《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》

實驗手冊

目錄

實驗1AC的路由模式部署1

實驗2用戶認證技術(shù)之無需認證9

實驗3用戶認證技術(shù)之密碼認證20

實驗4應(yīng)用識別與控制技術(shù)32

實驗5AF的路由模式部署49

實驗6AF終端下載防護59

實驗7AF防止DDOS攻擊外網(wǎng)70

實驗8AF安全之服務(wù)器漏洞防護82

實驗9IPSECVPN配置99

實驗10SangforVPN配置120

實驗11EDR客戶端安裝和終端分組基本操作136

實驗12EDR客戶端的基本策略和客戶端卸載157

2

實驗1AC的路由模式部署

【實驗?zāi)康摹?/p>

理解深信服上網(wǎng)行為管理設(shè)備（下面簡稱AC）,作為公司網(wǎng)關(guān)部署的過程與原理。

【實驗原理】

AC作為網(wǎng)關(guān)部署在公司互聯(lián)網(wǎng)出II,其原理與傳統(tǒng)路由器一致。主要作用完成用戶的SNAT上網(wǎng)

工作，以及從外向內(nèi)訪問服務(wù)器的DNAT工作。本實驗，我們主要講述SNAT的部署過程。

【實驗場景】

某大型集團公司，其集團總部為了管理公司內(nèi)部PC上網(wǎng)，計劃使用AC來代替?zhèn)鹘y(tǒng)路由器，解決

用戶上網(wǎng)認證、網(wǎng)速管理、日志審計等問題。本實驗是部署AC的第一步場景。

【實驗拓撲】

如圖1T所示,為本實驗拓撲結(jié)構(gòu)。

圖例:

紅色JS分表示的SSJ&St

分公司

本實臉不需要

124126.100^8ETH3

圖1-1AC的路由模式部署拓撲圖

【實驗設(shè)備】

1、總部AC,作總部出口網(wǎng)關(guān)使用

1

2、微軟域控，作為總部的服務(wù)器，本實驗中主要作用為WEB服務(wù)器，理解為集團公司網(wǎng)站。3、PC1,

普通辦公PC,員工辦公使用，需要連接互聯(lián)網(wǎng)

4sInternet-WEBServer,互聯(lián)網(wǎng)上的WEB服務(wù)器,理解為類似sina,baidu等站點。

【環(huán)境預(yù)配】

【環(huán)境預(yù)配】,是指已經(jīng)【實驗場景】的配置邊界。

實驗環(huán)境中，非深信服設(shè)備，不需要學(xué)員配置。如交換機、路由器、PC、服務(wù)器。

實驗環(huán)境中，深信服設(shè)備，需要學(xué)員按【實驗拓撲】說明進行配置。

實驗環(huán)境中，配置基本遵循上述兩條原則，少數(shù)實驗例外。例外過程，在【實驗步驟】中說明

【實驗步驟】

一.配置總部AC的網(wǎng)絡(luò)（操作對象：總部AC）

1.2如圖1-3所示，選擇路由模式

2

圖1-3AC路由部署模式

1.3根據(jù)拓撲圖，配置網(wǎng)卡，如圖1-4所示，其中ETH1為LAN口，即辦公區(qū)ETH2為DMZ口，即服務(wù)

器區(qū)ETH3為WAN口，即互聯(lián)網(wǎng)區(qū)

圖1-4路由模式接口

1.4如圖1-5所示,配置ETH1,ETH1接辦公區(qū)，IP地址參照拓撲圖配置

3

圖1-5LAN口配置

1.5如圖1-6所示，配置ETH3

ETH3接互聯(lián)網(wǎng)區(qū)，IP地址參照拓撲圖配置

圖1-6WAN口配置

1.6如圖1-7所示，配置ETH2

ETH2接DMZ區(qū)，即服務(wù)器區(qū)，IP地址參照拓撲圖配置

4

圖1?7DMZ接口配置

1.7如圖1-8所示，配置代理上網(wǎng)

這里配置代理辦公網(wǎng)段上網(wǎng)。辦公網(wǎng)網(wǎng)段為/24

回

圖1-8NAT配置

1.8如圖1-9所示，檢查無誤后提交

5

圖I-9重啟服務(wù)

二、如圖1-10所示，檢查PC1上網(wǎng)是否正常（操作對象：PC1）

打開PC1桌面上的瀏覽器,訪問Intemet-WEB,即

?.OQ]■o

Cvwmt

I?A****...~-??MG，1UWard

ThispageisusedtotesttheproperoperationoftheApa

afterithasbeeninstalledIfyoucanreadthispagertmeansthatthissite出

workingproperlyThisserverispoweredbyCenrOS

Justvisiting?AreyoutheAdministrator?

