security cssn实验指导手册

1、错误!未知的文档属性名称技术地址：市龙岗区坂田总部办公楼：518129：所有 ©技术2017。 保留一切权利。非经本公司，任何 和个人不得擅自摘抄、 本文档内容的部分或全部，并不得以传播。商标和其他商标均为技术的商标。本文档提及的其他所有商标或商标，由各自的所有人拥有。注意您 的 、服务或特性等应受 公司商业合同和条款的约束，本文档中描述的全部或部分 、服务或特性可能不在您的 或使用范围之内。除非合同另有约定， 公司对本文档内容不做任何明示或暗示的 或保证。由于 版本升级或其他 ，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不 任何明

2、示或暗示的担保。安全智能运维实验指导手册认证体系依托公司雄厚的技术实力和专业的培训体系，认证考虑到不同客户对安全技术不同层次的需求，致力于为客户提供实战性、专业化的技术认证。根据安全技术的特点和客户不同层次的需求，认证为客户提供面向各个方向的四级认证体系。HCIP-Security（Certified ICT Professional-Security，认证高级工程师安全方向）主要面向公司办事处、代表处一线工程师，以及其他希望学习安全终端安全的内和安全技术的。HCIP-Security认证涵盖容。认证协助您打开行业之窗，开启改变安全、内容，屹立在安全世界的潮头浪尖！错误!未知的文档属性名称ii

3、安全智能运维实验指导手册错误!未知的文档属性名称iii安全智能运维实验指导手册前言简介本书为 HCIP-Security-CSSN 认证培训，适用于准备参加 HCIP-Security-CSSN的学员或等相关安者希望了解内容安全过滤，NIP 全技术的读者。防御，防，防及流量型内容描述本实验指导书共包含 5 个实验，从内容安全过滤开始，逐一了 NIP防御、服务器防病毒、用户防、防范、流量型防范的配置实践。实验一内容安全过滤综合实验，包含文件过滤、邮件过滤、内容过滤、应用行为l、URL 过滤，通过配置置。安全文件，了解内容安全的功能及配实验二为 NIP以及如何查看阻断实验，通过 NIP 直路部署，

4、了解 NIP 的工作原理及配置，l防御。实验三为应用服务器防 略，保护内网服务器不被实验，通过部署。邮件应用服务器的反策l实验四为用户防户不被实验，通过部署客户端的反策略，保护内网用l。实验五为范，了解实验五为通用防范实验（防范），通过在上部署防l防范的原理及配置。通用防范实验（流量型防范），通过在上部署 Anti-lDDoS 策略，了解防范 DDoS的原理及配置。读者知识背景本课程为条件：认证中级课程，为了更好地掌握本书内容，阅读本书的读者应首先具备以下基本具有基本的路由交换识。知识背景，同时熟悉交换，了解基本数通知l错误!未知的文档属性名称iv安全智能运维实验指导手册本书常用图标实验环境说

5、明组网说明本实验环境面向准备 HCIP-Security的安全工程师。每套实验环境3 台，交换机 4 台，路由器 3 台，服务器若干，主机若干。每套实验环境适用于 4 名学员同时上机操作。为了满足 HCIP-Security 实验需要，建议每套实验环境采用以下配置：名称、型号与版本的对应如下：错误!未知的文档属性名称v名称型号版本USGUSG65305.160 (USG6500 V500R001C30SPC100)交换机S57005.130 (S5700 V200R003C00SPC300)路由器AR22005.160 (AR2200 V200R007C00SPC900)Agile Contr

6、oller服务器Agile ControllerAgile Controller-Campus V100R002C10SPC400AnyOffice配套服务器AnyOffice安全智能运维实验指导手册准备实验环境检查实验开始之前请每组学员检查的实验是否齐全，实验如下。错误!未知的文档属性名称vi名称数量备注服务器群组（HTTP/FTP/Mail/AC/SC/SM/Anyoffice）各1台USG63703台S5700交换机4台AP4030DN1个虚拟主机7台安全智能运维实验指导手册实验拓扑拓扑图组建说明：本实验拓扑模拟了一个小型企业出口流量。FW1 与 FW2 部署为双机热备组网，作为企业边界

