与工作无关的浏览网站 VPN 实现远程安全访问,Firewall 防御入侵 Antivirus 防御病毒感染 IPS 防御恶意攻击,VPN,IPS,Users,Servers,Firewall,Antivirus,Antispam,URL Filters,传统的网络安全架构,传统架构的劣势 需要用户熟悉不相关联

2、的多重安全产品 提高了网络的复杂性和操作成本 网络延时较大,传统架构的优势 全面的安全 对个人攻击能够迅速 地反应,VPN,IPS,Users,Servers,Firewall,Antivirus,Antispam,URL Filters,传统的网络安全架构的瓶颈,采用新的网络安全架构 集中威胁管理系统 (UTM) 的好处：,降低复杂度 集成 厂商和产品的选择 支持和管理 真正的“安全”保护 灵活性 可扩展性，真正基于客户的需求设计！ 进一步降低成本TCO,UTM统一威胁管理系统的形成,UTM统一威胁管理系统的形成,8,2004年9月，IDC首度提出“统一威胁管理”的概念，即将防病毒、入侵检测

3、/防护和防火墙安全设备划归统一威胁管理(Unified Threat Management，简称UTM)新类别。 IDC将防病毒、防火墙和入侵检测/防护等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。 由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。,UTM统一威胁管理的演进过程,由于UTM拥有以上强大功能，所以UTM的演进过程由众多厂家组成，最后在UTM这个产品上终极统一,9,2020/1/29,page10

4、,Leadsec-UTM,状态检测防火墙 IPSec VPN 网关防病毒 入侵检测防护 绿色上网 反垃圾邮件,UTM安全网关技术优势,2020/1/29,page11,100%为防火墙功能处理性能,0%,10%,20%,30%,40%,50%,60%,70%,80%,90%,100%,FW,FW+IPS,FW+IPS+AV,联想网御UTM产品性能,国内UTM厂商A,国内UTM厂商B,采用USE+优化匹配技术，突破了传统UTM产品性能瓶颈，推荐用户使用联想网御UTM产品时，开启全部功能模块。,UTM安全网关技术优势,DNA 特征匹配引擎,协议负载分析模块,快速转发模块,特征优化匹配引擎,协议异常

5、检测引擎,策略动作执行模块,一次拆包 并行检测 关联策略,全功能下的 高性能 低延迟,特征DNA提取模块,UTM安全网关技术优势,2020/1/29,page13,自主研发的防病毒引擎，获得网络防病毒技术专利，结合了特征值检测和启发式检测，实时防御多种形式的病毒 。 病毒响应服务速度快：承诺5个工作日对提交的样本实现病毒特征值提取。,AV 特点,UTM安全网关技术优势,UTM安全网关技术优势,限流,完全阻断,基于时间阻断,IM、P2P、流媒体、炒股软件等应用,UTM安全网关技术优势,UTM安全网关技术优势,一键配置 一键式网关策略配置和分级保护快捷切换法为联想网御专利技术，管理人员可以通过设备

6、机箱上的外置按钮快速切换网关的安全保护等级。,16,可靠的硬件Bypass 联想网御UTM安全网关的硬件Bypass功能使得设备即使在 断电的情况下也可以让网络保持连通，极大的提高了设备的 可用性。,2020/1/29,page17,通过快速配置模块，实现多级别的安全防护 通过联想网御安全管理系统 ，实现多层的管理,UTM安全网关技术优势,2020/1/29,page18,统一的集中管理 简单的监控面板 直观的统计报表,UTM安全网关技术优势,2020/1/29,page19,六合一的网络边界综合防护,自有引擎、国产特征库、检测率高,精确高效的入侵防护,专业高效的上网行为管理,独创的一键式配置

