技术培训资料2.ppt-淘文阁

资源描述

《技术培训资料2.ppt》由会员分享，可在线阅读，更多相关《技术培训资料2.ppt（117页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、技术培训next generation technology appliance 基础部分Chan Chee Yen,Head of Technical2021/9/27产品介绍 2021/9/272Tech Titan LimitedProducts下一代技术装置虚拟装置 VPN 客户端2021/9/273Tech Titan LimitedProductsListing in the Magic Quadrant for UTM-Firewall-Appliances SMB Market“管理界面独一无二的方式简化了管理任务”Frost&Sullivan Excellence Awar

2、d,September 2011“eGUI是目前市场上最直观和有效的可视化UTM管理界面”国际咨询机构评价2021/9/274Tech Titan LimitedProducts主要特性主要特性 2021/9/275Tech Titan LimitedProductseGUI使用“面向过程”(而不是“面向功能”)的方式达到了 ISO Norm 9241 认证标准的要求2021/9/276Tech Titan LimitedProducts8层技技术从2层-8层的所有服务都将获得基于身份策略的高安全性和高效率支持2021/9/277Tech Titan Limited可以扫描HTTPS加密连接

3、的含有病毒或其他恶意软件的数据流,在这个过程中，数据流在UTM首先被解密,然后进行分析,如果没有病毒,再重新加密并发送出去ProductsHTTPS扫描描2021/9/278Tech Titan Limited市场上最全面的策略之一,该项技术可以为每一个终端（用户、计算机和组等）来指定带宽的最大和最小值,在此基础上可以对每一项服务来调整带宽,对于带宽的调整可以精确到各种级别Products全面的流量全面的流量调整和整和QOS2021/9/279Tech Titan LimitedProducts反病毒Web内容过滤&实时反垃圾邮件过滤入侵防御系统(IPS)应用过滤(V9.2,currentl

4、y L7-filter)OEM 合作伙伴合作伙伴2021/9/2710Tech Titan Limited自有的VPN客户端用来连接移动终端设备和家庭工作站,此客户端同时支持IPSec和VPN-over-SSL.优势：在VPN-over-SSL上采用高安全标准的X.509认证在IPSec 和VPN-over-SSL上的高兼容性通过VPN-over-SSL隧道的所有服务可用性通过单击-连接实现便捷的安装ProductsVPN 客客户端端2021/9/2711Tech Titan LimitedProductsUsersPerformance/Throughput(Mbps)10 25 50 10

5、0 2505001.0005.000 10.0002005008001.0002.0005.00010.000Small&Remote officesTT-S2Small enterprisesTT-M1Medium enterpriseTT-M2 TT-M3EnterpriseTT-E1VPN 加速2021/9/2712Tech Titan Limited性能对照2021/9/2713Tech Titan LimitedTT-S2TT-M1TT-M2TT-M3TT-E1FW(Mbps)3501,0002,0003,5005,000IPSec(Mbps)1001503007001,500Con

6、current Sessions200,000500,0001,000,0001,250,0001,500,000Port4(100 Mbit)4(Gbit)6(Gbit)8(Gbit)8(Gbit)Users*2550100250500CommentNo HTTPSFull featuresFull featuresFull features,VPN accelerationFull features,VPN accelaration性能对照性能对照*Highly dependent on actual traffic2021/9/2714Tech Titan Limited性能对照性能对照

7、与与竞品品对照照2021/9/2715Tech Titan LimitedMain USP独有卖点2021/9/2716Tech Titan LimitedMain USPeGUI 管理界面直观及可视化的设置操作清晰的功能方便的服务阅览快速阅览整体网络结构最高支持达10,000用户的图层和缩放功能2021/9/2717Tech Titan LimitedMain USP2021/9/2718Tech Titan Limited潜在的错误以指数级别增加基于规则的防火墙Main USP产生安全生安全问题的原因的原因2021/9/2719Tech Titan LimitedReduction of

