實驗設備
1、 山石網科(hillstone)系列下一代防火墻(實訓平臺v1.0中hillstone設備)
2、 三層交換機一臺(實訓平臺v1.0中cisco vios l2設備)
3、 二層交換機一臺(實訓平臺v1.0中cisco iol switch設備)
4、 windows一臺 (實訓平臺v1.0中windows設備)
5、 增加一個網絡net:cloud0
實驗拓撲圖
實驗目的
1. 掌握病毒防御策略配置,掌握殺毒支持的場景;
2. 通過NGAF來實現內網終端上網安全,避免PC上網訪問惡意網站時下載惡意病毒
而中毒,需要在防火墻上開啟殺毒策略,將病毒遏制在網絡外部。
實驗需求、步驟及配置
1. 內網window主機配置,指定主機ip為192.168.10.1/24,網關為192.168.10.254,dns
114.114.114.114
接入層交換機IOL_SW的配置:
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
核心/匯聚層交換機vIOS_SW配置
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)#ip routing 啟動路由功能
Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#interface g0/1
Switch(config-if)#no switchport 改為三層接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上網的缺省路由,下一跳為防火墻
接口e0/1 IP
下一代防火墻的配置:
基本配置:修改e0/0口屬性為管理口且采用http管理方式,默認啟動DHCP。
login: hillstone //用戶名和密碼都為hillstone
password:
SG-6000# conf
SG-6000(config)# interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)# show interface 查看e0/0自動獲得的IP地址,為管理IP
接下來,在物理主機上,通過瀏覽器訪問管理IP,使用圖形化管理下一代防火墻:
確保下一代防火墻可上公網,且更新下一代防火墻的病毒特征庫:
創建安全區域,下一代防火墻默認已創建多個安全區域,如需自定義區域,可
以如圖新建安全區域:
配置e0/1接口:綁定安全區域為trust三層安全區域(路由模式)、IP地址等:
配置e0/0接口:修改綁定安全區域為untrust三層安全區域(路由模式)、IP等
為路由模式,配置路由,包括回程路由和缺省路由(通過e0/0接口dhcp
已經獲得)
為路由模式,配置源NAT策略(即動態NAT),實現內網上公網需求:
為路由模式,配置安全策略即包過濾策略(默認拒絕區域間訪問),配置策略
讓內網網段可以訪問公網,即e0/1 trust區域訪問e0/0 untrust區域:
接下來測試內網主機是否可以上公網,如圖代表ok:
,使用內網win主機訪問http://www.eicar.org
下載病毒文件
發現防火墻沒有攔截病毒
配置網關殺毒功能,防范內網主機中病毒,保護內網終端安全:
如果需要支持對HTTPS訪問進行安全防護,則需開啟ssl代理:
?使用內網win主機訪問http://www.eicar.org
發現下載病毒的頁面會顯示頁面錯誤,并且防火墻的日志發現惡意軟件。
 深入react-gird-layout源碼)
)