7、和分级保护,全功能打开时仍具备高性能,Leadsec-UTM 特点,价值,构造立体防护 防护与性能并重 降低用户成本,产品优势,20,二、UTM管理界面介绍,串口命令行管理方式：,管理方式介绍-串口管理,21,串口命令行管理方式：,22,管理方式介绍-串口管理,串口命令行管理方式：,23,管理方式介绍-串口管理,24,推荐使用证书方式管理UTM安全网关！,Web页面管理的必要条件（二选一）：,A. 证书认证 需要导入IE证书，之后即可通过IE浏览器管理UTM安全网关。 B. 电子钥匙认证 需要安装电子钥匙驱动程序和UTM登录认证程序。,管理方式介绍-web管理,当IE证书均导入成功后，我们在管

8、理主机打开IE浏览器 并输入https:/10.1.5.254:8889，出现选择证书提示 后点击“确定”。,25,管理方式介绍-web管理,证书认证：,出现安全警报后点击“是（Y)”就会出现UTM安全网关的登录页面,*注：XP系统请确认IE浏览器中internet选项-隐私选项-中的阻止弹出窗口 选取去掉：如下图,26,登录UTM安全网关,UTM用户名密码为: administrator/ administrator,27,登录UTM安全网关,UTM安全网关界面是基于B/S模式。大致可分为以下几 个模块： 快速配置 系统配置 网络配置 入侵防护 病毒防护 深度防护 状态监控 报表 帮助,28

9、,UTM安全网关管理界面,29,仪表盘,UTM安全网关仪表盘,30,流量统计图,UTM安全网关仪表盘,最新 事件,31,UTM安全网关仪表盘,日期 时间,32,UTM如需要和管理主机时间同步，点击“时间同步”,UTM安全网关系统配置,系统 参数,33,如要修改UTM的名称，请点击“编辑”,更改完名称后点击确定,更改UTM的名称,UTM安全网关系统配置,资源 占用,34,要启动资源监控服务 点击启动按钮,监控服务图标状态变为启动后，我们就可以查看CPU、内存的统计图了,UTM安全网关状态监控,资源 占用,35,要查看CPU的使用情况， 点击“统计图”,我们可以选择下拉菜单更改页面刷新的时间,UT

10、M安全网关状态监控,资源 占用,36,要查看内存的使用情况， 点击“统计图”,我们可以选择下拉菜单更改页面刷新的时间,UTM安全网关状态监控,资源 占用- 网络 设备,37,要启动设备监控服务 点击启动按钮,监控服务图标状态变为 启动后，我们就可以查 看网口的使用情况了,UTM安全网关状态监控,38,资源 占用- 网络 设备,要查看Fe4网口的统计图，点击“统计图”按钮,我们可以选择下拉菜单更改页面刷新的时间,UTM安全网关状态监控,网络 测试,39,在这里输入我们要测试连通性的IP地址,点击：“开始调试”,UTM安全网关状态监控,40,三、UTM入侵防护功能配置方法,一、创建一个入侵防护模版

11、,41,需要注意的是，这几个模版都是系统自带的模版，无法对其进行编辑,首先，可点击查看策略信息预览模版配置,入侵防护功能配置方法,一、创建一个入侵防护模版,42,如果自带的模版中没有满足用户需求的模版，则需要自定义一个，点击添加按钮,至此，一个名为test的模版就建立好了,入侵防护功能配置方法,43,编辑好深度过滤策略后，我们需要在深度防护规则中引用使其生效,二、添加一条深度防护策略,入侵防护功能配置方法,44,至此，一条IPS策略就建立好了，在实际使用中，我们可以根据用户的具体需求，定制多样化的策略,三、在深度防护规则中引用,入侵防护功能配置方法,45,四、一个简单的入侵防护测试方法,策略建

12、立好后，我们可以使用如下方法进行简单测试 1）搭建HTTP服务器或使用公网上的WEB服务器，客户端可过墙访问服务器。 2）在命令行下输入“Telnet 服务器IP 80”命令访问服务器。 3）使用命令“GET /cgicso”可以查看到攻击被拦截及日志。,入侵防护功能配置方法,46,五、入侵防护引擎全局设置,在全局设置中，只需勾选所需的抗攻击选项并点击确定，即可使抗攻击选项生效,入侵防护功能配置方法,47,五、入侵防护引擎自定义特征,在自定义特征中，点击添加按钮添加一个自定义特征,根据实际需求定义一个入侵防护特征,自定义特征可在入侵防护的特征检测设置中查看，其中的UserDefine中即为刚才

