- 1、本文档共66页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
2防火墙技术与应用整理
DCSD原理概述 DigitalChinaSecureDefender DCSD ARP欺骗 我只相信特定加密通信的ARP报文 DCSD原理概述 阻止染毒设备发送ARP攻击报文 染毒机器 DCSD 我不能允许不正常的ARP报文发送出去 DCSD环境搭建 在设备的接口上配置authenticated-arp force 命令开启接口的ARP认证功能并且强制PC 安装该客户端程序。 PC 通过该接口访问Internet 时,浏览器会弹出DigitalChina SecureDefneder 的下载页面。 根据提示下载客户端程序DigitalChinaSecureDefender.exe。 实训、防火墙DCSD实训 拓扑与过程 PCA PCB 网关 讲解词: 本实训通过设置防火墙DCSD功能坚决ARP攻击问题。具体过程如下: 1、配置PCA、PCB、网关地址,交换机清空配置。 2、开启PCB的抓包功能,使用过滤器只捕获ARP报文即可。开启PCA与PCB及网关之间的连通测试 3、找到PCB所捕获的网关的ARP 回应报文,更改报文中对应的网关MAC地址为自己的MAC,发送到网络中。 4、从PCA的CMD模式查看其arp表项关于网关的对应MAC是否更改为PCB的MAC地址。如果已经更改,则模拟ARP攻击成功。 5、在防火墙中配置DCSD功能,从PCA中尝试通过网关访问外部设备,体验DCSD的推送下载并安装。 6、在PCB中重复arp攻击过程,查看PCA是否因遭遇攻击而改变。 7、在PCB中尝试通过网关访问外部设备,下载并安装DCSD。 8、再次重复arp攻击,查看是否被允许发送ARP攻击报文。 * 添加路由 这里添加的是到外网的缺省路由下一跳网关地址为 在“目的路由”中“新建”路由条目 这里的子网掩码既可以写成0也可以写成,防火墙会自动识别 配置NAT 在“源NAT”中“新建”源NAT条目 出接口选择外网口 内网访问Internet时转换为外网接口ip 添加“安全策略” 在“安全”-“策略”中选择好“源安全域”和“目的安全域”后,新建策略。 若对策略中的各个选项有更多配置要求可点击“高级配置”进行编辑 安全策略高级配置模式 安全策略的高级配置模式可以对各选项做出更多编辑 添加多个源地址 添加多个目的地址 添加多个服务对象 可以添加时间对象以限制该策略仅在某个时段有效 激活高级配置模式 保存配置 所有配置在点击“确定”后立即生效,但并未保存到防火墙的启动配置中,所以为防止配置丢失需要对配置进行保存。通过给配置文件命名,防火墙最多可保存10份不同的配置 点击“保存” 可以赋予配置文件不同的名称以对不同时间的配置加以区分 CLI下相关命令参考 – 接口配置 将接口加入所属的安全域并为接口配置IP地址 DCFW-1800(config)#interface ethernet0/0 DCFW-1800(config-if-eth0/0)#zone trust DCFW-1800(config-if-eth0/0)#ip address /24 DCFW-1800(config-if-eth0/0)#manage https DCFW-1800(config-if-eth0/0)#manage ping DCFW-1800(config)#interface ethernet0/1 DCFW-1800(config-if-eth0/0)#zone untrust DCFW-1800(config-if-eth0/0)#ip address /24 添加管理主机及可使用的管理方式 DCFW-1800(config)# admin host any any CLI下相关命令参考 – 添加路由 添加缺省路由 DCFW-1800(config)# ip vrouter trust-vr DCFW-1800(config-vrouter)# ip route /0 CLI下相关命令参考 – 配置NAT 添加源地址转换策略(即通常所说的动态NAT),本例中是转换为防火墙外网口IP。 DCFW-1800(config)# nat DCFW-1800(config-nat)# snatrule from Any to Any eif ethernet0/1 trans-to eif-ip mode dynamicport CLI下相关命令参考 – 添加安全策略 添加安全策略:运行内网any访问外网any DCFW-1800(config)# policy from trust to untrust --定义策略方向为trust访问untrust DCFW-1800(config-policy)#rule id 1 --标识策略条目,无区分优先级的
您可能关注的文档
最近下载
- ASTM D30 国外复合材料试验标准汇编 中文版.pdf VIP
- 《煤矿供电系统》课件.pptx VIP
- 人教版高中英语必修第三册《UNIT 1 FESTIVALS AND CELEBRATIONS》大单元整体教学设计.pdf
- 故障归零报告模板.docx VIP
- 文艺论文-陈钢《音乐就在你心中》课件PPT(30页).pptx VIP
- 基层党支部书记讲党课讲稿范文十篇.docx VIP
- 《水利水电工程等级划分及洪水标准》(SL252-2000).pdf VIP
- 燃气管道保护专项的解决方案.docx VIP
- 国内超高层建筑研究(ppt文档).ppt
- 2024年中考化学(广东省卷)真题详细解读及评析 .pdf
文档评论(0)