8、timethrough reduction of rulesReduction of error ratethrough visualizationReduction of coststhrough active managementMain USP优势eGUI技术以立体方式同时达到节省时间、降低错误率和降低成本的目的节省时间:-通过规则数量的减少降低错误率:-通过网络的可视化降低成本:-通过主动管理降低80%的运营成本2021/9/2720Tech Titan LimitedMain USP2021/9/2721Tech Titan Limited培训设置Training Setup2021

9、/9/2722Tech Titan LimitedTRAINING SETUP2021/9/2723Tech Titan Limited 安装INSTALLATION2021/9/2724Tech Titan LimitedUTM(实际装置或虚拟的)管理客户端(eGUI)，用于操作UTM身份认证客户端（Authentication Client）VPN 客户端Installation组件件2021/9/2725Tech Titan LimitedINSTALLATION固件（Firmware）2021/9/2726Tech Titan LimitedFirmware最新版本 V9.1(V9

10、.2 Aug 2012)格式ISO:用于安装虚拟装置USB:用于安装实体装置可以选择备份2021/9/2727Tech Titan LimitedFirmware最低硬件配置HDD:22GBRAM:215(512MB)步骤1.装载ISO as CD2.启动VM 并按照屏幕提示操作(如果需要可选择备份的文件)3.等待安装完成4.卸载CD 并重启ISO2021/9/2728Tech Titan LimitedFirmwareU盘至少1GB容量U盘中的数据会被抹去（创建启动U盘时）步骤1.下载 USB installer2.执行并创建启动U盘(如果需要可选择备份的文件)3.连接串口Speed:96

11、00Data bits:8Parity:NoneStop bits:1Flow control:None4.将U盘接在UTM并重启5.按照屏幕提示操作6.等待安装完成7.取下U盘并重启USB2021/9/2729Tech Titan LimitedeGUI 登录Login:adminPassword:adminInterface IPeth0:192.168.0.254/24eth1:192.168.1.254/24eth2:192.168.2.254/24And so onInstallation默默认参数参数2021/9/2730Tech Titan Limited立即更改 eGUI的默认

12、密码在安装过程中你输入的root密码将会被重新编码成一个新的root密码-这意味着，你输入的密码不能用来CLI的登录将你的原始密码发邮件到 supporttech- 获取新密码使用以下的对应表INPUT=0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz”CRYPT=91926347508BCEGHNIJDKALMPROFSTUQWXYZVbceghnijdkalmprofstuqwxyzvInstallation重要注意事重要注意事项2021/9/2731Tech Titan Limited动手实验VMRAM:512

13、MBHD:30GBNIC:3Eth0:bridge 10.0.0./24Eth1:bridge 10.50.0./24Eth2:host 192.168.254/24-10=team 1,20=team 2,etcRoot password:aaaaaaInstallation安装虚安装虚拟装置装置2021/9/2732Tech Titan LimitedINSTALLATIONeGUI2021/9/2733Tech Titan LimitedCD(ISO)USB stickOnlineInstallationeGUI2021/9/2734Tech Titan Limited动手实验Clien

14、tgateProtect Administration Client.exeInstallationInstall eGUI2021/9/2735Tech Titan LimitedManagement管理2021/9/2736Tech Titan LimitedCLI(Putty):进一步排错SerialSSHWe will look at this latereGUI:配置及日常管理初次配置动手实验Management2021/9/2737Tech Titan Limited菜单配置桌面Overview of networkToolbarActive ServicesFurther Inf

15、ormationZoomLayerSearchStatus barDenied accesses报告统计监控Management程序界面程序界面2021/9/2738Tech Titan LimitedManagementLicense许可2021/9/2739Tech Titan Limited默认45天试用期试用期期间，不能创建eGUI的备份License file:.gplfManagementLicense2021/9/2740Tech Titan Limited当期满时试用版不能更改配置HTTP 拦截商业版AV,IDS,IPS 不能再更新内容过滤和反垃圾邮件停止工作对于虚拟装置，当I

