第五讲 课堂实验 基于防火墙的病毒入侵防御.docVIP

第五讲 课堂实验 基于防火墙的病毒入侵防御 第 PAGE \* Arabic \* MERGEFORMAT 4 页 第五讲 课堂实验 基于防火墙的病毒入侵防御 一、实验目的 1、通过实验掌握入侵防御的具体的部署流程和操作，部署流程和标准符合《RG-WALL 1600系列下一代防火墙》配置手册要求； 2、培养综合的网络攻击和防御的能力； 二、知识要点 随着互联网的飞速发展，网络环境也变得越来越复杂，恶意攻击、木马、蠕虫病毒等混合威胁不断增大，企业需要对网络进行多层、深层的防护来有效保证其网络安全，入侵防御系统(IPS)功能正是为网络提供深层防护。如果内网的服务器存在这一些漏洞不及时修补，漏洞就有可能会被入侵者利用，造成不可避免的后果，此时可在出口防火墙上开启病毒、漏洞、木马等事件过滤功能，NGFW设备开启应用层过滤功能（包括：入侵防护、病毒防护、应用控制、应用过滤）后，所有进入设备的数据包均要通过分析、检测、防护以及告警，保护服务器免受攻击。 其功能原理如下：数据包首先通过协议分析模块，进行协议识别，包括TCP、UDP、ICMP，常见应用协议可识别为：HTTP、FTP、SMTP、POP3、IMAP等，识别完成后上报告警信息。 如果配置了其他应用功能，则数据包会根据配置进入各个应用防护如下： 入侵防护：数据包根据已分析出来的协议特性与系统已有的入侵防护特征库进行模式匹 配，匹配到相应特征后，根据规则设置进行放行、阻断和日志上报； 三、实验任务 完成NGFW防火墙上入侵防御的系统部署。 四、实验内容 一、组网需求 1、木马后门和安全扫描是网络攻击的一种行为，以下通过对入侵防御配置，阻断来自内网的此类攻击。 二、组网拓扑 环境配置： (1)内网用户ip地址：/24 (2)internet采用外网主机模拟，ip地址：/24 (3)防火墙是采用透明模式。 三、配置要点 1、新建事件集，并添加事件 NGFW中的事件集是一个或多个防御功能组件的集合。系统默认提供了4个事件集可直接调用：最大事件集、常规事件集、应用事件集、攻击事件集 默认事件集作为系统提供的资源，不能被编辑删除。正在安全防护表中被引用的事件集不能被删除。 入侵防御功能如果把所有事件都进行检测，会消耗设备性能，建议把关键事件进行监控防御。 2、新建安全防护列表 注意：配置日志级别为“通知”后，“通知”以上的所有级别都将记录日志。 日志功能如果全部开启会消耗设备性能，建议把关键日志开启日志记录即可。 四、配置步骤 1、新建安全防护列表，其中，“入侵防御”选择all，打勾。本地日志里，只对“入侵防御”一项 选择“通知”并打勾。注意：配置通知级别后，通知以上的所有级别都将记录日志。 后续如果有入侵日志信息生成，会在 本地日志入侵防御日志 里看到 2、编辑安全策略，调用上一步设置的安全防护表 3、新建 透明桥，ip地址必须与攻击端是同一网段，这里是00/24，接口列表选择ge1,ge2.管理访问全部打勾。 4、进入防火墙的命令行模式，从telnet或者rcms进入，键入以下命令： FW1600_02# conf t FW1600_02(config)# ip inspect check loose FW1600_02(config)# br-fdb-learning disable 5.在攻击端添加木马并进行攻击，如下图所示： 6.进行攻击，并在防火墙上可以检测到相应的信息。