7、在企业内网部署了终端用户和服务器在企业内部可实现终端安全部署。，并有 NIP情况。在 HCIP-Security v3.0 版本中的实验均在此拓扑中完成。错误!未知的文档属性名称vii安全智能运维实验指导手册基础配置说明实验开始前，需完成各的接口地址、安全区域及基本路由信息的相关配置。在后续的实验中，不再对以上基础信息配置进行说明。主机登录信息：登录信息：错误!未知的文档属性名称viii名称管理地址账户Server-AC8/16Administrator/Admin123Server-AD2/16Administrator/Auawei123Serv

8、er-FTP3/16Administrator/Admin123Server-WWW4/16Administrator/Admin123Server-Mail5/16Administrator/Admin123Server-AE6/16Administrator/Admin123Server-FTP(INT)0/16Administrator/Admin123PC101/16admin/123PC202/16admin/123PC3172.2

9、1.20.103/16admin/123PC404/16admin/123PC505/16admin/123PC606/16admin/123PC707/16admin/123PC8（Attack PC）08/16admin/123PC909/16admin/123安全智能运维实验指导手册数据：错误!未知的文档属性名称ix名称接口安全区域IP AddressFW1G1/0/1Trust1/24G1/0/2DMZ1/24G1/0/

10、3DMZ1/24G1/0/4ISP1/24G1/0/5ISP1/24FW2G1/0/1Trust2/24G1/0/2DMZ2/24G1/0/3DMZ2/24G1/0/4ISP2/24G1/0/5ISP2/24FW3G1/0/0Trust3/24G1/0/1Untrust3/24G1/0/3/24G1/0/33/24名称管理口地址（web/telnet）账户FW1172.2

11、1.20.11/16admin/123FW22/16admin/123FW33/16admin/123NIP1/16admin/123R11/16123R22/16123R33/16123SW11/16123SW22/16123SW33/16123SW44/16123AP1 /16安全智能运维实验指导手册路由器数据：交换机数据：错误!未知的文档属性名称x名

12、称接口IP AddressSW1G0/0/1/24G0/0/1/24G0/0/31/24G0/0/41/24G0/0/51/24SW2G0/0/1N/AG0/0/2N/AG0/0/3N/ASW3G0/0/3/24G0/0/3/24G0/0/33/24G0/0/43/24G0/0/53/24G0/0/63/24G0/0/73/24G0/0/83/24SW4G

13、0/0/4/24G0/0/4/24G0/0/3名称接口IP AddressR1G0/0/1/24G0/0/1/24E1/0/1/24R2G0/0/2/24G0/0/2/24E1/0/2/24G1/0/43/24安全智能运维实验指导手册预配本实验手册基于综合拓扑完成。各均包含预配信息，如果重置了环境，请按如下预配信息123。设置基本信息。文件均为实验错误!未知的文档属性名称xi序号实验文件1文件过滤实验test.exe2

14、邮件过滤实验test.mp43应用行为实验test.mp44应用服务器防实验eicar_com.zip5内网用户防实验eicar_com.zipG0/0/5G0/0/64/24G0/0/74/24HCIP-Security-CSSN 实验指导手册目录前言iv简介iv内容描述iv读者知识背景iv本书常用图标v实验环境说明v准备实验环境vi1 实验一：内容安全过滤综合实验xv1.1 实验. xv1.1.1 关于本实验xv1.1.2 实验目的xv1.1.3 实验拓扑图xv1.1.4 前提条件xvi1.1.5 实验. xvi1.1.6 实验任务列表xviii1.2

15、实验任务配置xviii1.2.1 配置思路xviii1.2.2 任务一：文件过滤xviii1.2.3 任务二：内容过滤xxiii1.2.4 任务三：邮件过滤xxv1.2.5 任务四：应用行为. xxvii1.2.6 任务五：URL 过滤xxix1.3 配置参考 .ii2 NIP阻断实验352.1 实验. 352.1.1 关于本实验352.1.2 实验目的352.1.3 实验拓扑图352.1.4 前提条件36错误!未知的文档属性名称xiiHCIP-Security-CSSN 实验指导手册2.1.5 实验任务列表362.2 实验任务配置362.2.1 配置思路362.2.2 配置步骤363 应用服

