信息安全产品配置与应用-课件 项目6-入侵防御系统配置与应用

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务6.1-入侵防御功能配置Part03知识储备项目6-入侵防御系统配置与应用任务目标知识目标技能目标素养目标1．理解入侵防御的原理。1.培养网络安全无小事，人人皆为守护者”的家国情怀。2.

注重技术细节，践行精益求精的理念。1.掌握防火墙入侵防御的配置方法。任务描述本任务要完成的工作：为提高内网系统安全性能，项目经理安排小锐在公司出口防火墙上启用入侵防御功能，要求公司的出口防火墙能实时地中止来自公网的入侵行为，保护公司内部信息系统和网络架构免受侵害。偶像的价值不在于被仰望和崇拜，而体现在激励和学习上。让英雄模范成为偶像，就是要弘扬和学习他们身上展现的忠诚、执着、朴实的鲜明品格。比如张桂梅校长用生命教书育人、改变山区女孩命运的感人事迹频频刷屏等。知识储备6.1.2入侵防御系统应用场景6.1.1入侵防御简介6.1.3华为USG-IPS功能部署模式6.1.4IPS的工作原理6.1.1入侵防御简介入侵防御系统（IntrusionPreventionSystem，IPS）是一种基于攻击特征库对网络流量进行入侵检测、防御的系统。它可以是软件系统，也可以是硬件设备。华为IPS是一种网络安全硬件设备，通常部署在企业内网，对进出流量进行检测，抵御多种漏洞攻击。内网PC服务器外部网络企业内网对进出流量进行入侵检测及防御路由器交换机IPS外部用户外部用户6.1.2入侵防御应用场景入侵防御功能通常用于防护来自内部或外部网络对内网服务器和客户端的入侵。常见的应用场景有如下两种。公网用户访问企业内网场景内网用户访问公网场景6.1.3IPS设备部署方式IPS设备部署方式交换机企业内网路由器IPS设备核心交换机路由器IPS设备交换机企业内网检测前流量检测后流量二层直路部署三层旁挂部署二层旁路检测部署核心交换机路由器IPS设备交换机企业内网镜像流量IPS设备串接在网络中，组网简单，可实时阻断攻击流量。IPS设备旁挂于交换机，监测、阻断攻击流量，业务可靠性高。IPS设备旁挂于交换机，仅监测镜像流量，不能防护业务流量。6.1.4入侵防御工作原理入侵防御处理流程入侵防御处理流程主要包括攻击检测、攻击响应两部分。应用协议识别及解析报文重组是否命中例外签名是否是否命中签名过滤器入侵检测过滤器响应动作放行例外签名动作流量签名匹配入侵防御特征库网络流量分析及签名匹配根据入侵防御配置文件执行响应动作是否特征库升级华为安全中心6.1.4入侵防御工作原理入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范网络攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名分为预定义签名和自定义签名两种类型。预定义签名自定义签名IPS设备预置的入侵防御特征库（签名库），包含针对各种已知入侵行为的签名信息，这些签名称为预定义签名。自定义签名是指管理员根据网络流量特点对特定的入侵行为自行定义的签名。通常用于防御新型的入侵攻击或阻断特定行为的数据报文。6.1.4入侵防御工作原理预定义签名在使用预定义签名时，建议定期从华为安全中心（）下载最新的入侵防御特征库，使设备持续拥有最新的入侵防御能力。预定义签名的示例如下所示。6.1.4入侵防御工作原理入侵防御配置文件入侵防御配置文件是入侵防御功能的核心，用于决定设备对哪些攻击进行防御，以及如何防御。入侵防御配置文件分为签名过滤器和例外签名两个组成部分。签名过滤器例外签名签名过滤器是一系列过滤签名的条件集合。只有符合所有过滤条件的签名才能够匹配签名过滤器。例外签名是指独立于签名过滤器之外，优先被处理的签名，可以单独配置处理动作。6.1.4入侵防御工作原理签名过滤器入侵防御特征库中包含针对各种攻击行为的海量签名信息，但实际网络环境中不需要使用所有的签名。此时需要配置签名过滤器，IPS设备只防御签名过滤器筛选出的签名。阻断：丢弃命中签名的报文，并记录日志告警：对命中签名的报文放行，但记录日志签名缺省动作签名类别协议严重性对象