16、P数量超过时，它们是不受保护的ManagementLicense2021/9/2741Tech Titan Limited设置Management2021/9/2742Tech Titan Limited备份与还原SSH 密码不能恢复试用期间不能备份*SetupManagement2021/9/2743Tech Titan Limited设置登录UTM的访问控制设置日期/时间SetupManagement-Firewall2021/9/2744Tech Titan Limited管理eGUI管理员、权限和 PPTP 用户SetupManagement User Management2021/

17、9/2745Tech Titan Limited管理补丁和补丁记录SetupManagement Updates2021/9/2746Tech Titan Limited设置接口2021/9/2747Tech Titan LimitedSetupInterfaces2021/9/2748Tech Titan LimitedSetupInterfaces桥接让UTM看起来像网桥/switch一样工作,但它只能检查到7层的数据包网桥的IP地址是需要的，例如代理需要用到2021/9/2749Tech Titan LimitedSetupInterfaces动手实验配置Eth0(Internet)

18、:10.0.0./24,GW:10.0.0.1Eth1(DMZ):10.50.0./24Eth2(LAN):192.168.254/24注意:你不能改变当前应用于eGUI的接口2021/9/2750Tech Titan Limited设置DHCP2021/9/2751Tech Titan LimitedSetupDHCP服务器或中继2021/9/2752Tech Titan LimitedSetupDHCP动手实验在eth2上配置DHCP2021/9/2753Tech Titan Limited设置Internet2021/9/2754Tech Titan LimitedSetupIntern

19、et2021/9/2755Tech Titan LimitedSetupInternet动手实验配置 eth0，使用10.0.0.1 作为路由器地址2021/9/2756Tech Titan Limited设置规则2021/9/2757Tech Titan LimitedSetupRule2021/9/2758Tech Titan LimitedSetupRule规则中包含端口/服务动态/方向时间表日志代理NATDMZApplication Level2021/9/2759Tech Titan LimitedSetupRule优先级包过滤1.单个 IP/用户2.完整的子网(子网越小,优先级越高

20、)3.IP 范围2021/9/2760Tech Titan LimitedSetupRule动手实验允许LAN 访问Web 网址PingDNSHTTPHTTPS建立一个DMZ 邮件服务器 10.50.0.22021/9/2761Tech Titan Limited设置代理2021/9/2762Tech Titan LimitedSetupProxy支持的代理外出HTTP(S)FTPPOP3VOIP:SIP进入SMTP2021/9/2763Tech Titan LimitedSetupProxyHTTP 代理基于Squid(开源)在内容过滤、AV,Caching and Web统计上需要透明模式

21、(全部)或非透明模式(普通代理)2021/9/2764Tech Titan LimitedSetupProxyHTTPS 代理透明模式“中间人”到新HTTPS web的请求将被拒绝并且必须被核准1.浏览器访问新的HTTPS 站点2.显示为空白页3.请求被发送到eGUI4.管理员批准或阻止这个页面5.浏览器再次访问这个HTTPS 站点6.如果已经被批准，将会收到一个“forged”证书,否则将被拦截2021/9/2765Tech Titan LimitedSetupProxyFTP 代理基于Frox(开源)AV（防病毒）需要SMTP and POP3 代理基于Pimp(私有的)AV（防病毒）和反

22、垃圾邮件需要2021/9/2766Tech Titan LimitedSetupProxy Application Level基于7层过滤鉴定如下协议（不受端口限制）HTTPFTPPOP3SMTPDNS2021/9/2767Tech Titan LimitedSetupProxy2021/9/2768Tech Titan LimitedSetupProxy动手实验开启 HTTP 和HTTPS 代理在透明模式为 DMZ开启SMTP 2021/9/2769Tech Titan Limited设置简单的用户认证2021/9/2770Tech Titan LimitedSetupSimple Use

