实验内容
实验拓扑图:
第三章 系统管理
实验要求:
• 现用户使用一台安全网关作为公司出口设备,因业务需要对网络改造。网络改造中,需要对安全网关配置文件进行备份以方便进行网络
改造过程中的异常回退。
• 另外,改造过程需要升级安全网关的Image 来支持StoneOS 版本新增的功 能。
配置步骤:
一、同步设备时间:
通过WebUI 登陆安全网关,系统 > 日期/时间 界面点击『同步』按钮,与管理PC 同步系统时间。
二、保存系统配置:
通过WebUI 登陆安全网关,点击右上角,在弹出菜单可以输入配置文件说明,点击『确定』
完成保存配置。可通过 系统 > 配置 查看配置保存状况。
三、启动TFTP 服务器,通过sysloader 升级StoneOS 。
四、配置可信主机(可选):
系统 > 设备管理 > 可信主机 新建 添加自己PC地址到可信主机,然后删除默认可信主机配置。
第五章 IP 路由
实验要求:
1、分别配置透明模式、路由模式以及混合模式。
2、配置SBR 及SIBR 。
配置步骤:
一、透明模式:
1)配置VSwitchif1 IP 地址,开放管理服务。
2)绑定接口到二层安全域,如l2-trust 、l2-untrust 。
3)配置安全策略。
4)测试下联通性
透明模式基本配置如下:
hostname# config
hostname (config)# int e0/0
hostname (config-if-eth0/0)# no ip address
hostname (config-if-eth0/0)# zone l2-trust
hostname (config-if-eth0/0)# int e0/1
hostname (config-if-eth0/1)# zone l2-untrust
hostname (config-if-eth0/1)# int vs1
hostname (config-if-vsw1)# zone trust
hostname (config-if-vsw1)# ip address 192.168.10.1/24
hostname (config-if-vsw1)# man ping
hostname (config-if-vsw1)# man http
hostname (config-if-vsw1)# exit
hostname (config)#
二、路由模式:
1)清空安全网关配置。
2)绑定接口到3 层安全域(如trust 、untrust 等),配置接口IP 。
3)配置默认路由。
4)配置安全策略。
三、混合模式:
1)完成路由模式试验配置。
2)绑定VSwitchif1 到3 层安全域(如trust ),配置VSwitchif IP 地址。
3)绑定多个空闲接口到不同的2 层安全域(如l2-trust 、l2-untrust 等),
并配置2 层安全域间策略、验证2 层访问策略。
4)配置3 层安全域间访问策略,允许VSwitchif 所在安全域访问Internet
并验证。
四、 配置SBR 及SIBR
在原拓扑的基础上添加另外一条外线,出口地址为201.0.0.n0/24,网关为201.0.0.1
1)完成路由模式试验配置。
2)配置SBR ,指定内网PC 的IP 下一跳为201.0.0.1,验证该PC 是否能
上网。
3)配置SIBR ,指定内网口为入接口时下一跳为200.0.0.200,验证该接口
连接PC 是否能上网。
第六章 安全策略基础
实验要求:
1、实现访问Internet 需求,策略服务需调用服务组,服务组成员为自定义上网
浏览所需服务,只开放自己PC 的网页浏览请求。
2、开放自己PC 所属网段到Internet 的ping 服务。
配置步骤:
一、完成第三章搭建配置环境
1、实现访问Internet 需求,策略服务需调用服务组,服务组成员为自定义
上网浏览所需服务,只开放自己PC 的网页浏览请求。
二、定义内网PC 地址簿:
通过WebUI 登陆安全网关,对象 > 地址簿 界面点击『新建』按钮,新建IP 成员方式内网PC 地
址簿,掩码为32 位或255.255.255.255。
三、配置自定义服务及服务组:
通过WebUI 登陆安全网关,对象 > 服务簿 > 所有自定义服务 界面点击『新建』按钮,分别新
建自定义http 、dns 服务(由于预定义服务已使用上述名称,所以需用其他服务名称新建自定义服
务)。
对象 > 服务簿 > 所有自定义服组 界面点击『新建』按钮新建自定义服务组,并将自定
义服务添
加到该服务组。
四、配置允许访问internet 策略:
安全 > 策略 界面选择源安全域trust ,目的安全域untrust ,点击『新建』添加策略,源地址选择
内网PC 地址簿,目的地址any ,服务选择上述定义服务组,选允许行为点击『确认』。
五、测试访问internet 网页, 确认是否能够访问。
2、开放自己PC 所属网段到Internet 的ping 服务。