……过滤条件动作操作系统签名过滤器6.1.4入侵防御工作原理签名过滤器示例例如：设备的保护对象是运行Windows操作系统的Web服务器，则可以配置签名过滤器筛选操作系统是Windows、协议是HTTP的签名。签名a01a02a03a04ID：*****协议：HTTPOS：Windows动作：告警ID：*****协议：HTTPOS：Windows动作：阻断ID：*****协议：UDPOS：Windows动作：告警ID：*****协议：HTTPOS：Unix-like动作：阻断签名过滤器协议：HTTPOS：Windows过滤器动作：采用签名缺省动作过滤结果告警a01阻断a026.1.4入侵防御工作原理例外签名签名过滤器中设置的签名动作是统一的，无法修改单个签名动作。考虑到各种例外情况，IPS设备提供例外签名功能。例外签名的动作优先级高于签名过滤器。签名a01a02a03a04类型：预定义协议：HTTPOS：Windows动作：告警类型：预定义协议：HTTPOS：Unix-like动作：阻断类型：预定义协议：UDPOS：Windows动作：告警类型：预定义协议：DNSOS：Unix-like动作：告警签名过滤器1协议：HTTP动作：采用签名缺省动作a01a02签名过滤器2OS：Windows动作：阻断a01a03例外签名1设置a02的动作为告警a02入侵防御配置文件过滤结果告警a01告警a02阻断a03任务实施实施场景为保障上网安全，XUN公司项目经理安排小锐在公司出口防火墙上配置入侵防御功能，保护内网用户和内网服务器免受攻击。具体配置任务如下：1）根据拓扑图完成防火墙、路由器、交换机和主机网络参数的基本配置。2）配置防火墙各接口所属安全区域。3）创建安全策略trust_untrust，放行从Trust区域到Untrust区域的流量。创建安全策略any_dmz，放行从Trust和Untrust区域到DMZ区域的FTP报文流量。4）配置NAPT方式的源NAT，对总部内网主机访问Internet的报文源地址进行转换。5）配置NATServer，使内网FTP服务器能够对外网提供FTP服务。6）配置入侵防御配置文件ips_pc，保护内网用户。通过配置签名过滤器来满足安全需要。7）配置入侵防御配置文件ips_server，保护内网服务器，并配置签名过滤器以及例外签名来满足安全需要。其中，攻击行为是由于内网用户访问Internet的Web服务器引起的，且攻击对象是作为客户端的内网用户，可配置签名过滤器的协议为“HTTP”，对象为“客户端”，严重性为“高”。8）修改安全策略trust_untrust，并引用安全配置文件ips_pc，保护内网用户免受来自Internet的攻击。9）创建安全策略internal_server，并引用安全配置文件ips_server，保护内网服务器免受来自内网用户和Internet的攻击。其中，攻击行为的攻击对象都是FTP服务器，可配置签名过滤器的协议为“FTP”，对象为“服务端”，严重性为“高”。将ID为74320的签名引入例外签名中，并设置动作为“阻断”。任务实施实施设备1）USG6000V防火墙1台；2）Client机2台，PC机1台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1、Client2和PC1的网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置内网FTP服务器和公网HTTP服务器的网络参数，开启FTP服务，以内网FTP服务器为例。内网FTP服务器网络参数配置内网FTP服务器配置任务实施实施过程

3）配置防火墙FW1网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424任务实施实施过程

4）划分防火墙FW1的安全区域，将FW1的GE1/0/1口加入Trust区域，GE1/0/2口加入Untrust区域，GE1/0/0口加入DMZ区域。配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/0[FW1-zone-dmz]quit任务实施实施过程

5）配置防火墙FW1的安全策略，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit[FW1-policy-security]rulenameany_dmz//Trust区域、Untrust区域访问Dmz区域的安全策略[FW1-policy-security-rule-trust_dmz]source-zonetrust[FW1-policy-security-rule-trust_dmz]source-zoneuntrust[FW1-policy-security-rule-trust_dmz]destination-zonedmz[FW1-policy-security-rule-trust_dmz]destination-address24[FW1-policy-security-rule-trust_dmz]serviceftp[FW1-policy-security-rule-trust_dmz]actionpermit[FW1-policy-security-rule-trust_dmz]quit任务实施实施过程

