网络基础及设备管理 6

ComprehensivePracticalTrainingonNetworkSecurityEquipment教师xxxCybersecurity网络安全设备综合实战ONE教学目标TeachingObjectives知识目标01了解各类网络安全设备的功能与应用场景02熟悉主流安全协议技术（如IPSec、SSL/TLS、IAM、MSG）及其工作原理03熟悉常见网络攻击手段（DDoS攻击、SQL注入、CC攻击、口令爆破等）及其应用策略教学目标04了解网络安全项目实施流程教学目标能够独立完成网络安全设备的安装、配置与调试，确保其正常运行。1能力目标具备独立分析客户需求的能力，并能够根据实际需求调整设备参数，优化性能和提升安全性。2具备良好的风险评估与管理能力，并能够根据网络现状制定出合理的安全策略和防护策略，从而降低网络风险。3具备良好的团队协作与沟通能力4素质目标培养学生的动手实践能力培养学生的抗压能力、心理素质以及严谨的工作态度培养学生的法律意识和合规意识教学目标321TWO6-1实战aTrust用户认证和安全策略实战拓扑构建企业一体化网络安全防护体系在模拟实验平台中按照拓扑规划完成设备业务线缆及管理线缆的连接，其中AF管理口使用Eth0（51/24），AC管理口使用Eth0（51/24），具体过程可参考实战1-1。1．拓扑搭建及设备线缆连接构建企业一体化网络安全防护体系2．出口防火墙配置（1）防火墙基础功能配置在PC1端，使用Web登录AF设备，具体操作可参考实战1-1，登录界面如图所示。按照拓扑中的IP地址规划完成AF设备基础网络配置（包括区域配置、接口IP地址配置、路由配置），具体过程可参照实战1-2。构建企业一体化网络安全防护体系（1）防火墙基础功能配置防火墙路由配置结果如图所示配置源地址转换和应用控制策略，保证内网用户能够访问互联网，具体过程可参照实战1-2。构建企业一体化网络安全防护体系（1）防火墙基础功能配置在“策略”→“地址转换”→“IPv4地址转换”界面下设置DNAT完成内网服务器的发布，具体过程如图所示。构建企业一体化网络安全防护体系（2）内网终端安全防护配置在安全策略模板中完成网关杀毒模板的创建，具体过程可参照实战1-3。在“对象”→“安全策略模板”中完成僵尸网络模板的配置在“安全防护策略”中完成用户防护策略的配置。构建企业一体化网络安全防护体系（3）服务器安全防护配置在“安全运营”→“专项防护”界面下对服务器进行勒索防护配置在“策略”→“访问控制”→“连接数控制”界面下进行终端最大连接数限制配置为保证服务器访问安全，在“策略”→“访问控制”→“地域访问控制”界面下进行地域访问限制策略配置（只有“亚太地区/中国大陆”可以访问）构建企业一体化网络安全防护体系（3）服务器安全防护配置在“安全策略模板”中进行服务器安全防护模板的配置（漏洞攻击防护、Web应用防护）在“高级配置”→“应用隐藏”界面中进行HTTP应用隐藏配置构建企业一体化网络安全防护体系（3）服务器安全防护配置在“高级配置”→“CC攻击防护”界面中进行服务器CC攻击防护的配置在“安全防护策略”中进行业务防护策略的配置构建企业一体化网络安全防护体系3．全网行为管理配置（1）基础网络配置通过Web登录AC并按照拓扑及数据规划完成AC的基本部署由于源地址转换功能在出口防火墙上，AC部署完成后需要开启源地址转换，需要在“系统”→“防火墙”→“NAT代理上网”界面下删除或者禁用NAT代理上网构建企业一体化网络安全防护体系（2）用户接入认证配置参照实战2-3中AD认证，完成AD域用户的添加、LDAP服务器的创建及LDAP认证策略的设置为防止用户更改IP地址和MAC地址，在认证策略中对服务器进行IP/MAC绑定策略的配置构建企业一体化网络安全防护体系（3）用户行为管理配置由于需要对用户访问互联网的行为进行相关限制，需要在AC上进行应用控制策略的配置构建企业一体化网络安全防护体系（4）行为审计配置由于用户需要对内网终端和服务器访问互联网的行为进行审计（内部员工外发邮件内容以及使用QQ和微信外发文件、U盘复制文件、网盘上传、邮件外发），在AC上通过进行互联网审计策略实现，其具体操作过程如下。