圖1-10PCI測試效果

訪問正常

三、如圖1-11所示，查看微軟域控能否訪問互聯(lián)網(wǎng)（操作對象：微軟域控）

6

打開桌面上瀏覽器，訪問Interet-WEB,即

圖1-11AD域測試效果

發(fā)現(xiàn)無法訪問，因為在AC中僅做了辦公網(wǎng)段的代理上網(wǎng)，而沒有做服務(wù)器網(wǎng)段代理上網(wǎng).

四、查看PC1能否訪問域控制器上的WEB頁面（操作對象：PC1）

如圖1-12所示，打開PC1桌面上的瀏覽器,訪問微軟域控的WEB,即172.160100

O&m」3oo

—

WelcomeTrfvetukM

Bem-vindo

圖1-12AD域修改后測試效果

可以訪問，因為PC1與微軟域控，同在內(nèi)網(wǎng)，路由直接可達。

【實驗總結(jié)】

通過本實驗，理解AC的網(wǎng)關(guān)部署原理，和傳統(tǒng)路由器作網(wǎng)關(guān)原理一致。AC所謂的“弋理上網(wǎng)”

7

理解為SNAT,即源地址轉(zhuǎn)換。

8

實驗2用戶認證技術(shù)之無需認證

【實驗?zāi)康摹?/p>

學(xué)會配置.AC的用戶認證，本實驗中不會強制認證，即無需認證。AC會以用戶的IP地址作為用戶

標識，記錄用戶行為。

【實驗原理】

AC作為網(wǎng)關(guān)部署在公司互聯(lián)網(wǎng)出口，當(dāng)用戶訪問網(wǎng)絡(luò)的流量經(jīng)過AC時，AC記錄用戶的IP作為用

戶標識。

【實驗場景】

某大型集團公司，內(nèi)部PC均使用固定IP地址?，F(xiàn)在要通過IP地址審計用戶上網(wǎng)行為。要求對用

戶上網(wǎng)不要造成任何影響。

【實驗拓撲】

如圖2-1,為本實驗拓撲結(jié)構(gòu)。

修色85分垂亍三拘耀”■W部分欠刖

紅色前分多示備0色卷分賽手環(huán)由蠡

圖2?1實驗2拓撲

【實驗設(shè)備】

1、總部AC,作總部出口網(wǎng)關(guān)使用

2、PC1,普通辦公PC,員工辦公使用。

3、PC2,普通辦公PC,員工辦公使用。

4、Internet-WEBServer,作為在互聯(lián)網(wǎng)上的服務(wù)器

【環(huán)境預(yù)配】

9

【環(huán)境預(yù)配】，是指已經(jīng)【實驗場景】的配置邊界。

實驗環(huán)境中，非深信服設(shè)備，不需要學(xué)員配置。如交換機、路由器、PC、服務(wù)器。

實驗環(huán)境中，深信服設(shè)備，需要學(xué)員按【實驗拓撲】說明進行配置。

實驗環(huán)境中，配置基本遵循上述兩條原則，少數(shù)實驗例外。例外過程，在【實驗步驟】中說明

【實驗步驟】

一、配置總部AC的網(wǎng)絡(luò)（操作對象：總部AC）

1.1如圖2-2所示，開始配置網(wǎng)絡(luò)

圖2-2部署模式配置

其中ETH1為LAN口，即辦公區(qū)ETH2為DMZ口，即服務(wù)器區(qū)ETH3為WAN口，即互聯(lián)網(wǎng)區(qū)

10

圖2＜接口選擇

1.4如圖25所示，配置ETH1

ETH1接辦公區(qū)，IP地址參照拓撲圖配置

圖2-5LAN口配置

1.5如圖2-6所示，配置ETH3

ETH3接互聯(lián)網(wǎng)區(qū)，IP地址參照拓撲圖配置

11

圖2-6WAN口配置

1.6如圖2-7所示，配置ETH2

ETH2接DMZ區(qū)，即服務(wù)器區(qū)，IP地址參照拓撲圖配置

圖2-7DMZ口配置

1.7如圖2-8所示，配置代理上網(wǎng)