16、务器防实验423.1 实验. 423.1.1 关于本实验423.1.2 实验目的423.1.3 实验拓扑图423.1.4 前提条件433.1.5 实验.433.1.6 实验任务列表433.2 实验任务配置443.2.1 配置思路443.2.2 配置步骤443.3 结果.473.4 配置参考493.4.1 FW 的配置494 内容用户防4.1 实验实验51. 514.1.1 关于本实验514.1.2 实验目的514.1.3 实验拓扑图514.1.5 前提条件524.1.6 实验.524.1.7 实验任务列表524.2 实验任务配置534.2.1 配置思路534.2.2 配置步骤534.3 结果.

17、564.4 配置参考56错误!未知的文档属性名称xiiiHCIP-Security-CSSN 实验指导手册4.4.1 FW 1 的配置56防范实验5855.1 实验.585.1.1 关于本实验585.1.2 实验目的585.1.3 实验拓扑图585.1.4 前提条件585.1.5 实验任务列表595.2 实验任务配置595.2.1 配置步骤（任务一）595.3 结果605.3.1 查看的日志605.4 配置参考615.4.1 FW1 的配置61流量型防范实验6266.1 实验. 626.1.1 关于本实验626.1.2 实验目的626.1.3 实验拓扑图626.1.4 前提条件626.1.5

18、实验任务列表636.2 实验任务配置636.2.1 配置步骤636.3 结果6.3.1 查看. 64的日志646.4 配置参考656.4.1 FW1 的配置65错误!未知的文档属性名称xivHCIP-Security-CSSN 实验指导手册 1 实验一：内容安全过滤综合实验1.1 实验1.1.1 关于本实验某公司在边界处部署了 FW 作为安全网关。公在保证能够正常使用的同时实现以下需求：为了防止公司文件的泄露，员工上传常见文档文件、代码文件（C、lCPP、JAVA）以及压缩文件到 Internet 服务器；为了降低进入公司内部的风险，员工从 Internet可执行文件以及lInternet 用

19、户上传可执行文件到内网服务器；公在保证正常使用的同时，防止内部员工司信息；l公司规定往或接收来自的邮件单个附件均不能超过 2M；l公员工上传和的文件大小不能超过 2M；疑似有安全隐患，内网员工不能l该且不能l社交等。1.1.2 实验目的l掌握文件、内容、邮件过滤以及应用行为的应用场景；掌握文件、内容、邮件过滤的配置。l1.1.3 实验拓扑图错误!未知的文档属性名称xvHCIP-Security-CSSN 实验指导手册图1-1 内容安全过滤综合实验拓扑图PC9 09/24FTP Server 0/24ISP1GE 1/0/4 1/24FW1

20、Trust GE 1/0/1/24S2GE 0/0/5 3/24Mail Server 5/24GE 0/0/7 3/24S3GE 0/0/1 3/24GE 0/0/710.1.10 34/24FTP Server 3/24GE 0/0/1 4/24PC1 01/24S41.1.4 前提条件1. 配置2. 完成连接、IP 地址、接口安全区域。FW1 和 FW2 的双机热备组网配置。3.NAT 策略部署完成。1.1.5 实验表1-1 实验数据错误!未知

21、的文档属性名称xvi项目数据说明安全策略to_Internet名称：to_Internet 源安全区域：trust 目的安全区域：isp1 动作：文件过滤：profile_file_1 内容过滤：profile_data_1 邮件过滤：profile_mail_1 应用行为：profile_app_1安全策略“to_Internet” 的作用是公司员工Internet。HCIP-Security-CSSN 实验指导手册错误!未知的文档属性名称xvii安全策略to_intra_server名称：to_intra_server 源安全区域：isp1目的安全区域：trust 目的地址：10.1.32

