信息安全技能大赛集中培训试验向导

实验内容实验拓扑图：第三章系统管理实验要求：•现用户使用一台安全网关作为公司出口设备，因业务需要对网络改造。网络改造中，需要对安全网关配置文件进行备份以方便进行网络改造过程中的异常回退。•另外，改造过程需要升级安全网关的Image来支持StoneOS版本新增的功能。配置步骤：一、同步设备时间：通过WebUI登陆安全网关，系统日期/时间界面点击『同步』按钮，与管理PC同步系统时间。二、保存系统配置：通过WebUI登陆安全网关，点击右上角保存，在弹出菜单可以输入配置文件说明，点击『确定』完成保存配置。可通过系统配置查看配置保存状况。三、启动TFTP服务器，通过sysloader升级StoneOS。四、配置可信主机（可选）：系统设备管理可信主机新建添加自己ＰＣ地址到可信主机，然后删除默认可信主机配置。第五章IP路由实验要求：1、分别配置透明模式、路由模式以及混合模式。2、配置SBR及SIBR。配置步骤：一、透明模式：1）配置VSwitchif1IP地址，开放管理服务。2）绑定接口到二层安全域，如l2-trust、l2-untrust。3）配置安全策略。4）测试下联通性透明模式基本配置如下：hostname#confighostname(config)#inte0/0hostname(config-if-eth0/0)#noipaddresshostname(config-if-eth0/0)#zonel2-trusthostname(config-if-eth0/0)#inte0/1hostname(config-if-eth0/1)#zonel2-untrusthostname(config-if-eth0/1)#intvs1hostname(config-if-vsw1)#zonetrusthostname(config-if-vsw1)#ipaddress192.168.10.1/24hostname(config-if-vsw1)#manpinghostname(config-if-vsw1)#manhttphostname(config-if-vsw1)#exithostname(config)#二、路由模式：1）清空安全网关配置。2）绑定接口到3层安全域（如trust、untrust等），配置接口IP。3）配置默认路由。4）配置安全策略。三、混合模式：1）完成路由模式试验配置。2）绑定VSwitchif1到3层安全域（如trust），配置VSwitchifIP地址。3）绑定多个空闲接口到不同的2层安全域（如l2-trust、l2-untrust等），并配置2层安全域间策略、验证2层访问策略。4）配置3层安全域间访问策略，允许VSwitchif所在安全域访问Internet并验证。四、配置SBR及SIBR在原拓扑的基础上添加另外一条外线，出口地址为201.0.0.n0/24，网关为201.0.0.11）完成路由模式试验配置。2）配置SBR，指定内网PC的IP下一跳为201.0.0.1，验证该PC是否能上网。3）配置SIBR，指定内网口为入接口时下一跳为200.0.0.200，验证该接口连接PC是否能上网。第六章安全策略基础实验要求：1、实现访问Internet需求，策略服务需调用服务组，服务组成员为自定义上网浏览所需服务，只开放自己PC的网页浏览请求。2、开放自己PC所属网段到Internet的ping服务。配置步骤：一、完成第三章搭建配置环境1、实现访问Internet需求，策略服务需调用服务组，服务组成员为自定义上网浏览所需服务，只开放自己PC的网页浏览请求。二、定义内网PC地址簿：通过WebUI登陆安全网关，对象地址簿界面点击『新建』按钮，新建IP成员方式内网PC地址簿，掩码为32位或255.255.255.255。三、配置自定义服务及服务组：通过WebUI登陆安全网关，对象服务簿所有自定义服务界面点击『新建』按钮，分别新建自定义http、dns服务（由于预定义服务已使用上述名称，所以需用其他服务名称新建自定义服务）。对象服务簿所有自定义服组界面点击『新建』按钮新建自定义服务组，并将自定义服务添加到该服务组。四、配置允许访问internet策略：安全策略界面选择源安全域trust，目的安全域untrust，点击『新建』添加策略，源地址选择内网PC地址簿，目的地址any，服务选择上述定义服务组，选允许行为点击『确认』。五、测试访问internet网页,确认是否能够访问。2、开放自己PC所属网段到Internet的ping服务。六、定义内网网段地址簿，并添加trustuntrust服务为ping的允许策略。第七章网络地址转换实验要求：1、路由模式部署，配置安全网关实现内网用户使用其做NAT上网。要求实现外网用户对内网服务器访问。2、访问的流量转到访问的流量转到、访问200.0.0.n5的所有流量转到192.168.n0.15配置步骤：一、完成第三章搭建配置环境1、路由模式部署，配置安全网关实现内网用户使用其做NAT上网。二、配置SNAT，选择源地址及出接口，NAT为出接口IP，转换模式为动态端口，并启用NAT日志。防火墙NAT源NAT『新建』三、启用流量日志功能，发起上网访问并查看NAT日志验证NAT转换。系统日志管理log配置启用流量日志日志报表流量日志NAT日志查看NAT转换日志2、访问的流量转到访问的流量转到四、配置两条基于端口的DNAT，目的地址为虚拟地址，映射目的地址为内网服务器IP地址，服务选择需映射服务。防火墙NAT目的NAT『新建』配置访问策略，允许untrusttrust目的IP为服务器所对应的映射虚拟地址的流量。