6）在FW1上配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换，配置命令如下：[FW1]nat-policy[FW1-policy-nat]rulenamenat_gz[FW1-policy-nat-rule-nat_gz]source-zonetrust[FW1-policy-nat-rule-nat_gz]destination-zoneuntrust[FW1-policy-nat-rule-nat_gz]actionsource-nateasy-ip[FW1-policy-nat-rule-nat_gz]quit[FW1-policy-nat]quit[FW1]iproute-static054任务实施实施过程

8）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipaddress24[AR1-GigabitEthernet0/0/1]quit[AR1]intGigabitEthernet0/0/2[AR1-GigabitEthernet0/0/2]ipaddress24[AR1-GigabitEthernet0/0/2]quit

7）FW1上配置NATServer，使内网FTP服务器能够对外网提供FTP服务。，配置命令如下：[FW1]natserverftp_serverprotocoltcpglobal21inside0021//其中21是FTP端口号任务实施实施过程

9）配置交换机SW1，在SW1上创建VLAN10、VLAN20和VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为54/24，配置VLAN20的VLANIF接口IP地址为54/24，配置VLAN50的VLANIF接口IP地址为/24。配置命令如下：[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlanif10[SW1-Vlanif10]ipaddress5424[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress5424[SW1-Vlanif20]quit[SW1]interfaceVlanif50[SW1-Vlanif50]ipaddress24[SW1-Vlanif50]quit任务实施实施过程

10）交换机SW1与防火墙FW1采用OSPF动态路由协议互联，配置命令如下：[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由协议，区域号为0，进程号为1，宣告/24[FW1-ospf-1]area0[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]quit[FW1-ospf-1]default-route-advertisealways//防火墙FW1配置了默认路由，强制通告默认路由[FW1-ospf-1]quit任务实施实施过程

11）分支机构Client1使用HttpClient可以正常访问公网HTTP服务器，如图所示。Client1访问公网HTTP服务器任务实施实施过程12）分支机构Client2使用FtpClient可以正常访问内网FTP服务器，访问IP地址为，如图所示。Client2访问内网FTP服务器任务实施实施过程

13）在防火墙FW1上创建入侵防御配置文件ips_pc，用于保护内网用户。配置命令如下：[FW1]profiletypeipsnameips_pc[FW1-profile-ips-ips_pc]collect-attack-evidenceenable[FW1-profile-ips-ips_pc]signature-setnamefilter1[FW1-profile-ips-ips_pc-sigset-filter1]targetclient[FW1-profile-ips-ips_pc-sigset-filter1]severityhigh[FW1-profile-ips-ips_pc-sigset-filter1]protocolHTTP[FW1-profile-ips-ips_pc-sigset-filter1]quit[FW1-profile-ips-ips_pc]quit任务实施实施过程

14）在防火墙FW1上创建入侵防御配置文件ips_server，用于保护内网FTP服务器。配置命令如下：[FW1]profiletypeipsnameips_server[FW1-profile-ips-ips_server]collect-attack-evidenceenable[FW1-profile-ips-ips_server]signature-setnamefilter2[FW1-profile-ips-ips_server-sigset-filter2]targetserver[FW1-profile-ips-ips_server-sigset-filter2]severityhigh[FW1-profile-ips-ips_server-sigset-filter2]protocolFTP[FW1-profile-ips-ips_server-sigset-filter2]quit[FW1-profile-ips-ips_server]quit

15）提交配置，配置命令如下：[FW1]engineconfigurationcommit任务实施实施过程

16）修改从Trust区域到Untrust区域的安全策略，引用入侵防御配置文件ips_pc。[FW1]security-policy[FW1-policy-security]rulenametrust_untust[FW1-policy-security-rule-trust_untust]source-zonetrust[FW1-policy-security-rule-trust_untust]destination-zoneuntrust[FW1-policy-security-rule-trust_untust]profileipsips_pc//引用入侵防御配置文件ips_pc[FW1-policy-security-rule-trust_untust]actionpermit[FW1-policy-security-rule-trust_untust]quit