22、.0/24 动作：文件过滤：profile_file_2 邮件过滤：profile_mail_1安全策略“ to_intra_server”的作用是用户访问内网服务器。文件过滤profile_file_1名称：rule1文件类型：文档文件、代码文件、压缩文件方向：上传动作：阻断员工上传文档、开发和压缩文件到Internet。名称：rule2文件类型：可执行文件方向：动作：阻断员工从 Internet 下载可执行文件。文件过滤profile_file_2名称：rule1文件类型：可执行文件方向：上传动作：阻断Internet 向内网服务器上传可执行文件内容过滤profile_data_1名称：r

23、ule1 关键字：key1 应用：all文件类型：all 方向：上传动作：阻断阻断关键字为 key1 的内容的上传。邮件过滤profile_mail_1项：邮件过滤/接收附件大小限制：2M防止邮件并附件单个附件大小不超过 2M。应用行为profile_app_1项：FTP 上传/阻断阈值 100M文件超出 100M 会执行阻断HCIP-Security-CSSN 实验指导手册1.1.6 实验任务列表1.2 实验任务配置1.2.1 配置思路基本参数配置；1.地址转换配置。2.内容安全过滤文件配置；安全策略配置内容安全配置文件；.2 任务一：文件过滤步骤 1 文件过滤配置文件。1)

24、选择“对象>安全配置文件>文件过滤>文件过滤配置文件”。在文件过滤规则菜单中，“新建”，新建文件过滤配置文件 profile_file_1，点击“新建”，新建文件过滤规则。错误!未知的文档属性名称xviii序号任务子任务任务说明1内容安全过滤配置文件文件过滤员工上传常见文档文件、代码文件（C、CPP、JAVA）以及压缩文件到Internet服务 器；员工从Internet可执行文件以及Internet用户上传可执行文件到内网服务器内容过滤防止内部员工司信息邮件过滤邮件接收单个附件均不能超过2M应用行为上传和的文件大小不能超过100MURL过滤2安全策略内网用户Internet

25、配置安全策略并调用文件过滤、内容过滤、邮件过滤、应用行为以及URL过滤以满足需求用户内网服务器配置安全策略并调用文件过滤和邮件过滤以满足需求URL 过滤Profile_URL_1自定义 URL 分类，将网站设置为。HCIP-Security-CSSN 实验指导手册a.新建规则 1 阻断文档文件、代码文件、压缩文件的上传。b.新建规则 2 阻断可执行文件错误!未知的文档属性名称xixHCIP-Security-CSSN 实验指导手册c.点击“确定”。2)新建文件过滤配置文件“profile_file_2”。a.点击“新建”。b.新建规则 1 阻断可执行文件上传错误!未知的文档属性名称xxHCIP

26、-Security-CSSN 实验指导手册步骤 2 安全策略内容安全配置文件。1)选择“策略>安全策略”，新建安全策略“to_Internet”，用于内网用户，并文件过滤配置文件 profile_file_1。错误!未知的文档属性名称xxiHCIP-Security-CSSN 实验指导手册2)新建安全策略“to_intra_server”，用于置文件 profile_file_2。用户内部服务器，并文件过滤配错误!未知的文档属性名称xxiiHCIP-Security-CSSN 实验指导手册步骤 3 提交配置。步骤 4 结果l。内网用户 PC1 无法上传常见文档文件、代码文件（ 到 Int

27、ernet 上的 FTP server；P、JAVA）以及压缩文件内网用户 PC1 无法从 Internet 上的 FTP server可执行文件；lInternet 用户 PC9 不能上传可执行文件到内网 FTP 服务器；l1.2.3 任务二：内容过滤步骤 1 内容过滤配置文件。1) 选择“对象>关键字组>新建”，新建关键字组 key1。新建自定义关键字“公司信息”。错误!未知的文档属性名称xxiiiHCIP-Security-CSSN 实验指导手册2)新建内容过滤配置文件“profile_data_1”。新建内容过滤规则阻断内容匹配关键字 key1 的文件上传。步骤 2 安全策

