安全hcnp課件--security v2.0cssn實驗手冊

手冊說 NIP產(chǎn)品描 NIP基礎(chǔ)實 初始化配置NIP設(shè) 直路部署 UTMIPS實 IPS基礎(chǔ)配置實 IPS阻斷實 UTM防實 URL過濾實 配置URL過濾實 RBL過濾配置實 配置預(yù)定義方式RBL過 DPI配置實 配置DPI升 配置DPI控制IM行 UTM特性故障排除實 手冊說本手冊用于指導(dǎo)學(xué)員學(xué)習(xí)安全產(chǎn)品的配置和部署技術(shù)，學(xué)員可以通過USG2200產(chǎn)品外USG2200由機箱、擴展接口卡組成。其機箱尺寸為442mm×414mm×43.6mm（寬×深×高19英寸標準機柜中。下面介紹USG2200的外觀。部件分持交流電源，其中USG225025FSW接口卡。USG2220/2230/225021GE接口卡。Figure1-1USG2200交流/

Console接 5.閃存接 6.USB2.0接7.GEComboUSG2200USG2200Figure1-2USG22001.MIC1/DMIC12.MIC2/DMIC23．MIC3槽槽4.MIC47.5.FIC5/DFIC58.6.FIC6Figure1-3USG2210Figure1-4USG2220/2230/2250USG5120產(chǎn)品外USG5120由機箱、擴展接口卡組成。其機箱尺寸為442mm×414mm×86.1mm（寬×深×高19英寸標準機柜中。部件分USG51204MIC4FICFigure1-5USG5120交流/1.2.3.Console4.5.USB2.010/100/1000M10.

GECombo214.

GEComboUSG5120USG5120Figure1-6USG51201.MIC1/DMIC12.MIC2/DMIC23．MIC3槽槽4.MIC45.FIC5/DFIC56.FIC6/DFIC67.FIC710.8.FIC89.USG5150/USG5160產(chǎn)品外USG5150/USG5160由機箱、擴展接口卡組成。其機箱尺寸部件分4MIC6FIC3U高設(shè)備。USG5160的電源和風(fēng)扇均支Figure1-7USG5150/USG5160交流/（USG5160無直流1.3.4.Console6.USB2.0GEComboGECombo