17）修改从Trust区域到DMZ区域、从Untrust区域到DMZ区域的安全策略，引用入侵防御配置文件ips_server。[FW1]security-policy[FW1-policy-security]rulenameany_dmz[FW1-policy-security-rule-internal_server]source-zonetrustuntrust[FW1-policy-security-rule-internal_server]destination-zonedmz[FW1-policy-security-rule-internal_server]destination-address24[FW1-policy-security-rule-internal_server]profileipsips_server[FW1-policy-security-rule-internal_server]actionpermit[FW1-policy-security-rule-internal_server]quit[FW1-policy-security]quit任务实施实施过程

18）使用总部Client1访问公网00，分支机构Client2访问总部内网FTP服务器，在防火墙FW1上执行命令“displayipsstatistics”，结果如图所示。可以看到已经有匹配到的IPS流量，但是属于正常访问，并未触发签名匹配。任务小结本任务介绍了入侵防御系统的特点、应用场景、部署模式以及工作原理等知识。通过实施入侵防御功能配置任务，学生掌握了入侵防御功能配置方法，深化了对入侵防御应用场景的理解。在配置入侵防御功能时，需关注入侵防御配置文件、安全策略等技术要点，保护内网用户和内网服务器免受攻击，提高内网的安全性。思考题1.

华为USG-IPS有哪三种部署模式？请分别简述各模式的优缺点。谢谢观看！目录ContentsPart01任务目标Part02任务描述Part04任务实施任务6.2-反病毒功能配置Part03知识储备项目6-入侵防御系统配置与应用任务目标知识目标技能目标素养目标1．理解反病毒的原理。1.

树立牢固的网络安全责任意识与严谨细致的工作作风，确保配置的反病毒功能安全有效。2.