這里配置代理辦公網(wǎng)段上網(wǎng)。辦公網(wǎng)網(wǎng)段為/24

12

圖2-8NAT配置

1.8如圖29所示，檢查無誤后提交

啟設(shè)備

二、配置認證策略。（操作對象：總部AC）

2.1如圖270所示，查看當(dāng)前認證策略

13

AC默認前下，對所有IPW,都無需認證

圖2-10默認認證策略

在深信服上網(wǎng)行為管理中，默認對所有的IP地址均無需認證。

2.2如圖2-11和2-12和2T3所示，對辦公網(wǎng)段，定義無需認證

辦公網(wǎng)段IP為/24,配置如下

三

助

三

三3

4

圖2-II認證范圍配置

14

認證策略X

圖2-12認證方式配置

圖2-13非本地用戶配置

2.3如圖2-14所示，查看定義的認證策略

AC在匹配認證策略時，會從上往下依次匹配，所以這里要注意認證策略的先后關(guān)系。

15

確保我們在前面新建的策略優(yōu)先級最高。這樣才能保證我們新建的策略優(yōu)先級高于默認策略。用戶才

能到default組。

圖2-14認證配置查看

三、使用PC1上網(wǎng)，生成認證數(shù)據(jù)。（操作對象:PC1）

如組2-15所示，使用PC1的瀏覽器,訪問Internet-WEBServei■服務(wù)器,即

ApacheHTTPServerTestPageX+

oa124.1262002

口火仰#方站點?新手上ss0常用網(wǎng)址E3京玄商城

ThispageisusedtotesttheproperoperationoftheApache

afterithasbeeninstalled.Ifyoucanreadthispageitmeanst

workingproperly.ThisserverispoweredbyCento

Justvisiting?AreyoutheAdministra

圖2-15PCI訪問測試

四、使用PC2上網(wǎng)，生成認證數(shù)據(jù)。（操作對象:PC2）

如青2T6所示,使用PC2的瀏覽器，訪問Internet-WEBServer服務(wù)器,即

16

ApacheHTTPServerTestPagex十

o&124.1262002

口火觀官方站點?新手上ss口常用網(wǎng)址威京&湎城

si

ThispageisusedtotesttheproperoperationoftheApache

afterithasbeeninstalled.Ifyoucanreadthispageitmeanst

workingproperly.ThisserverispoweredbyCento

Justvisiting?AreyoutheAdministra

—V>>>???.?.???、?????????s■???

圖2-16PC2訪問測試

五、如圖217所示，查看AC的用戶認證狀態(tài)（操作對象：總部AC）

圖2-17用戶認證狀態(tài)查看

【實驗總結(jié)】

上述實驗過程中，使用的是IP地址作為用戶名，如圖2T8所示

17

認證策略X

回啟用

名稱：辦公網(wǎng)認證

施述：

＞認證范圉

認證方式：?1天察要認證

＞認證方式。莖括認證

認證后處理

允許認證（禁止上網(wǎng)）

用戶名

⑥昌動獲取：以IPi眥作為用戶名]▼

以1崛址作為月戶名I

DC一=，王歷左取.-1

以MAC地址作為月戶名

以計算機名作為月戶名

圖2-18IP地址為用戶名配置

思考下面幾個問題

1、什么情況下可以使用MAC地址作為用戶名？

2、什么情況下不可以使用MAC地址作用用戶名？怎么樣解決這個問題？

答案如下：

1、AC如果想使用MAC地址作為用戶名,那么AC必須要知道PC1與PC2的MAC地址，當(dāng)AC與PCk

PC2處于同一廣播域，可以使用ARP協(xié)議，獲取PC1與PC2的MAC地址，進而使用MAC地址作為用戶

名

2、如果AC與PC不處于同一廣播域，那么AC無法通過ARP獲取PC的MAC地址，無法使用MAC

地址作用用戶名。解決方法：AC與PC不處于同一廣播域，在大型公司網(wǎng)絡(luò)中非常常見，道常中間

會跨躍三層交換機。

此時可以使AC的通過手段讀取辦公PC的IP與MAC地址映射關(guān)系，來實現(xiàn)MAC地址驗證。

常見的手段有

1、通過映射端口流量讀取ARP或DHCP

2、通過SNMP取三層交換機的【P與MAC對應(yīng)關(guān)系

配置界面如圖2T9所示

18

圖2-19跨三層取MAC配置

關(guān)于MAC地址認證小結(jié)：

其本質(zhì)就是AC要獲取到PC的IP與MAC地址對應(yīng)關(guān)系。

19

實驗3用戶認證技術(shù)之密碼認證

【實驗?zāi)康摹?/p>

學(xué)會配置.AC的內(nèi)部用戶，要求用戶在上網(wǎng)時，使用AC的內(nèi)置賬戶進行認證，才允許上網(wǎng)。

【實驗原理】

AC作為網(wǎng)關(guān)部署在公司互聯(lián)網(wǎng)出口，當(dāng)用戶訪問網(wǎng)絡(luò)時，需要使用分配的用戶名和密碼進行認證,

