安全策略管理系统实训案例-new.doc

安全策略管理系统实训案例一、背景介绍图1 组织架构图二、拓扑图图2 拓扑图三、实训内容一、 配置域、建立正确的组织机构和账号信息1) 按拓扑图所示，建立“haidun”域,并在该域下建立三个区域：管理区，攻防区，病毒区；2) 建立五个用户，student01,student02,student03,teacher01,admin01分别属于管理区，攻防区，病毒区；提示：l 系统管理域设置l 用户管理组织机构l 用户管理用户设置 二、 配置策略管理案例一、通过建立SPM策略，实现为终端用户推送Windows XP SP2补丁案例二、通过建立策略，使除管理区外，其他区域用户禁止使用U盘。攻防区和病毒区：禁用U盘案例三、设置防火墙策略：n 内网计算机可以与攻防区计算机连接，但外网不能与攻防区计算机连接。攻防区： 防火墙策略：(a)动作为“接收”，限制地址为“本地局域网”,方向为“双向”，IP协议为“有效”。（b）动作为“丢弃”，限制地址为“全部”，方向为“双向”，IP协议为“有效”。其中，策略（a）的优先级必须设置为高于策略（b）。n 禁止内网所有计算机与外网计算机进行标准FTP连接。所有区：防火墙策略：动作为“丢弃”，限制地址为“本地局域网”,方向为“出”，TCP协议为“有效”，目标端口为FTP。n 禁止用户student02用http,ftp方式访问teacher01; “user02”：防火墙策略：（a）动作为“丢弃”，限制地址为“主机”，网络地址为“”，方向为“出”，“TCP协议”选项卡中，“有效”被勾选，“目标端口”中选择“HTTP”。（b）动作为“丢弃”，限制地址为“主机”，网络地址为“”，方向为“出”，“TCP协议”选项卡中，“有效”被勾选，“目标端口”中选择“FTP”。n 设置管理区的计算机可以与内网其他计算机连接，但不允许其他计算机连接管理区计算机。管理区：防火墙策略：(a)动作为“接收”，限制地址为“本地局域网”,方向为“出”，IP协议为“有效”。（b）动作为“丢弃”，限制地址为“全部”，方向为“入”，IP协议为“有效”。提示：l 定义策略组l 选择策略模块l 策略模块设置l 将防火墙策略下发到客户端三、 相关策略配置帮助文档在本系统中，共分以下几种策略集：策 略 集说 明防火墙策略此部分主要包括了一个标准防火墙所具有的所有功能。他可以检测本机（PEP）上所有的基于IP通信的信息。如：TCP、UDP、ICMP、IGMP等协议。应用程序（网络）策略实现对PEP所在主机中的网络应用程序进行控制。(IE浏览器6.0、OUTLOOK 6.0、自定义)设备控制策略实现对PEP所在主机上的某些接口和设备的使用的控制。(串口（COM）, 并口（LPT）, USB磁盘驱动器, USB打印机, 软盘驱动器, CD-ROM, CD-RW, 多网卡)打印机控制策略实现对PEP所在主机使用打印机的控制。(本地打印机、网络打印机、网络邻居打印机、本地文件、其他打印机)防病毒联动策略与防病毒产品的联动，包括产品升级、病毒库升级、系统扫描。应用程序（文件）策略对客户端本地应用程序的控制。（腾讯QQ, QQ游戏，WINRAR, 金山影霸等）注册表保护策略保护客户端的注册表被修改。软件联动策略与客