28、略内容安全配置文件。1)选择“策略>安全策略”，新建安全策略“to_Internet”，用于内网用户，并内容过滤配置文件 profile_data_1。错误!未知的文档属性名称xxivHCIP-Security-CSSN 实验指导手册步骤 3 提交配置。结果。内部员工 PC1 无法上传包含关键字的公司文件到 Internet 上的 FTP server；步骤 4l1.2.4 任务三：邮件过滤步骤 1 邮件过滤配置文件。1) 选择“对象 > 安全配置文件 > 邮件过滤”。新建邮件内容过滤文件，过滤邮件并阻止单个邮件附件大小超过 2M 的文件和接收。错误!未知的文档属性名称xxv

29、HCIP-Security-CSSN 实验指导手册步骤 2 安全策略内容安全配置文件。1)新建安全策略“to_intra_server”，用于置文件 profile_mail_1。用户内部服务器，并邮件过滤配错误!未知的文档属性名称xxviHCIP-Security-CSSN 实验指导手册步骤 3 提交配置。步骤 4 结果l。PC9 不能单个附件超过 2M 的邮件到内网；PC1超过 2M 附件的邮件，PC9 无法接收。l1.2.5 任务四：应用行为步骤 1 应用行为1)选择“对象上传和配置文件。> 安全配置文件 > 应用行为大小超过 2M 的文件。”。新建应用行为配置文件，阻断 F

30、TP错误!未知的文档属性名称xxviiHCIP-Security-CSSN 实验指导手册步骤 2 安全策略内容安全配置文件。1)选择“策略>安全策略”，新建安全策略“to_Internet”，用于内网用户，并内容安全配置文件。错误!未知的文档属性名称xxviiiHCIP-Security-CSSN 实验指导手册步骤 3 提交配置。步骤 4结果。内网用户 PC1 无法上传大小超过 2M 的文件到的 FTP 服务器；l内网用户 PC1 无法从FTP 服务器上大小超过 2M 的文件；l1.2.6 任务五：URL 过滤步骤 1 URL 过滤配置文件。1) 选择“对象 > URL 分类”，新

31、建一条自定义 URL 分类。确定完成配置。错误!未知的文档属性名称xxixHCIP-Security-CSSN 实验指导手册2)选择“对象 > 安全配置文件 > URL 过滤”。新建一条 URL 过滤配置文件。在 URL 过滤级别一栏选择自定义，将前一步骤中创建的 URL 分类设置为阻断，并按站等设置为阻断。将社交网错误!未知的文档属性名称HCIP-Security-CSSN 实验指导手册步骤 2 安全策略内容安全配置文件。1)选择“策略>安全策略”，新建安全策略“to_Internet”，用于内网用户，并内容安全配置文件。错误!未知的文档属性名称iHCIP-Security

32、-CSSN 实验指导手册步骤 3 提交配置。步骤 4结果。在 PC1 上无法l1.3 配置参考sysname FW1 #interface GigabitEthernet1/0/1 undo shutdownip address 1 #interface GigabitEthernet1/0/4 undo shutdownip address 1 #firewall zone trust错误!未知的文档属性名称iiHCIP-Security-CSSN 实验指导手册set priority 85add in

33、terface GigabitEthernet1/0/1 #firewall zone name isp1 set priority 40add interface GigabitEthernet1/0/4#firewall interzone trust isp1 detect ftp#profile type app-control name profile_app_1http-control file direction upload block-size 102400 ftp-control file direction upload block-size 102400 ftp-con

34、trol file direction download block-size 102400#profile type file-block name profile_file_1 rule name rule1file-type pre-defined name DOC PPT XLS MSOFFICE DOCX PPTX XLSX PDF VSD MPP file-type pre-defined name ODS ODT ODP EML UOF RAR TAR ZIP GZIP CABfile-type pre-defined name BZ2 Z 7ZIP JARapplication

35、 all action block rule name rule2P JAVA VBSfile-type pre-defined name EXE MSI RPM OCX A ELF DLL PE SYSapplication all direction download action blockprofile type file-block name profile_file_2 rule name rule1file-type pre-defined name EXE MSI RPM OCX A ELF DLL PE SYS application allaction block#keyw

36、ord-group name key1pre-defined-keyword name bank-card-number weight 1 pre-defined-keyword name credit-card-number weight 1pre-defined-keyword name social-security-number weight 1 pre-defined-keyword name id-card-number weight 1pre-defined-keyword nameity weight 1user-defined-keyword name 公司信息信息expre