GECombo

GEComboESDFigure1-8USG5150/USG5160槽

槽

MIC3MIC4插 5.FIC5/DFIC5插 6.FIC6/DFIC6插FIC10

FIC9MICFIC槽位的編號原則。各接口按照從下到上，從左到右的順序依次編號。物理接口編號為interface-typeX/0/Y，interface-type為接口類型（Ethernet等，X表示0。NIP產(chǎn)品外NIP2000部件分Figure1-9NIP2100/2100D1.防靜電腕帶插孔2.系統(tǒng)復(fù)位 3.指示燈區(qū)4.Micro-SD卡插槽5.FIC2插 6.FIC1插7.光電互斥接 8.10/100/1000M自適應(yīng)以太網(wǎng)電接口9.管理Console接 11.USB2.0接Figure1-10NIP2100/2100D1.接地端 2.電源指示燈3.電源開4.交流電源線扎線孔5.電源接 6.風(fēng)扇Figure1-11NIP22003.USB2.05.Console6.Micro-SD8.10/100/1000M9.10.12.FIC913.FIC715.FIC516.ESP80018.19.NIP2200Figure1-12NIP22001.防塵 2.電源開 3.交流電源線扎線4.電源接口5.電源風(fēng)扇 6.電源指示7.防靜電腕帶插孔8.NIP基礎(chǔ)實NIP實驗?zāi)拷M網(wǎng)設(shè)實驗拓Figure2-1NIP接口IPDNSIP：/24DNS配置步Step1NIPDNS服務(wù)器，如果不能或者不方便登錄WebConsole口登錄NIP令行來配置管理接口的IP地址/掩碼和默認網(wǎng)關(guān)，然后再登錄WebDNS服務(wù)器。通過Console口登錄NIP令行后，先執(zhí)行命令manage-ip24配IP地址/default-gateway54配置將一臺計算機（假設(shè)名稱為PC_1）的網(wǎng)口與NIP的管理接口直連或者通過二層交換機相連將PC_1的IP地址配置為與NIP管理接口的IP地址在同/24 （Admin@123）登錄NIP的Web配置界面。登 MGMT（狀態(tài)Web界面后，需要盡早保存當前配置，以免設(shè)備掉電重啟后管理接口的Step2DPI選擇“系統(tǒng)>>License管理功，則表示License文件已成功上傳，列表中將添加新上傳的License文件，此時狀態(tài)為空。LicenseLicense則狀態(tài)顯示“當前License“>狀態(tài)”后“License信息”中的“License狀態(tài)”應(yīng)顯由于NIP可以接入Internet，所以此處以升級為例介紹，當選擇“系統(tǒng)>>升級中心（“安全服務(wù)中心中輸入需配置的安全服務(wù)中心的本舉（ ， 擇“應(yīng)用控制升級”，單擊“手動升級”，立即升級DPI知識庫。結(jié)果檢選擇“>狀態(tài)“License信息”中可以查看到簽名庫和DPI知識庫的版本實驗?zāi)恐甭凡渴鸾M網(wǎng)設(shè)實驗拓某企業(yè)有一條鏈路接入Internet，內(nèi)網(wǎng)所有計算機都可以Internet，業(yè)務(wù)流量包含Web瀏覽、豐富的P2P/IM等用戶上網(wǎng)業(yè)務(wù)。企業(yè)部署了NIP來保護客戶端，防御針對客戶端的；同時防止內(nèi)網(wǎng)計算機對網(wǎng)絡(luò)的。詳細Figure2-2NIP接口IPDNS名稱名稱13:00應(yīng)用協(xié)議：P2PIM名稱IPDNS配置步Step1NIPStep2配址deprtment_c52新建時間段“work_time”單擊時間段“work_time”對應(yīng)的，增加成員，如圖3所示。3時間段“work_time”中增加成員4Step3IM55新建應(yīng)用控制策略“policy_a”“P2P率”中輸入“100066P2P“IM7IMBpolicy_bIM時限制P2P的流量速率過1Mbit/s。請參考“policy_a”的創(chuàng)建方式，不同之處為在配置IM“work_time請參考“policy_aIMpolicy_a8所示。8Step4配置防護策略選擇“應(yīng)用安全>防護>策略”圖9配置防護的全局參“default_inline_ips10新創(chuàng)建的防護策略“protect_client”顯示在“防護策略列表”中，如11所示。圖11防護策略配置結(jié)Step5將應(yīng)用控制策略和防護策略應(yīng)用到a01->b01上b01“防護策略，如圖12所示。12a01BAdepartment_b，應(yīng)用控制策policy_b。CAdepartment_c，應(yīng)用控制策policy_c。13

“ID”0NIP擊移動策略的位置，調(diào)整策略的優(yōu)先級。13“a01->b01Step6選擇“>日志，查看日志緩存區(qū)的日志信息查看流量 結(jié)果檢

選擇“>狀態(tài)，查看流量 客戶端正常Internet的業(yè)務(wù)流量沒有受影響。P2P1Mbit/s。IM軟件已按照需求限制。針對客戶端的流量已被NIP成功阻擋搭建測試環(huán)實驗?zāi)堪惭bSEAL軟件組網(wǎng)設(shè)Windos32實驗拓略配置步Step1SealSealStep2SealStep3指定安 Step4Seal，Seal ，點Step6SeallicenseSealLicenseLicense:導(dǎo)入License文件，并點擊OK。此時方式需要收集本PC的ESN，并填寫至 /hi/grop/6349，Step7LicenseAttacker用于模擬DDosAppReplay用于模擬Step8AttackerDevicelistAddOK。完成初始化配置。Step9AppReplayok按鈕，保證連接到具體的物理網(wǎng)卡。最后點擊Apply，Connect按鈕，Ok，確認要使用的物理網(wǎng)卡。注：AppReplayIPS實驗，需要一PC具有兩塊網(wǎng)卡，模擬客戶端和服務(wù)端。結(jié)果檢無UTMIPSIPS實驗?zāi)拷M網(wǎng)設(shè)實驗拓Figure3-1IPS配置步Step1USG5300<USG><USG>system-[USG]interfaceEthernet[USG-Ethernet0/0/0]description [USG-Ethernet0/0/0]ipaddress24[USG-Ethernet0/0/0]quit[USG]interfaceEthernet0/0/1[USG-Ethernet0/0/1]description ****connect_to_Servers****，[USG-Ethernet0/0/1]ipaddress24Step2UTMLicenseStep3UTM，， Step4設(shè)置工作在UTM模Step5IPSStep6IPSStep7IPS配置IPS轉(zhuǎn)發(fā)策結(jié)果檢