恪守网络安全法律法规、职业道德及数据隐私保护原则。1.掌握防火墙反病毒的配置方法。任务描述本任务要完成的工作：为提高内网系统安全，XUN公司项目经理安排小锐在公司出口防火墙上启用反病毒功能，要求公司的出口防火墙能实时地中止来自公网的病毒程序，保证内网计算机和网络系统免受病毒的侵害。从面世到迭代，鸿蒙在过去和未来的每一个节点上，都背负着不同的阶段性目标，但其使命始终如一——成为面向万物互联时代的操作系统。而这注定是一段充满未知和挑战的路，正如其被冠以的“鸿蒙”之名。知识储备6.2.2反病毒的应用场景6.2.1反病毒简介6.2.3反病毒工作原理6.2.1反病毒简介病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽；有些病毒会控制主机权限、窃取数据；还有些病毒会对主机硬件造成破坏。因此，保证计算机和网络系统免受病毒的侵害，让系统正常运行，便成为企业所面临的一个重要问题。反病毒是一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。反病毒功能可以通过病毒特征库有效地保护网络安全，防止病毒文件侵害系统数据。在企业网入口部署反病毒设备可以真正将病毒抵御于网络之外，为企业网络提供一个坚固的保护层。反病毒功能示意图如图所示。正常文件病毒文件外部网络内部网络6.2.2反病毒的应用场景反病毒应用场景主要包括：一是内网用户可以访问外网，且经常需要从外网下载文件；二是内网部署的服务器经常接收公网用户上传的文件。这些场景通常利用反病毒功能来保证网络安全。反病毒应用场景如图所示。正常文件病毒文件外部网络内部网络在防火墙上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采取阻断或告警等手段进行干预。6.2.3反病毒工作原理防火墙利用专业的智能感知引擎和不断更新的病毒特征库实现对病毒文件的检测和处理。如图所示。反病毒工作流程病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上的病毒特征库需要不断地从升级中心进行升级。6.2.3反病毒工作原理应用协议识别。文件传输的方向是否支持病毒检测，防火墙支持对不同传输方向上的文件进行病毒检测。1）FTP（FileTransferProtocol）：文件传输协议。2）HTTP（HypertextTransferProtocol）：超文本传输协议。3）POP3（PostOfficeProtocol-Version3）：邮局协议第3版。4）SMTP（SimpleMailTransferProtocol）：简单邮件传输协议。5）IMAP（InternetMessageAccessProtocol）：互联网信息访问协议。6）NFS（NetworkFileSystem）：网络文件系统。7）SMB（ServerMessageBlock）：服务器消息块签名。判断文件传输所使用的协议是否支持病毒检测，华为防火墙反病毒支持的协议有FTP、HTTP、POP3、SMTP、IMAP、NFS、SMB。上传：指客户端向服务器发送文件。下载：指服务器向客户端发送文件。6.2.3反病毒工作原理白名单。管理员可手动添加白名单，匹配白名单的流量将不执行病毒检测。白名单由白名单规则组成，管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则，以此提高反病毒的检测效率；白名单规则的生效范围仅限于所在的反病毒配置文件，每个反病毒配置文件都拥有自己的白名单。病毒检测。防火墙的智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行匹配。如果匹配，则认为该文件为病毒文件，并按照模板中的响应动作进行处理，如果不匹配，则允许该文件通过。使用华为反病毒功能，需要购买反病毒授权，病毒特征库在已购买授权的前提下，可前往华为安全中心进行升级。6.2.3反病毒工作原理病毒例外。为了避免由于系统误报等原因造成文件传输失败等情况的发生。当用户认为已检测的某个病毒为误报时，可将对应的病毒ID添加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则该文件的响应动作为放行。应用例外。应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载多种应用。例如，HTTP协议上可以承载的应用，也可以承载的应用。6.2.3反病毒工作原理宣告。对于携带病毒的邮件文件,设备允许该文件通过。但会在邮件正文中添加检测到病毒的提示信息，同时生成病毒日志。宣告动作仅对SMTP协议、POP3协议和IMAP协议生效。删除附件。对于携带病毒的邮件文件,设备允许该文件通过。但设备会删除邮件中的附件内容并在邮件正文中添加宣告，同时生成病毒日志。宣告动作仅对SMTP协议、POP3协议和IMAP协议生效。任务实施实施场景为提高内网系统安全，XUN公司项目经理安排小锐在公司出口防火墙上启用反病毒功能，要求出口防火墙能实时地中止来自公网的病毒程序，保证内网计算机和网络系统免受病毒的侵害。具体配置任务如下：1）根据拓扑图完成防火墙、路由器、交换机和主机网络参数的基本配置。2）配置防火墙各接口所属安全区域。3）创建安全策略trust_untrust，放行从Trust区域到Untrust区域的流量。创建安全策略any_dmz，放行从Trust和Untrust区域到DMZ区域的FTP报文流量。4）配置NAPT方式的源NAT，对总部内网主机访问Internet的报文源地址进行转换。5）配置NATServer，使内网FTP服务器能够对外网提供FTP服务。6）配置反病毒配置文件av_http_pop3，针对HTTP和POP3协议进行病毒检测，保护内网用户上网和安全接收电子邮件。7）配置反病毒配置文件av_ftp，针对FTP协议进行病毒检测，保护内网FTP服务器。8）修改安全策略trust_untrust，并引用安全配置文件av_http_pop3，保护内网用户上网和安全接收电子邮件。9）创建安全策略internal_server，并引用安全配置文件av_ftp，保护内网FTP服务器。任务实施实施设备1）USG6000V防火墙1台；2）Client机2台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1、Client2的网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置内网FTP服务器和公网HTTP服务器的网络参数，开启FTP服务，以内网FTP服务器为例。内网FTP服务器网络参数配置内网FTP服务器配置任务实施实施过程

3）配置防火墙FW1网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424任务实施实施过程

4）划分防火墙FW1的安全区域，将FW1的GE1/0/1口加入Trust区域，GE1/0/2口加入Untrust区域，GE1/0/0口加入DMZ区域。配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/0[FW1-zone-dmz]quit任务实施实施过程