六、定义内网网段地址簿,并添加trust>untrust 服务为ping 的允许策略。
第七章 网络地址转换
实验要求:
1、路由模式部署,配置安全网关实现内网用户使用其做NAT 上网。
要求实现外网用户对内网服务器访问。
2、访问http://200.0.0.n1:80 的流量转到http://192.168.n0.11:80
访问ftp://200.0.0.n1:21 的流量转到ftp://192.168.n0.12:21
3、访问200.0.0.n5 的所有流量转到192.168.n0.15
配置步骤:
一、完成第三章搭建配置环境
1、路由模式部署,配置安全网关实现内网用户使用其做NAT 上网。
二、配置SNAT ,选择源地址及出接口,NAT 为出接口IP ,转换模式为动态端口, 并启用NAT 日志。
防火墙 > NAT > 源NAT 『新建』
三、启用流量日志功能,发起上网访问并查看NAT 日志验证NAT 转换。
系统 > 日志管理 > log 配置 启用流量日志
日志报表 > 流量日志 > NAT 日志 查看NAT 转换日志
2、访问http://200.0.0.n1:80 的流量转到http://192.168.n0.11:80
访问ftp://200.0.0.n1:21 的流量转到ftp://192.168.n0.12:21
四、配置两条基于端口的DNAT ,目的地址为虚拟地址,映射目的地址为内网服 务器IP 地址,服务选择需映射服务。
防火墙 > NAT > 目的NAT 『新建』
配置访问策略,允许untrust > trust 目的IP 为服务器所对应的映射虚拟
地址的流量。
3、访问200.0.0.n5 的所有流量转到192.168.n0.15
五、配置基于IP 的DNAT ,目的地址为虚拟地址,映射目的地址为内网服务器IP 地址。
防火墙 > NAT > 目的NAT 『新建』
配置访问策略,允许untrust > trust 目的IP 为服务器所对应的映射虚拟
地址的流量。
第八章 安全策略高级特性
实验要求:
1、所有人必须Web 认证通过才能上网,允许用户user1 访问HTTP 资源,允许用户user2 访问internet 所有应用。
2、上班时间禁止登陆QQ 。
3、禁止大于512 字节的ping 包。
4、对内网接口启用ARP 强制认证,必须安装“DigitalChina Secure Defender”才允 许上网。
5、绑定自己PC 的ARP 信息到安全网关,取消安全网关内网接口ARP 学习功 能。
配置步骤:
一、完成第三章搭建配置环境
1、所有人必须Web 认证通过才能上网,允许用户user1 访问HTTP 资源,允许 用户user2 访问internet 所有应用。
二、用户 > 用户 界面创建用户,输入需新建用户名,并配置密码
三、用户 > 角色 创建角色,需新建role1,role2 两个角色
四、用户 > 角色 创建角色映射规则, 并分别配置用户与两个角色对应关系。
五、用户 > AAA 服务器 编辑local AAA 服务器,绑定映射规则
六、网络 > Web 认证 界面开启认证模式,可选HTTP 或HTTPS 模式
七、防火墙 > 策略 新建两条上网策略, 并选择相应角色规则
八、新建用于认证用户的策略, 角色为unknow ,动作为web 认证, 置于角色策略 之上
九、新建开放DNS 访问策略, 置顶
2、上班时间禁止登陆QQ 。
十、清除上述实验所配置策略
十一、 对象 > 时间表 创建时间表,时间范围为基于周期的上班时间
十二、 配置安全策略,拒绝访问QQ*服务,调用第十一步新建时间表
十三、 配置安全策略,允许any 服务,置于上述策略之后
3、禁止大于512 字节的ping 包。
十四、 防火墙 > 攻击防护 开启trust 安全域ICMP 大包攻击防护,警戒值配 置为512, 行为为丢弃
4、对内网接口启用ARP 强制认证,必须安装“Hillstone Secure Defender”
才允许上网。
十五、 防火墙 > 二层防护 > ARP 防御 在eth0/0 接口开启ARP 强制认证,并 设置为强制安装
十六、 本地PC 执行“arp –d ”命令清空arp 缓存,访问外网网站测试。
5、绑定自己PC 的MAC 地址到安全网关,取消安全网关内网口ARP 学习功能。 十七、 防火墙 > 二层防护 > 静态绑定 选定本机IP 绑定IP-MAC
十八、 防火墙 > 二层防护 > ARP 防御 关闭内网口ARP 学习功能
十九、 更改本地PC 为同网段其他IP ,测试是否能够连接到安全网关
第九章 日志报表
实验要求:
1、配置日志服务器,并将策略日志记录到Syslog 日志服务器上。
2、配置预定义统计集,统计接口带宽占用情况。
3、配置自定义统计集,统计内网所有IP 的FTP (P2P ) 下载占用带宽情况。
一、完成第三章搭建配置环境
1、配置日志服务器,并将策略日志记录到Syslog 日志服务器上。
二、添加日志服务器,启用流量日志,并记录到日志服务器。
