网御星云培训教材
Leadsec Confidential
22
SSH远程登录管理防火墙
SSH登录管理必须首先在菜单“防火墙>>本地服务”中 添加ssh-server服务,才可以通过SSH协议远程登录安全 网关。以SecureCRT 5.0版本客户端为例,客户端设置 选择协议为ssh2,端口为8283,用户为root,默认密码 leadsecntr。此时客户端的IP必须是管理主机IP之一。 root@SuperV-5800 ~$ cli_sh SuperV-5800#config SuperV-5800(config)#
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
17
图形界面 - WebUI
可以通过图形化用户界面进行网络管理 –需要极少配置(默认管理地址:10.1.5.254) –https://10.1.5.254:8888 –PC需要本地子网上的一个地址 –密码保护 -https
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
2
第一章
云计算安全架构综述
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
1
课程目标
完成本课程,你将能够:
Leadsec 多核防火墙管理 Leadsec 多核防火墙策略配置
Leadsec Guard日常管理及维护
Leadsec IPS日常管理及维护 Leadsec SAG日常管理及维护 Leadsec 安全审计日常管理及维护 日常网络故障排错
–配置PCP规则对数据报文进行有效分类. –对对应的PCP分类报文进行NAT转换,保证其对互联网的访问。 –在相应类型的数据报文上挂载DPI,QOS,连接数限制等安全业务。 –配置相应的DNAT策略,保证内网DMZ区服务器的访问控制及安全性。
26
© 2011 Leadsec Security, Inc. All rights reserved.
20
管理访问的基本配置(续)
管理员登录超时时间配置
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
21
本地服务
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
7
防火墙发展历程——硬件技术
防火墙 突破性能极限就是对硬件调整的结果
X86架构
ASIC架构
NP架构
多核架构
性能 (高) ASIC架构 NP架构
多核架构
X86架构
2014-7-25
© 2011 Leadsec Security, Inc. All rights reserved. Leadsec Confidential
•使用 ? 显示可用选项
•在命令提示符下使用 •在命令的参数中使用
© 2011 Leadsec Security, Inc. All rights reserved. Leadsec Confidential
பைடு நூலகம்
16
帮助工具--CLI
键入?后,将会显示两 列:
–左边一列显示了下一步 需键入的命令 •未在括号内的字符是 需要逐字键入的 •在括号内的字符是变 量 –右列是对左列显示命令 的描述
Leadsec Confidential
命令行界面 – 功能
打开一个终端会话;使用默认值登陆 –login: administrator 默认进入命令行界面 (CLI) –使用向上或向下箭头键回到以前命令 –使用CTL-A移动到命令行的开头 –使用CTL-E 移动到命令行的结尾 –使用左箭头和右箭头键移动光标编辑命令 –使用TAB进行命令补全 –可用的帮助 password: administrator
Leadsec Confidential
26
安全业务参数
安全 业务 参数
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
27
包分类(PCP)
包分类
•PCP匹配原则:序号小的PCP优先匹配。 一旦匹配某条PCP则不再继续向下匹配。 •新增的PCP自动排列在最后一条,可以通 过调序使该PCP被优先匹配。
3
云计算安全架构
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
4
网御星云自防御云计算业务安全战略关键组件
多核防 火墙
SSL VPN 万兆多 核异常 流量清 洗 万兆接口卡
Leadsec Manager统 一策略管理和日志审计
Leadsec Confidential
6
Firewall技术变革
防火墙 包过滤 通用 OS
• 基于三层/四层的过滤 • 实现简单,速度快 •安全性低,初级技术 •个人终端系统
的技术变革是简短的、快速的. 应用代理 嵌入 式OS
• 基于应用层的代理转发
状态检测 专用 OS
• 引入状态表
• 规范3层和4层行为 • 处理快,安全性较高 •网络处理时时性高 •根据用户需求定制
深度检测 ?
• 多级安全检测 • 自动签名检测 • 虚拟化、协同性 •提高软件平台 设计能力
• 可以检查应用层协议
• 处理速度慢,兼容性差 •内核小、效率高、易扩
•稳定、安全、健壮性差 •成熟度、可移植性差
© 2011 Leadsec Security, Inc. All rights reserved.
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
13
图形界面 - WebUI
可以通过图形化用户界面进行网络管理 –需要极少配置(默认管理地址:10.1.5.254) –https://10.1.5.254:8888(默认管理接口Ge0/0) –PC需要本地子网上的一个地址 –密码保护 -https
网御星云安全 产品技术培训
支撑云计算业务创新的商业平台
2011-10-08
北京网御星云信息技术
版权所有 © 2009 Cisco Systems, Inc. 保留所有权利。
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
•使用 ? 显示可用选项
•在命令提示符下使用 •在命令的参数中使用
© 2011 Leadsec Security, Inc. All rights reserved. Leadsec Confidential
12
帮助工具--CLI
键入?后,将会显示两 列:
–左边一列显示了下一步 需键入的命令 •未在括号内的字符是 需要逐字键入的 •在括号内的字符是变 量 –右列是对左列显示命令 的描述
24
网络接口配置
桥接口 配置
•桥接口主要用以完成二层报文透传功能 •在透明模式中使用桥接口
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
25
常用配置 熟悉配置常见的安全业务 介绍 多核防火墙主要安全业务配置
15
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
命令行界面 – 功能
打开一个终端会话;使用默认值登陆 –login: administrator 默认进入命令行界面 (CLI) –使用向上或向下箭头键回到以前命令 –使用CTL-A移动到命令行的开头 –使用CTL-E 移动到命令行的结尾 –使用左箭头和右箭头键移动光标编辑命令 –使用TAB进行命令补全 –可用的帮助 password: administrator
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
14
建立串口连接
Leadsec 防火墙
串口
可用于管理Leadsec安全设备的一个直接物理连接
串口连接具有某些优势:
–专门访问的物理安全 –不需要网络连接就能完成配置任务 –不需要IP地址 –可查看启动信息 –可查看实时 debug 或 snoop 输出
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
23
网络接口配置
以太网 接口 配置
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
© 2011 Leadsec Security, Inc. All rights reserved. Leadsec Confidential
28
策略顺序调整
–通过调整PCP包分类的顺序来控制策略的顺序
© 2011 Leadsec Security, Inc. All rights reserved.