5）配置防火墙FW1的安全策略，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit[FW1-policy-security]rulenameany_dmz//Trust区域、Untrust区域访问Dmz区域的安全策略[FW1-policy-security-rule-trust_dmz]source-zonetrust[FW1-policy-security-rule-trust_dmz]source-zoneuntrust[FW1-policy-security-rule-trust_dmz]destination-zonedmz[FW1-policy-security-rule-trust_dmz]destination-address24[FW1-policy-security-rule-trust_dmz]serviceftp[FW1-policy-security-rule-trust_dmz]actionpermit[FW1-policy-security-rule-trust_dmz]quit任务实施实施过程

6）在FW1上配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换，配置命令如下：[FW1]nat-policy[FW1-policy-nat]rulenamenat_gz[FW1-policy-nat-rule-nat_gz]source-zonetrust[FW1-policy-nat-rule-nat_gz]destination-zoneuntrust[FW1-policy-nat-rule-nat_gz]actionsource-nateasy-ip[FW1-policy-nat-rule-nat_gz]quit[FW1-policy-nat]quit[FW1]iproute-static054任务实施实施过程

8）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipaddress24[AR1-GigabitEthernet0/0/1]quit[AR1]intGigabitEthernet0/0/2[AR1-GigabitEthernet0/0/2]ipaddress24[AR1-GigabitEthernet0/0/2]quit

7）FW1上配置NATServer，使内网FTP服务器能够对外网提供FTP服务。，配置命令如下：[FW1]natserverftp_serverprotocoltcpglobal21inside0021//其中21是FTP端口号任务实施实施过程

9）配置交换机SW1，在SW1上创建VLAN10、VLAN20和VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为54/24，配置VLAN20的VLANIF接口IP地址为54/24，配置VLAN50的VLANIF接口IP地址为/24。配置命令如下：[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlanif10[SW1-Vlanif10]ipaddress5424[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress5424[SW1-Vlanif20]quit[SW1]interfaceVlanif50[SW1-Vlanif50]ipaddress24[SW1-Vlanif50]quit任务实施实施过程

10）交换机SW1与防火墙FW1采用OSPF动态路由协议互联，配置命令如下：[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由协议，区域号为0，进程号为1，宣告/24[FW1-ospf-1]area0[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]quit[FW1-ospf-1]default-route-advertisealways//防火墙FW1配置了默认路由，强制通告默认路由[FW1-ospf-1]quit任务实施实施过程

11）分支机构Client1使用HttpClient可以正常访问公网HTTP服务器，如图所示。Client1访问公网HTTP服务器任务实施实施过程12）分支机构Client2使用FtpClient可以正常访问内网FTP服务器，访问IP地址为，如图所示。Client2访问内网FTP服务器任务实施实施过程

13）员工上网客户端通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡IP地址配置50/24，网关为54。云接口具体配置如图所示。员工上网客户端使用云接口配置任务实施实施过程

14）在物理主机上增加两条静态路由，保证员工上网客户端可以通过ENSP云接口访问公网HTTP服务器和总部防火墙FW1内网口。以Windows操作系统为例。以管理员身份运行cmd.exe命令。C:\windows\system32>routeadd00mask5554C:\windows\system32>routeadd54mask5554

15）员工上网客户端（即物理机）使用IE浏览器成功访问公网HTTP服务器，如图所示。员工上网客户端访问公网HTTP服务器任务实施实施过程

16）员工上网客户端（即物理机）使用IE浏览器登录防火墙，登录IP为54。如图所示。

17）在WEB登录窗口输入用户名和密码，进入防火墙主界面，如图所示。内网客户端WEB登录防火墙，需将防火墙连接内网的接口（本任务为GE1/0/1）启用HTTPS服务。任务实施实施过程

18）查看是否有反病毒License授权。选择“系统->License管理”，显示已授权，如图所示。查看授权页面任务实施实施过程

19）升级反病毒特征库。选择“系统->升级中心->反病毒特征库->本地升级”，在弹出的“升级反病毒特征库”窗口中单击“浏览”，从本地选择反病毒特征库文件（从厂商官网下载的最新版），单击“升级”，等待升级完成。状态提示“本地升级成功”，如图所示。升级反病毒特征库任务实施实施过程

20）配置针对HTTP和POP3协议的反病毒配置文件。[FW1]profiletypeavnameav_http_pop3[FW1-profile-av-av_http_pop3]http-detectdirectiondownloadactionbl