IPS阻斷實實驗?zāi)繉崿F(xiàn)通過配置IPS實時阻斷組網(wǎng)設(shè)實驗拓Figure3-2IPS阻斷實驗拓撲配置步Step1UTM3.1Step2UTMIPS3.1部分Step3Step4使用客戶端通過Worm工具對服務(wù)器進行Sear的AppReplayLinkModeRouteMode，RouteMode需要設(shè)置網(wǎng)關(guān)。IP地址和網(wǎng)關(guān)。 選擇L2/L3replay點擊Add按鈕點擊FileBrowser添加模擬包并點擊開始結(jié)果檢先關(guān)閉USG2200的IPS功能，測試客戶端主機對服務(wù)器主機的能否完成。打開USG2200的IPS功能，測試能否阻斷客戶端主機對服務(wù)器主機的。UTM 實應(yīng)用服務(wù)器防實實驗?zāi)渴煜TM產(chǎn)品防配置組網(wǎng)設(shè)1臺、USG2210實驗拓Figure4-1應(yīng)用服務(wù)器防實驗拓撲 SMTP郵件服務(wù)InternetUserTrust區(qū)域，應(yīng)用服務(wù)器（SMTP郵件服務(wù)器）DMZ區(qū)域，InternetUntrustInternetSMTPUSG2210上配置AV功能，掃描企業(yè)內(nèi)網(wǎng)用戶和Internet上的用戶的SMTP郵件，避免SMTP郵件服務(wù)器受。配置步Step1USG2210IPStep2AVStep3AVAV在“菜單”導(dǎo)航樹中選擇“UTM> >策略 (Step4AV 在“HTTP協(xié)議配置”區(qū)域框中去選“掃描”對應(yīng)的復(fù)選框，關(guān)閉HTTP協(xié)議的掃描開關(guān)。 在“FTP協(xié)議配置”區(qū)域框中去選“掃描”對應(yīng)的復(fù)選框，關(guān)閉FTP協(xié)議的 的掃描開關(guān)。Step5TrustUntrustAVSMTPInternet在“菜單”導(dǎo)航樹中選擇“>安全策略>轉(zhuǎn)發(fā)策略結(jié)果檢內(nèi)網(wǎng)用戶防實實驗?zāi)渴煜TM產(chǎn)品的內(nèi)部用戶Internet上的網(wǎng)頁時防配置組網(wǎng)設(shè)實驗拓Figure4-2內(nèi)網(wǎng)用戶防實驗拓撲 用 Http Web服務(wù)器的數(shù)據(jù)Trust區(qū)域，HTTP服務(wù)器位于Untrust在USG2200上配置AV功能，當內(nèi)網(wǎng)用戶的網(wǎng)頁帶時，USG2200中斷，并向用戶推送一個警告頁面提示的網(wǎng)頁中含。配置步Step2Step3AVStep4AVAV 在“菜單”導(dǎo)航樹中選擇“UTM>> 。Step5AV在“SMTPStep6TrustUntrustAV在“菜單”導(dǎo)航樹中選擇“>安全策略>轉(zhuǎn)發(fā)策略Step7在Web服務(wù)器端搭建Http服務(wù)器，并且放置測試文件注：Http服務(wù)器可以用Hfs(HttpfileServer)代替，測試文件可以通。在服務(wù)器端，安裝Hfs軟件，選擇指定的IP地址和端 將測試文件直接拖入hfs窗口中，完成hfs加載測試文件eicar.exe。并點擊開關(guān)，將OffON狀態(tài)。 PC。結(jié)果檢啟用AV功能后，當用戶的網(wǎng)頁帶時，USG2200中斷，并向用戶推送 URL過濾實URL實驗?zāi)縐TM產(chǎn)品URL組網(wǎng)設(shè)1臺、USG2200實驗拓Figure5-1URL用用IP0/24～00/24IP01/24～00/24。企業(yè)所有員工可以企業(yè)所有員工不可以 12：00～20：00不可以P2P類配置步Step1URL在“菜單”導(dǎo)航樹中選擇“UTMWEB>在“web過濾基本配置”區(qū)域框中配置URLStep2配置黑白在“菜單”導(dǎo)航樹中選擇“UTMWEBURL在“新建URL 。 在“新建URL 。在“新建URL地址”區(qū)域框中選擇匹配方式和填寫URL單擊“URL白”后面對應(yīng) 在“新建URL13)13)URL。在“新建URL地址”區(qū)域框中選擇匹配方式和填寫 Step3URL在“菜單”導(dǎo)航樹中選擇“UTMWEBURL在“新建URL 。