37、ssion match-mode text#profile type data-filter name profile_data_1 rule name rulekeyword-group name key1错误!未知的文档属性名称iiiHCIP-Security-CSSN 实验指导手册file-type allapplication all action block#profile typ-filter name profile_mail_1rbl-filter enablesend-mail anonymity action blocksend-mail attachment max-si

38、ze 2048 action block recv-mail anonymity action blockrecv-mail attachment max-size 2048 action block #security-policyrule name to_Internet policy logging session logging source-zone trust destination-zone isp1source-address mask profile app-control profile_app_1profile data-f

39、ilter profile_data_1 profile file-block profile_file_1profil-filter profile_mail_1action permitrule name to_intra_server source-zone isp1 destination-zone trustdestination-address mask profile file-block profile_file_2profil-filter profile_mail_1action permit#return错误!未知的文档属性

40、名称iv文档密 文档名称级2NIP阻断实验2.1 实验2.1.1 关于本实验防御是一种安全机制。通过分析流量来检测，并通过一定的响应方式实时地中止行实验。如何配置防御功能，保护企业内部用户免受来自 Internet 的2.1.2 实验目的内网用户可以 具体要求如下：Internet。该企业需要在 NIP 上配置防御功能，企业经常受到蠕虫、木马和僵尸防范。的，必须对这些进行l避免内网用户代码的Internet 的 Web 服务器时受到对内网用户发起。例如，含有l2.1.3 实验拓扑图2021-2-23信息,扩散第35页, 共66页文档密 文档名称级管理实验拓扑图图2-1TrustUntrustG

41、E1/0/2GE1/0/3Internet内网用户(PC3:01)NIPWeb服务器(0)2.1.4 前提条件配置完成连接、IP 地址、接口安全区域。FW1 和 FW2 的双机热备组网配置。1.2.NAT 策略部署完成。 实验任务列表2.2 实验任务配置2.2.1 配置思路配置安全区域，完成基本参数配置。1.配置防御配置文件 profile_ips_pc，保护内网用户。通过配置2.签名过滤器来满足安全需要。创建安全策略 policy_sec_1，并安全配置文件 profile_ips_pc， 保护内网用户免受来自 Internet 的。3.2.

42、2.2 配置步骤步骤 1 配置创建防御配置文件。防御配置文件 profile_ips，配置签名过滤器。2021-2-23信息,扩散第36页, 共66页序号任务任务说明1配置防御配置文件创建防御配置文件，配置签名过滤器。2提交防御配置提交配置。3配置安全策略配置从Trust到Untrust的域间策略。4保存配置查看并导出威胁日志。文档密 文档名称级选择“对象 > 安全配置文件防御”。a.>配置防御参数。b.2021-2-23信息,扩散第37页, 共66页文档密 文档名称级“确定”，完成防御配置。防御配置文件的配置。c.提交步骤 2界面右上角的“提交”，在弹出的配置安全策略。框中“确定

43、”。步骤 3选择“策略 > 安全策略”，Untrust 的域间策略。“新建”，按如下参数配置从 Trust 到a.“确定”。b.2021-2-23信息,扩散第38页, 共66页文档密 文档名称级步骤 4 保存配置。界面右上角的“保存”，在弹出的框中“确定”。步骤 5 结果在“。> 日志 > 业务日志”中，管理员可以定期查看类型为“”的威胁日志信息。2.3 配置参考#sysname NIP #firewall defend action discard#undo dataflow enable #sa force-detection enable #engine-mode wa

44、rning #firewall dataplane to manageplane application-apperceive default-action drop #time-range worktimeperiod-range 08:00:00 to 18:00:00 working-day#interface GigabitEthernet1/0/2 portswitchundo shutdownport link-type trunkport trunk allow-pass vlan 2 to 4094 detect-mode inline#interface GigabitEthernet1/0/3 portswitchundo shutdownport link-type trunkport trunk allow-pass vlan 2 to 4094 detect-mode inline2021-2-23信息,扩散第39页, 共66页文档密 文档名称级#firewall zone local set priority 100#firewall zone trust s