由于互联网中的大多数网站采用的都是HTTPS，因此在互联网审计时需要对HTTPS网站先进行解密操作。在“行为管理”→“访问权限策略”界面下新增SSL解密策略进行解密策略的配置构建企业一体化网络安全防护体系在“行为审计”→“互联网审计”界面下新增互联网审计策略，对内部员工外发邮件内容以及使用QQ和微信外发文件行为进行审计在“行为审计”→“客户端审计”界面下新增客户端审计策略，对用户使用QQ和微信客户端外发文件、U盘复制文件、移动硬盘上传行为进行审计。构建企业一体化网络安全防护体系（4）行为审计配置在“接入管理”→“准入客户端配置”界面下，进行系统推送准入客户端配置构建企业一体化网络安全防护体系（5）流控管理配置在“流量管理”→“线路带宽配置”界面下进行线路带宽的设置在“流控管理”→“流控策略”→“带宽分配”→“新增通道”界面下进行保证通道的配置构建企业一体化网络安全防护体系（5）流控管理配置按照创建保证通道的配置方法进行限制通道的配置、流控策略配置结果至此，项目实战需求配置部署全部完成，配置完成后可参照项目1、项目2实战任务中的测试方法，在模拟环境下进行相关业务的测试（AF用于配置终端上网、应用控制、病毒防护、目的地址转换、地域访问控制，AC用于配置用户认证、IP/MAC绑定、流量管理、行为审计）。FIVE6-2实战/模拟金融机构多分支网络安全防护实战拓扑1．拓扑搭建设备线缆连接结合网络拓扑并参考实战6-1完成设备的布署及线缆的连接模拟金融机构多分支网络安全防护2．出口防火墙配置模拟金融机构多分支网络安全防护（1）基础业务配置按照网络拓扑数据规划完成基础业务配置（区域、接口IP地址、路由配置），区域及接口IP地址配置过程在此略过（注意：出接口要勾选“源进源出”）2．出口防火墙配置模拟金融机构多分支网络安全防护（2）策略路由配置由于需要实现发生故障时自动进行切换，因此需要对链路的状态进行检测，在“对象”→“链路检测”界面下新增电信链路检测按照上述方法再增加联通链路检测由于出口线路为两条线路为实现链路的负载分担，在“网络”→“路由”→“策略路由”菜单界面下进行策略路由的添加（其中两条基于源地址策略路由，一条多线路负载策略路由）。2．出口防火墙配置模拟金融机构多分支网络安全防护（2）策略路由配置基于源地址的策略路由配置结果按照上述方法配置剩余的基于源地址的策略路由和基于多线路负载的策略路由2．出口防火墙配置模拟金融机构多分支网络安全防护（3）地址转换配置参照实战6-1中地址转换的配置完成源地址转换保证内网终端能够正常访问互联网配置目的地址转换保证内网的服务器的服务可以被互联网用户访问2．出口防火墙配置模拟金融机构多分支网络安全防护（4）终端防护策略配置参照实战6-1中防火墙终端安全防护的配置方法，在出口防火墙上完成网关杀毒、漏洞防护、僵尸网络防护模板的创建及终端安全防护策略的配置参照实战1-3，在出口防火墙上进行内到外DoS/DDoS攻击的防护策略3．内网服务器区防火墙配置模拟金融机构多分支网络安全防护（1）基础业务配置按照网络拓扑数据规划完成基础业务配置（区域、接口IP地址、路由配置），操作过程在此省略，可参照出口防火墙基础业务配置过程。由于网管用户需要对服务器区的服务器进行管理，根据最小化访问原则，在服务器区防火墙进行相关应用控制策略的配置，此外由于内网服务器需要对外提供服务，还需要在服务器区防火墙配置放通外对内的应用控制策略，保证出口防火墙到内网服务器的通信正常。3．