才允許上網(wǎng)。

【實驗場景】

某大型集團公司,內(nèi)部用戶H阿處干無法管理的狀態(tài),也無法識別用戶,不符合網(wǎng)絡(luò)安全相關(guān)管

理制度。

現(xiàn)在要求管理員在AC內(nèi)給每個用戶建立一個賬號，用戶上網(wǎng)時，必須要經(jīng)過賬號驗證，才能獲取

上網(wǎng)權(quán)限。

【實驗拓撲】

如圖2T,為本實驗拓撲結(jié)構(gòu)。

圖例:綠色甥分表示在依砧者穆務(wù)曷

紅色8S分表示僚管工宦備松色空分表示jseat

w實驗不更要

1241281001/28ETH1

集由總部

VLAN3

124.1261002^28ET-2

172.160J2ETH2

忘JBKO1本實驗不需要

19216111/24ETH1

二

辦公區(qū)\4.AN1

一、

PCIPC2

1921M.1100.2401/24

圖3/實驗3拓撲

【實驗設(shè)備】

20

1、總部AC,作總部出口網(wǎng)關(guān)使用

2、PC1,普通辦公PC,員工辦公使用。

3、PC2,普通辦公PC,員工辦公使用。

4sInternet-WEBServer,作為在互聯(lián)網(wǎng)上的服務(wù)器

【環(huán)境預(yù)配】

【環(huán)境預(yù)配】，是指已經(jīng)【實驗場景】的配置邊界。

實驗環(huán)境中，非深信服設(shè)備，不需要學(xué)員配置。如交換機、路由器、PC、服務(wù)器。

實驗環(huán)境中，深信服設(shè)備，需要學(xué)員按【實驗拓撲】說明進行配置。

實驗環(huán)境中，配置基本遵循上述兩條原則，少數(shù)實驗例外。例外過程，在【實驗步驟】中說明

【實驗步驟】

一、配置總部AC的網(wǎng)絡(luò)（操作對象：總部AC）

1.1如圖3-2所示，開始配置網(wǎng)絡(luò)

圖3-2部署模式配置

1.2如圖3-3所示，選擇路由模式

21

圖3-3AC路由模式

1.3如圖34所示，根據(jù)拓撲圖，配置網(wǎng)卡，如下圖

其中ETH1為LAN口，即辦公區(qū)ETH2為DMZ口，即服務(wù)器區(qū)ETH3為WAN口，即互聯(lián)網(wǎng)區(qū)

圖3-4接口選擇

1.4如圖3-5所示，配置ETH1

ETH1接辦公區(qū)，IP地址參照拓撲圖配置

22

?

圖3-5LAN口配置

1.5如圖3-6所示,配置ETH3

ETH3接互聯(lián)網(wǎng)區(qū)，IP地址參照拓撲圖配置

圖3-6WAN口配置

1.6如圖3-7所示，配置ETH2

ETH2接DMZ區(qū),即服務(wù)器區(qū)，IP地址參照拓撲圖配置

23

,EZI

圖3-7DMZ口配置

1.7如圖38所示，配置代理上網(wǎng)

圖3-8NAT配置

1.8如圖3-9所示，檢查無誤后提交

24

圖3-9重啟設(shè)備

二、新建AC的內(nèi)置賬戶（操作對象：總部AC）

2.1如圖3To所示,新建用戶組

“W8—

4

5

?pm

圖3-10新增用戶組配置

如圖3T1所示，輸入組名

25

圖3-11用戶組名配置

如青3T3所示,新建用戶zhangsan密碼Sangfor!7890

26

圖3-13用戶配置

如圖3-14所示，新建用戶lisi密碼Sangfor!/890

27

添用戶X

□W用該用戶

登錄名：

描述：

手機號：

當(dāng)前所寓組:

，展性I美骼列表I高送局也

本旭忠件①

苗碼：????????????

Q主招：????????????

