安全策略高级特性.pptx

通过完成此章节课程，您将可以：-配置基于角色和时间表的策略-配置安全网关实现对网络攻击防护-配置安全网关抵御ARP攻击章节目标第1页/共24页 基于角色的策略基于时间表的策略网络攻击防护二层防护议程：安全策略高级特性第2页/共24页神州数码防火墙不仅可以基于IP指定策略控制流量，而且可以结合角色实现细粒度的基于用户的访问控制。把用户和角色（Role）映射起来（配置角色映射规则），然后把角色/角色组引用到系统策略规则中，就能够实现设备对不同用户流量的管理与控制。角色第3页/共24页用户用户 新建用户 界面输入需新建用户名/密码，点击确定用户角色 新角色角色（创建用户、角色）用户名称用户密码角色名称第4页/共24页用户角色 新角色映射 配置用户-角色对应关系，点击确定完成新建操作，可编辑该角色映射规则，添加和删除对应关系。用户AAA服务器编辑 界面绑定映射规则绑定角色映射规则映射规则名称需映射用户对应角色角色（创建用户映射规则）第5页/共24页网络Web认证 界面开启认证模式，可根据需要调整超时值和认证端口。防火墙策略 对需要通过角色控制策略选择已定义角色，实现基于角色策 略控制新建一条用户认证用户的策略，置于角色控制策略之上角色（实现Web认证）认证模式第6页/共24页基于安全域策略模式：基于全局策略模式：配置角色控制策略第7页/共24页基于角色的策略 基于时间表的策略网络攻击防护二层防护议程：安全策略高级特性第8页/共24页DCFW-1800系列防火墙支持时间表（Schedule）功能。时间表功能可以使策略规则在指定的时间生效，也可以控制PPPoE接口与因特网的连接时间。时间表包含绝对时间和周期。周期通过周期条目指定时间表的时间点或者时间段而绝对时间决定周期的生效时间。每个周期最多可以拥有16条周期条目。时间表第9页/共24页对象时间表新建时间表提供“绝对时间”和“周期”两种类型时间表第10页/共24页防火墙策略调用时间表的策略，只在时间表范围内生效应用时间表到策略第11页/共24页防火墙策略调用时间表的策略，只在时间表范围内生效CLI：show policy查看调用时间表的策略第12页/共24页基于角色的策略基于时间表的策略 网络攻击防护二层防护议程：安全策略高级特性第13页/共24页网络中存在多种防不胜防的攻击，如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务，或者直接破坏网络设备导致网络服务异常甚至中断。作为网络安全设备的防火墙，必须具备攻击防护功能来检测各种类型的网络攻击，从而采取相应的措施保护内部网络免受恶意攻击，以保证内部网络及系统正常运行。神州数码防火墙提供基于域的攻击防护功能攻击防护第14页/共24页防火墙攻击防护攻击防护是否启用防护检测阀值该防护功能动作第15页/共24页防火墙攻击防护攻击防护（续）是否启用防护代理阀值代理时间Syn cookie第16页/共24页基于角色的策略基于时间表的策略网络攻击防护 二层防护议程：安全策略高级特性第17页/共24页防火墙二层防护主机防御 安全网关代替不同主机发送免费arp包，保护被代理主机免受arp攻击。主机防御服务器所在接口服务器IP服务器macArp包速率第18页/共24页防火墙二层防护arp防御 通过使用ARP学习功能、MAC学习、ARP认证以及ARP检查功能，DCFOS能够很好的防御ARP欺骗攻击。并且，DCFOS能够对ARP欺骗攻击进行统计，显示ARP欺骗攻击统计信息ARP防御ARP广播包限制是否启用ARP检查应用第19页/共24页 防火墙二层防护静态绑定 在全局模式下，使用以下命令绑定IP-MAC:arp ip-address mac-address 在全局模式下，使用以下命令绑定MAC-接口：mac-address-static mac-adress interface interface-name静态绑定第20页/共24页 防火墙二层防护DHCP SnoopingDHCP监控第21页/共24页 在本章中讲述了以下内容：基于角色的策略 基于时间表的策略 配置网络攻击防护 配置二层防护小结第22页/共24页问题基于角色的策略中，unknow角色策略的作用？神州数码防火墙支持的ARP攻击防护的方法有哪些？神州数码防火墙支持抵御哪些Flood攻击？如何防止Syn-Flood攻击？解释Secure Defender的作用。第23页/共24页