23、r Authentication支持的认证后端LocalActive DirectoryOpenLDAPSSO with Kerberos如何认证Windows Authentication ClientWeb Authentication(Landing page)2021/9/2771Tech Titan LimitedSetupSimple User Authentication2021/9/2772Tech Titan LimitedSetupSimple User Authentication动手实验本地用户数据库创建用户启用认证启用登录页面2021/9/2773Tech Titan

24、 Limited设置流量调整2021/9/2774Tech Titan LimitedSetupTraffic Shaping为特定用户、电脑或服务保留或限制带宽2021/9/2775Tech Titan LimitedSetupTraffic Shaping动手实验下载 http:/products.kaspersky- 192.168.0/24 到 50kbps限制 192.168.0/24 到 10kbps2021/9/2776Tech Titan Limited设置LAN Accounting2021/9/2777Tech Titan LimitedSetupLAN Accountin

25、g为用户申请时间和大小配额2021/9/2778Tech Titan LimitedSetupLAN Accounting动手实验为用户申请每天 1MB 配额为用户申请每天1hour配额2021/9/2779Tech Titan Limited设置反垃圾邮件2021/9/2780Tech Titan LimitedSetupAnti-SpamMailfilter 邮件过滤器随“SMTP 代理-进入”使用通过接收地址过滤邮件允许用通配符(*,?)2021/9/2781Tech Titan LimitedSetupAnti-SpamAnti-Spam 反垃圾邮件云端扫描生成邮件散列值散列值被发送

26、到CommTouch分析内容和频率返回结果2021/9/2782Tech Titan LimitedSetupAnti-SpamAnti-Spam 反垃圾邮件云端扫描生成邮件散列值散列值被发送到CommTouch分析内容和频率返回结果行动附件主题标题*NO Quarantine 不隔离2021/9/2783Tech Titan LimitedSetupAnti-Spam动手实验到DMZ mail server测试垃圾邮件和病毒2021/9/2784Tech Titan Limited设置IDS/IPS2021/9/2785Tech Titan LimitedSetupIDS/IPS检测和预防攻

27、击基于Snort资源集中,只有 Internet 接口允许-各自允许才会产生一个 Snort 过程不要使用FULL 模式2021/9/2786Tech Titan LimitedSetupIDS/IPS动手实验在Internet连接上允许IPS在Internet连接上允许IDS,设置最高的安全性,并且允许端口扫描检测检查来自培训者的攻击报告2021/9/2787Tech Titan LimitedREPORTS报告2021/9/2788Tech Titan LimitedSetupREPORTS报告-即 log 文件显示以下logs IDSUTM/var/log/messages/var/l

28、og/dmesg/var/log/firewall.log/var/log/ipsec.log2021/9/2789Tech Titan LimitedSTATISTICS统计2021/9/2790Tech Titan LimitedSetupSTATISTICS统计-即报表查看eGUI(管理客户端):一个例子专门的统计客户端:多重例子2021/9/2791Tech Titan LimitedMONITORING监控2021/9/2792Tech Titan LimitedSetupMONITORING硬件及系统信息2021/9/2793Tech Titan LimitedMORE ON CL

29、I2021/9/2794Tech Titan LimitedSetupMORE ON CLIWinSCP:通过SSH端口上传及下载文件，例如下载squid log 文件2021/9/2795Tech Titan LimitedSetupMORE ON CLI动手实验下载并查看/var/log/messages log 文件2021/9/2796Tech Titan LimitedSetupMORE ON CLIPutty:访问UTM的Console口，运行Linux 命令.对诊断问题是必要的。2021/9/2797Tech Titan LimitedSetupMORE ON CLItcpdum