□初次認證修改定請

用戶綁定①

+新增X刪標

□綁定目的痛述樨看IP都定MAC綁定有效明狀態(tài)琨作

I提交J取消

圖3-14用戶密碼配置

三、如L圖3T5和376和3T7所示，配置AC的認證策略（操作對象：總部AC）

三

里

三

一

圖3-15認證范圍配置

28

圖3-16認證方式配置

圖3-17非本地用戶配置

四、使用PC1上網(wǎng)測試（操作對象：PC1）

29

如耳3-18所示，使用PC1的瀏覽器,訪問Internet-WEBServer服務(wù)器，即

會自動跳轉(zhuǎn)到如下頁面

上網(wǎng)認詢Ex+

(-QO&/ac_portal/default/pcJitml?template=default&tab$=pwd&vlanld=0&ur1=httpy/'案E

口火叫s方ig?新手上跖CDS?用網(wǎng)址E3蚓a城

?上網(wǎng)認證系統(tǒng)

IdentityAuthenticationSystem

圖3?18PCI訪問測試

如圖3-19所示,登錄成功后,會自動跳轉(zhuǎn)到之前的訪問頁面,即

ThispageisusedtotesttheproperoperationoftheApache

afterithasbeeninstalledIfyoucanreadthispageitmeanst

workingproperly,ThisserverispoweredbyCentO

Justvisiting?AreyoutheAdministra

圖3-19PCI訪問認證后結(jié)果

五、如圖3-20所示，查看用戶認證狀態(tài)（操作對象：總部AC）

30

圖3-20用戶認證狀態(tài)查看

【實驗總結(jié)】

前面實驗僅僅實驗了最簡單的認證。

思考一下：

如果公司想規(guī)避更多的上網(wǎng)問題，例如

如何防止員工，共享同一個賬戶去上網(wǎng)？

如何防止員工，借用其他人的賬戶去上網(wǎng)？

如何使員工的賬戶只能在指定的IP地址上登錄？

這些問題在剛才的配置中，屬于一些只需稍加一點配置即可實現(xiàn)，大家可以進一步自行研究。

關(guān)鍵信息是“用戶綁定”。

31

實驗4應(yīng)用識別與控制技術(shù)

【實驗?zāi)康摹?/p>

學(xué)會配置AC的上網(wǎng)策略。

【實驗原理】

AC為上網(wǎng)行為管理設(shè)備，其最大的特征是內(nèi)置了大屋的應(yīng)用識別庫，如聊天工具、下載工具、游

戲、視頻、股票等等。本實驗我們通過創(chuàng)建策略，下發(fā)給指定用戶，來實現(xiàn)對用戶的上網(wǎng)行為管控。

【實驗場景】

某大型集團公司,內(nèi)部PC均便用固定IP地處0現(xiàn)在要通過【P地處管理用戶的卜網(wǎng)行為°要求1、

通過IP(192.168.1.100)禁止PC1的用戶訪問在線影音視頻等網(wǎng)站。2、通過IP(192.168.1.101)

禁止PC2的用戶通過WEB網(wǎng)站下或壓縮文件。

【實驗拓撲】

如圖4-1,為本實驗拓撲結(jié)構(gòu)。

綠色第分表示0amnr函絳福Q的表示二層交摸機

陵色部分我示珞由今

InternetWE8

124.12620022S

yJLAH4分公司

124.126200.128ETM3

本實驗不需要

124120150ETH2

124126.1001/28ETH1

1241201002^28ETH3

圖4-1實驗4拓撲

【實驗設(shè)備】

32

1、總部AC,作總部出口網(wǎng)關(guān)使用

2、PC1,普通辦公PC,員工辦公使用。

3、PC2,普通辦公PC,員工辦公使用。

4sInternet-WEBServer,作為在互聯(lián)網(wǎng)上的服務(wù)器，本實驗中同時模擬的網(wǎng)站。

【環(huán)境預(yù)配】

【環(huán)境預(yù)配】，是指已經(jīng)【實驗場景】的配置邊界。

實驗環(huán)境中，非深信服設(shè)備，不需要學(xué)員配置。如交換機、路由器、PC、服務(wù)器。

實驗環(huán)境中，深信服設(shè)備，需要學(xué)員按【實驗拓撲】說明進行配置。

實驗環(huán)境中，配置基本遵循上述兩條原則，少數(shù)實驗例外。例外過程，在【實驗步驟】中說明

【實驗步驟】

一、配置總部AC的網(wǎng)絡(luò)（操作對象：總部AC）

1.1如圖4-2所示，開始配置網(wǎng)絡(luò)

圖4-2部署模式配置

1.2如圖4-3所示，選擇路由模式

33

三

三

二

「

泗

I

」三

由模式

AC路

圖4-3

即服

口，

DMZ

H2為

區(qū)ET

辦公

，即

口

LAN

H1為

中ET

，其

所示

圖44

，如

網(wǎng)卡

，配置

拓撲圖

根據(jù)

1.3

區(qū)

聯(lián)網(wǎng)

，即互

口

WAN

H3為

區(qū)ET

務(wù)器

擇

接口選

圖4-4

配置

撲圖

照拓

址參

，IP地

公區(qū)

1接辦

ET