在“新建URL在“新建URLStep4URL在“菜單”導(dǎo)航樹中選擇“UTMWEBURL在“新建URL在“修改URL 重復(fù)2-6項，創(chuàng)建URL過濾器urlpolicy2，配置P2P分類控制動作都為阻斷；創(chuàng)建URL過濾器urlpolicy3，配置體育/運動分類控制動作為阻斷；創(chuàng)建URLurlpolicy4，所有分類控制動作均為允許。Step5DNSDNS在“服務(wù)器列表”區(qū)域中輸入DNSDNSIP只是該舉例中的地址，實際配置中根據(jù)用戶DNS服務(wù)器地址配置。Step6在“菜單”導(dǎo)航樹中選擇“系統(tǒng)>Step7 >時間段 Step8配址對在“菜單”導(dǎo)航樹中選擇“>地址 Step9TrustUntrustURL在“菜單”導(dǎo)航樹中選擇“>轉(zhuǎn)發(fā)策略在“新建轉(zhuǎn)發(fā)策略”區(qū)域框中配置應(yīng)用URLurlpolicy12)～8)，配置應(yīng)用URLurlpolicy2、urlpolicy3、urlpolicy4結(jié)果檢通過配置黑白、自定義分類和預(yù)定義分類的控制動作，對員工的HTTP請求URL過濾，可以實現(xiàn)對企業(yè)員工上網(wǎng)行為的管理。RBL過濾配置實RBL實驗?zāi)拷M網(wǎng)設(shè)USG2200實驗拓Figure6-1RBL ExternalMailInternalMail6-1所示，USGUSG對進入企業(yè)內(nèi)部的郵件進行USGRBL服務(wù)器實現(xiàn)郵件過濾，保護郵件服務(wù)器和內(nèi)網(wǎng)用戶不受垃配置步Step1USG（略Step2RBL地址白在“菜單”導(dǎo)航樹中選擇“UTM在“菜單”導(dǎo)航樹中選擇“UTM Step3RBLRBLDNSIP在“基本配置”區(qū)域框中，啟用郵件過濾功能、白、，配置DNS服務(wù)Step4Step5在“菜單”導(dǎo)航樹中選擇“UTM>>策略”,在“基本配置”區(qū)域，選擇啟用，Step61)1)>2)單 ，在Untrust到DMZ區(qū)域方向應(yīng)用預(yù)定義策略。具體配置如圖所示3)Step7配置DMZ和Trust的Outbound方向的策略，允許內(nèi)網(wǎng)用戶從郵件服務(wù)器在“菜單”導(dǎo)航樹中選擇“>安全策略，選擇“轉(zhuǎn)發(fā)策略”頁簽 結(jié)果檢當發(fā)送給內(nèi)網(wǎng)用戶和內(nèi)部郵件服務(wù)器的郵件命中RBL服務(wù)器的時，該郵件DPI配置實DPI實驗?zāi)拷M網(wǎng)設(shè)USG2200實驗拓Figure7-1DPI用用配置步驟（命令行Step1system-view，Step2dnsresolve，DNSStep3dnsserverip-address，DNSStep4dpiDPIStep5usingdefaultrule-baseupdateserverDPIsec.Step6執(zhí)行命令updaterule-baseserver -name[portport-number|ip-addressip-address[portport-number]}*，配置升級服務(wù)器的或Step7可選：執(zhí)行命令updaterule-baseremote，立即升級DPI知識Step8updaterule-baseremoteperiodperiod-val，Step9updaterule-baseno-save，配置此命令后，設(shè)備將不保存升級后DPI配置步驟Step1依次點擊系統(tǒng)--升級中心。（略）配置步驟詳見3.1結(jié)果檢displaydpiverbose，查看DPI[USG-dpi][USG-dpi]displaydpiDPIverboseDPIEngine:DPI-ModuleDPICurrentDetectMax :DPISessionCurrentFlowNumber:DPIUpdate:SaveRule-baseAfter:DPIUpdate:ServerServer1:Server2:Server3:[USG]displaydpiDPIbriefDPI :Rule-Base'sCurrentVersion:Rule-Base'sloadtime :2010/05/3111:43:58Rule-Base'spublish :2010/01/30DPIIM實驗?zāi)緿PI組網(wǎng)設(shè)USG2200實驗拓Figure7-2DPI控制P2P行為和流實驗拓撲R&D Internet 配置步Step1配置USG使內(nèi)網(wǎng)用戶可以因特網(wǎng)，具體步驟略選擇“>時間段>時間段”12Step3im_blockI