3、访问200.0.0.n5的所有流量转到192.168.n0.15五、配置基于IP的DNAT，目的地址为虚拟地址，映射目的地址为内网服务器IP地址。防火墙NAT目的NAT『新建』配置访问策略，允许untrusttrust目的IP为服务器所对应的映射虚拟地址的流量。第八章安全策略高级特性实验要求：1、所有人必须Web认证通过才能上网，允许用户user1访问HTTP资源，允许用户user2访问internet所有应用。2、上班时间禁止登陆QQ。3、禁止大于512字节的ping包。4、对内网接口启用ARP强制认证，必须安装“DigitalChinaSecureDefender”才允许上网。5、绑定自己PC的ARP信息到安全网关，取消安全网关内网接口ARP学习功能。配置步骤：一、完成第三章搭建配置环境1、所有人必须Web认证通过才能上网，允许用户user1访问HTTP资源，允许用户user2访问internet所有应用。二、用户用户界面创建用户，输入需新建用户名，并配置密码三、用户角色创建角色，需新建role1，role2两个角色四、用户角色创建角色映射规则,并分别配置用户与两个角色对应关系。五、用户AAA服务器编辑localAAA服务器，绑定映射规则六、网络Web认证界面开启认证模式，可选HTTP或HTTPS模式七、防火墙策略新建两条上网策略,并选择相应角色规则八、新建用于认证用户的策略,角色为unknow，动作为web认证,置于角色策略之上九、新建开放DNS访问策略,置顶2、上班时间禁止登陆QQ。十、清除上述实验所配置策略十一、对象时间表创建时间表，时间范围为基于周期的上班时间十二、配置安全策略，拒绝访问QQ*服务，调用第十一步新建时间表十三、配置安全策略，允许any服务，置于上述策略之后3、禁止大于512字节的ping包。十四、防火墙攻击防护开启trust安全域ICMP大包攻击防护，警戒值配置为512,行为为丢弃4、对内网接口启用ARP强制认证，必须安装“HillstoneSecureDefender”才允许上网。十五、防火墙二层防护ARP防御在eth0/0接口开启ARP强制认证，并设置为强制安装十六、本地PC执行“arp–d”命令清空arp缓存，访问外网网站测试。5、绑定自己PC的MAC地址到安全网关，取消安全网关内网口ARP学习功能。十七、防火墙二层防护静态绑定选定本机IP绑定IP-MAC十八、防火墙二层防护ARP防御关闭内网口ARP学习功能十九、更改本地PC为同网段其他IP，测试是否能够连接到安全网关第九章日志报表实验要求：1、配置日志服务器，并将策略日志记录到Syslog日志服务器上。2、配置预定义统计集，统计接口带宽占用情况。3、配置自定义统计集，统计内网所有IP的FTP（P2P）下载占用带宽情况。一、完成第三章搭建配置环境1、配置日志服务器，并将策略日志记录到Syslog日志服务器上。二、添加日志服务器，启用流量日志，并记录到日志服务器。系统日志管理日志服务器新建日志服务器系统日志管理Log配置配置流量日志防火墙策略记录相应策略会话开始2、配置预定义统计集，统计接口带宽占用情况。三、开启预定义统计集接口带宽。监控统计集启用接口带宽3、配置自定义统计集，统计内网所有IP的FTP（P2P）下载占用带宽情况。四、新建自定义统计集，统计数据类型为带宽，数据组织方式为IP，如下所示：监控统计集新建第十章防病毒实验要求：1、配置安全网关实现对上网访问实现病毒过滤，对SMTP处理动作为魔术填充术，对HTTP为重置连接。2、启用标签邮件功能，对SMTP发送邮件添加检测标签。配置步骤：一、完成第三章搭建配置环境，允许内网PC访问互联网二、确定安全网关具有有效防病毒许可证，并升级病毒特征库。三、防病毒配置配置防病毒功能并创建防病毒Profile，配置对HTTP协议重置连接，SMTP协议魔术填充；并启用标签邮件功能。四、防病毒安全域绑定新建绑定条目，并将上述防病毒Profile绑定到外网安全域。五、访问下载病毒测试样本验证检测效果，分析安全日志。第十一章上网行为管理实验要求：1、阻断内网用户访问色情类网站、记录搜索类网站的访问。配置步骤：五、上网行为策略编辑上述上网行为策略，选择URL过滤菜单，配置阻断色情类URL、记录门户网站与搜索引擎类URL访问日志。第十四章带宽管理实验要求：1、外网接口10M带宽，通过IP-QoS限制内网每IP最大带宽占用500kbps。2、开启弹性QoS功能后验证每IP最大可达到2M流量3、关闭弹性QoS后，在IP-QoS的基础上做下细粒度限制，限制FTP下载200K。4、出口带宽10M，限制内网总的FTP下载流量在5M。5、在此基本上要限制你所在的网段的范围FTP每IP512K配置步骤：一、完成第三章搭建配置环境，配置允许访问互联网二、QoSIPQoS新建IPQoS配置，限制每IP最大下行带宽100kbps，启用弹性QoS；新建细粒度应用QoS，限制p2p占用带宽50kbps三、Qos接口带宽配置外网接口带宽为真实链路带宽，并开启全局弹性QoS四、QoS应用QoS匹配HTTP及SMTP服务并保障其带宽占用，由于保障带宽为出接口工具，所以如果需要对上下行带宽都做保障，需建立2条QoS规则并分别绑定到内外网接口。第十六章VPN部署实验要求：11-11、配置基于策略的VPN，连通两台安全网关内网网段2、配置基于路由的VPN，连通两台安全网关内网网段11-23、配置安全网关，实现移动用户通过SCVPN到安全网关内网资源的安全访问。配置步骤：一、完成第三章搭建配置环境1、配置基于策略的VPN，连通两台安全网关内网网段二、配置P1提议VPNIPSecVPNP1提议新建P1提议三、配置ISAKMP网关VPN