系统 > 日志管理 > 日志服务器 新建日志服务器
系统 > 日志管理 > Log 配置 配置流量日志
防火墙 > 策略 记录相应策略会话开始
2、配置预定义统计集,统计接口带宽占用情况。
三、开启预定义统计集接口带宽。
监控 > 统计集 启用 接口带宽
3、配置自定义统计集,统计内网所有IP 的FTP (P2P ) 下载占用带宽情况。
四、新建自定义统计集,统计数据类型为带宽,数据组织方式为IP ,如下所示: 监控 > 统计集 新建
第十章 防病毒
实验要求:
1、配置安全网关实现对上网访问实现病毒过滤,对SMTP 处理动作为魔术填充 术,对HTTP 为重置连接。
2、启用标签邮件功能,对SMTP 发送邮件添加检测标签。
配置步骤:
一、完成第三章搭建配置环境,允许内网PC 访问互联网
二、确定安全网关具有有效防病毒许可证,并升级病毒特征库。
三、防病毒 > 配置 配置防病毒功能并创建防病毒Profile ,配置对HTTP 协议
重置连接,SMTP 协议魔术填充;并启用标签邮件功能。
四、防病毒 > 安全域绑定 新建绑定条目,并将上述防病毒Profile 绑定到外
网安全域。
五、访问www.eicar.org 下载病毒测试样本验证检测效果,分析安全日志。
第十一章 上网行为管理
实验要求:
1、阻断内网用户访问色情类网站、记录搜索类网站的访问。
配置步骤:
五、上网行为 > 策略 编辑上述上网行为策略,选择URL 过滤菜单,配置阻断 色情类URL 、记录门户网站与搜索引擎类URL 访问日志。
第十四章 带宽管理
实验要求:
1、 外网接口10M 带宽,通过IP-QoS 限制内网每IP 最大带宽占用500kbps 。
2、 开启弹性QoS 功能后验证每IP 最大可达到2M 流量
3、 关闭弹性QoS 后,在IP-QoS 的基础上做下细粒度限制,限制FTP 下载200K 。
4、 出口带宽10M ,限制内网总的FTP 下载流量在5M 。
5、在此基本上要限制你所在的网段的范围FTP 每IP512K
配置步骤:
一、完成第三章搭建配置环境,配置允许访问互联网
二、QoS > IP QoS 新建IP QoS 配置,限制每IP 最大下行带宽100kbps ,启用
弹性QoS ;新建细粒度应用QoS ,限制p2p 占用带宽50kbps
三、Qos > 接口带宽 配置外网接口带宽为真实链路带宽,并开启全局弹性QoS
四、QoS > 应用QoS 匹配HTTP 及SMTP 服务并保障其带宽占用,由于保障带宽 为出接口工具,所以如果需要对上下行带宽都做保障,需建立2 条QoS 规则
并分别绑定到内外网接口。
第十六章 VPN 部署
实验要求:
11-1
1、配置基于策略的VPN ,连通两台安全网关内网网段
2、配置基于路由的VPN ,连通两台安全网关内网网段
11-2
3、配置安全网关,实现移动用户通过SCVPN 到安全网关内网资源的安全访问。 配置步骤:
一、完成第三章搭建配置环境
1、配置基于策略的VPN ,连通两台安全网关内网网段
二、配置P1 提议
VPN > IPSec VPN > P1 提议 新建P1 提议
三、配置ISAKMP 网关
VPN > IPSec VPN > VPN 对端 新建对端
四、配置P2 提议
VPN > IPSec VPN > P2 提议 新建P2 提议
五、配置隧道
VPN > IPSec VPN > IKE VPN 新建;首先导入已建好对端,然后点击“步骤2:隧道”
配置隧道
六、A. 基于策略VPN
配置策略
防火墙 > 策略 > 添加VPN 访问策略,源地址/目的地址需指定两内网网段且和对端安全网关策略
相匹配,行为选择隧道(来自隧道)
2、配置基于路由的VPN ,连通两台安全网关内网网段
B. 基于路由VPN
删除步骤六A 所配置策略
1) 配置隧道接口
网络 > 接口 > 新建隧道接口,指定接口名称、安全域并绑定到IPsec 隧道
2) 创建到隧道接口的路由
网络 > 路由 > 目的路由 > 新建 添加路由,目的地址为对端内网网段,下一跳为tunnel 接口
3) 创建普通permit 策略
防火墙 > 策略 添加VPN 访问策略,源地址/目的地址需指定网段且和对端安全网关匹配,行为选择允许
11-2
3、配置安全网关,实现移动用户通过SCVPN 到安全网关内网资源的安全访问。
七、地址池配置
SCVPN > 地址池 新建地址池,需是网络里未使用的网段
八、SCVPN 实例配置
SCVPN > SCVPN 实例 新建SCVPN 实例,出接口选择外网口,地址池选择上述新建地址池
编辑上述建立的SCVPN 实例,添加“隧道路由”和“AAA 服务器”建立AAA 服务器账号
九、Tunnel 接口配置
网络 > 接口 > 新建隧道接口,指定接口名称、安全域,接口IP 需配置SCVPN 地址池
同网段且
未使用IP ,绑定到SCVPN 隧道
十、策略配置
安全 > 策略 > 添加VPN 访问策略,源地址为any ,目的地址为所连安全网关内网网段,行为选择允许