30、p:数据包嗅探器例:抓取所有通过eth0接口的HTTP流量tcpdump n i eth0 port 802021/9/2798Tech Titan LimitedSetupMORE ON CLIWireShark:网络协议分析器2021/9/2799Tech Titan LimitedSetupMORE ON CLI动手实验抓取通过eth0的所有流量并用WireShark分析tcpdump nl i eth0 s 65000-X w utm.capUse WinSCP to copy utm.cap to PCRun WireShark on PC and open utm.cap2021/

31、9/27100Tech Titan LimitedSetupMORE ON CLI基本的Linux命令ls:Lists files and directoriescd:Change directoryrm:Delete filemkdir:Make directorypstree:Show running processes in a tree viewpsall:Show running processes individuallydf:Information about free disk spaceroute n(ip r):Show routing tabletop:Show CPU

32、and memory utilizationiptables L nv:Show firewall and NAT rulesreboot:Reboot the UTMiptraf:Show traffic on all connectionswget:Download a filetelnet :Test for serviceskillall:Terminate a process its nameifconfigmoregrepvi/nano2021/9/27101Tech Titan LimitedROADMAP路线图2021/9/27102Tech Titan LimitedVers

33、ion 9.1-LAN-Accounting-New VPNQ2/2012Version 9.0-IPS-New HA-System-Kaspersky Engine (New)-Patch ManagementQ4/2011Version 9.2-Application Filter (Vineyard)Q3/2012Q4/2012Version 10-Re-write -WEB eGUI-IPv6-Web proxy+Application filter-Firewall-Auditing(ISO)-Live Monitoring Roadmap 20122021/9/27103Tech

34、Titan LimitedThank you2021/9/27104Tech Titan Limited技术培训next generation technology appliance AdvancedChan Chee Yen,Head of Technical2021/9/27EXAMPLE例子2021/9/27106Tech Titan LimitedEXAMPLEHTTP 代理的桥接(iptables rule and no authentication)iptables-I INPUT-s -p tcp-m tcp-dport 1813-j ACCEPT-m comment-comm

35、ent Allow block message-m state-state ESTABLISHED,NEW,RELATED/opt/gateprotect/etc/bootup.sh2021/9/27107Tech Titan LimitedEXAMPLEeGUI:另外的管理员登录killall gpServer2021/9/27108Tech Titan LimitedEXAMPLE试用期的备份tar-czpvhf backup.gp/opt/gateprotect/etc/2021/9/27109Tech Titan LimitedEXAMPLE检查log 文件/var/logtailta

36、il f打开除错模式日志“touch/opt/gateprotect/.“空格killall gpServer“rm/opt/gateprotect/.“空格/tmp/-debug.txt.1(最多二十)Once obtained the logkillall gpServer2021/9/27110Tech Titan LimitedEXAMPLE常见 UTM processgpServer(eGUI)asServer(Anti-Spam)gpFilter(url-Filter)gpIxSd(IPS/IDS)gpLanAcctdgpActivated(加载所有的配置)2021/9/2711

37、1Tech Titan LimitedVPNVPNRoad warriorIPSecSSL(Exercise)Site-to-SiteIPSec(Exercise)IKE v1Phase 1&Phase 2 lifetime not mutipleipsec statusSSL2021/9/27112Tech Titan LimitedeGUI password如何重置密码eGUIecho n|md5sum/opt/gateprotect/etc/users.inikillall gpServerConsole联系 supporttech-提供 eGUI 登录2021/9/27113Tech

38、Titan LimitedConfiguration files/opt/gateprotect/etc/interface.ini(网络接口的地址)/opt/gateprotect/etc/iconnect.ini(网关)/opt/gateprotect/etc/users.ini/opt/gateprotect/etc/extsettings.ini(外部设置)/opt/gateprotect/etc/proxyports.ini(代理端口)2021/9/27114Tech Titan LimitedConfiguration filesUTM 工具gpEthIf-A(从/opt/gateprotect/etc/interface.ini 刷新网络接口)gpBoxInfoinfo.sh2021/9/27115Tech Titan LimitedThank yousupporttech-2021/9/27117Tech Titan Limited

展开阅读全文