13、设置好的特征，同时，这里也可编辑对自定义特征采取的动作,配置、修改配置及删除配置后都要点击“应用”选项才可以正常的使用该自定义特征，否则，新的特征不会被启用。,入侵防护功能配置方法,48,1）使用SYN flood攻击UTM的网口，异常攻击检测无法起作用，此时会造成UTM的状态表被占满，导致无法管理UTM等多种问题，所以应尽量避免该测试环境。 2）关于异常检测的设定阀值说明： Syn Flood异常检测参数值的具体含义如下：个位数为保留数字，0-9分别代表抗攻击强度，从弱到强。设置数字的位数如果超过两位，则该数字减去个位的数字表示限制每秒通过的能够真正建立TCP连接的带有Syn标志数据包的个数

14、，此个数是真正可以建立TCP连接的数目。如果设置为0，表示每秒通过的带有Syn标志的数据包大于90，才进行能否真正建立TCP连接；如果设置为1，表示每秒通过的带有Syn标志的数据包大于80，才进行能否真正建立TCP连接；如果设置为9，表示通过的带有Syn标志的数据包都经过了入侵防护系统的判断，确认是可以建立真正TCP连接的数据包。 UDP Flood异常检测参数值的含义是限制每秒通过的UDP数据包的个数。 ICMP Flood异常检测参数值的含义是限制每秒通过的ICMP数据包的个数。,六、入侵防护配置上的一些说明,入侵防护功能配置方法,49,四、病毒防护功能配制方法,50,类似于 ips，防病

15、毒中的系统自带模版也是无法编辑的，我们这里新建一条。点击添加按钮,同样，点击编辑可按照实际需求对模版进行编辑,至此，一条防病毒策略就建立好了，防病毒这里的配置不多，主要就是选择需要开启防病毒功能的协议。,一、创建一个病毒防护模版,病毒防护功能配置方法,二、添加一条深度防护策略,51,与IPS的添加方法基本一致，这里我们就不赘述了,病毒防护功能配置方法,52,三、在深度防护规则中引用,添加好防病毒深度过滤策略后，在深度防护规则处引用使其生效,至此，一条AV策略就建立好了,病毒防护功能配置方法,53,这里仅为查看UTM中的病毒库,三、病毒防护引擎基本病毒列表,病毒防护功能配置方法,54,三、病毒防

16、护引擎自定义病毒特征,点击添加，添加一个自定义病毒特征,自定义病毒特征，其特征码分析复杂，一般应用中此功能用处很少,病毒防护功能配置方法,55,三、病毒防护引擎病毒检测服务端口设置,病毒检测服务端口设置，可改变检测的协议端口,病毒防护功能配置方法,56,目前UTM只支持HTTP、FTP、POP3、SMTP及IMAP五种协议。默认情况下只支持标准端口的检测，可通过修改“病毒防护引擎病毒检测服务端口设置”中的默认值来实现对非标准端口的检测，需注意的是FTP协议最多支持一个端口的检测，而其余协议可实现最多5个端口的检测。,四、病毒服务检测端口配置说明,病毒防护功能配置方法,57,五、反垃圾邮件功能配置方法,58,一、反垃圾邮件基本配置,勾选垃圾邮件检测，使反垃圾邮件功能生效,注意！反垃圾邮件功能只能在路由下使用,根据实际需求勾选需要启用的功能，需要注意的时候勾选完成后需点击确定按钮使其生效,病毒防护功能配置方法,59,二、添加服务器黑名单,病毒防护功能配置方法,60,添加垃圾邮件地址和主题关键字，方法和添加服务器黑名单类似，这里就不赘述了,三、添加垃圾邮件地址列表,病毒防护功能配置方法,61,四、添加主题关键字列表,病毒防护功能配置方法,62,让每一个人放心地使用互联网,谢谢!,