内网服务器区防火墙配置模拟金融机构多分支网络安全防护（2）服务器安全防护策略配置默认情况下外对内DoS/DDoS攻击防护功能未开启，在“系统”→“通用设置”→“网络参数”界面下勾选“开启外网防DoS功能”参照实战1-3进行外对内DoS/DDoS攻击防护策略的配置模拟金融机构多分支网络安全防护（2）服务器安全防护策略配置参照实战6-1进行服务器漏洞攻击防护、Web应用防护模板的创建，具体操作过程在此略过，由于服务器对外提供服务，需要防止被攻击者进行口令爆破，在Web应用防护模板中，在“高级配置”→“口令防护”界面下进行口令爆破的配置，具体配置过程如下所示。新增口令防护规则，具体配置如图所示。进行Web口令爆破防护的设置，具体配置如图所示。模拟金融机构多分支网络安全防护（2）服务器安全防护策略配置进行口令爆破相关检查规则的设置，具体配置如图6-49所示。在“Web应用防护模板”→“高级配置”→“HTTP异常检测”界面下进行HTTP应用隐藏防护配置模拟金融机构多分支网络安全防护（2）服务器安全防护策略配置在“Web应用防护模板”→“高级配置”→“HTTP异常检测”界面下进行方法过滤及HTTP头部字段检测配置，具体配置如图在“Web应用防护模板”→“高级配置”→“HTTP异常检测”界面下进行URL溢出检测配置，具体配置如图模拟金融机构多分支网络安全防护（2）服务器安全防护策略配置照实战6-1完成CC攻击防护的配置，具体操作过程在此略过。各种防护模板创建完成后完成服务器防护策略的配置，配置结果如图参照实战6-1在服务器区防火墙进行地域访问限制策略配置（只有“中国大陆”可以访问），配置结果如图4．服务器区防火墙SangforVPN配置模拟金融机构多分支网络安全防护由于需要在服务器区防火墙与分支AC之间建立SangforVPN，需要先在出口防火墙将服务器区防火墙TCP端口4009与UDP端口4009进行端口映射，具体配置如图总部的VPN设备在内网，要保证VPN隧道的正常建立，需要在出口防火墙配置源地址转换，保证内网VPN正常访问互联网，具体配置如图4．服务器区防火墙SangforVPN配置模拟金融机构多分支网络安全防护参照实战3-1在服务器区防火墙和分支AC进行SangforVPN的配置（VPN线路配置、基本配置、分支接入账号配置、VPN区域创建），配置完成后需在服务器区防火墙放通VPN到内网的策略，具体配置过程在此不再演示，配置结果如图。5．出口防火墙SSLVPN配置模拟金融机构多分支网络安全防护参照实战3-2在出口防火墙进行SSLVPN配置（包括部署模式、用户管理、资源管理、角色授权、认证设置）。部署模式配置如图，用户账号配置如图，资源管理配置如图，角色授权配置如图6．aES设备配置模拟金融机构多分支网络安全防护（1）基础网络配置参照实战4-1完成aES基础网络配置（包括IP地址、路由），具体配置如图在服务器区防火墙放通内网终端、出口防火墙与EDR之间的通信（通过配置应用控制策略来实现），具体配置如图6．aES设备配置模拟金融机构多分支网络安全防护（1）基础网络配置按照前期对资产的梳理结果在aES上进行资产分组配置，打开“资产管理”→“资产分组管理”→“新增”，打开“新增组”对话框，配置结果如图。aES客户端安装方式配置如图6．aES设备配置模拟金融机构多分支网络安全防护（2）aES策略中心配置参照实战4-5，在aES上分别对用户终端和服务器的相关安全防护策略进行配置（包括基本策略、病毒查杀、实时防护、漏洞防护策略等）。aES基本策略配置如图，aES病毒查杀策略配置如图模拟金融机构多分支网络安全防护（2）aES策略中心配置aES实时防护策略配置如图，aES漏洞防护策略配置如图，aES勒索防护策略配置如图，aES可信进程防护配置如图6．aES设备配置模拟金融机构多分支网络安全防护（3）aES合规基线检查配置打开“风险评估”→“合规基线”→“添加检查任务”，在aES上进行终端及服务器合规基线检查配置