《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx

PAGE2

《网络安全设备原理与应用》

实验手册

目录

TOC\o1-3\h\z\u实验1AC的路由模式部署 1

实验2用户认证技术之无需认证 9

实验3用户认证技术之密码认证 20

实验4应用识别与控制技术 32

实验5AF的路由模式部署 49

实验6AF终端下载防护 59

实验7AF防止DDOS攻击外网 70

实验8AF安全之服务器漏洞防护 82

实验9IPSECVPN配置 99

实验10SangforVPN配置 120

实验11EDR客户端安装和终端分组基本操作 136

实验12EDR客户端的基本策略和客户端卸载 157

PAGE2

实验1AC的路由模式部署

【实验目的】

理解深信服上网行为管理设备（下面简称AC），作为公司网关部署的过程与原理。

【实验原理】

AC作为网关部署在公司互联网出口，其原理与传统路由器一致。主要作用完成用户的SNAT上网工作，以及从外向内访问服务器的DNAT工作。本实验，我们主要讲述SNAT的部署过程。

【实验场景】

某大型集团公司，其集团总部为了管理公司内部PC上网，计划使用AC来代替传统路由器，解决用户上网认证、网速管理、日志审计等问题。本实验是部署AC的第一步场景。

【实验拓扑】

如图1-1所示，为本实验拓扑结构。

图1-1AC的路由模式部署拓扑图

【实验设备】

1、总部AC，作总部出口网关使用

2、微软域控，作为总部的服务器，本实验中主要作用为WEB服务器，理解为集团公司网站。3、PC1，普通办公PC，员工办公使用，需要连接互联网

4、Internet-WEBServer，互联网上的WEB服务器，理解为类似sina，baidu等站点。

【环境预配】

【环境预配】，是指已经【实验场景】的配置边界。

实验环境中，非深信服设备，不需要学员配置。如交换机、路由器、PC、服务器。

实验环境中，深信服设备，需要学员按【实验拓扑】说明进行配置。

实验环境中，配置基本遵循上述两条原则，少数实验例外。例外过程，在【实验步骤】中说明。

【实验步骤】

一、配置总部AC的网络（操作对象：总部AC）

1.1如图1-2所示，开始配置网络

图1-2AC部署模式

1.2如图1-3所示，选择路由模式

图1-3AC路由部署模式

1.3根据拓扑图，配置网卡，如图1-4所示，其中ETH1为LAN口，即办公区ETH2为DMZ口，即服务器区ETH3为WAN口，即互联网区

图1-4路由模式接口

1.4如图1-5所示，配置ETH1，ETH1接办公区，IP地址参照拓扑图配置

图1-5LAN口配置

1.5如图1-6所示，配置ETH3

ETH3接互联网区，IP地址参照拓扑图配置

图1-6WAN口配置

1.6如图1-7所示，配置ETH2

ETH2接DMZ区，即服务器区，IP地址参照拓扑图配置

图1-7DMZ接口配置

1.7如图1-8所示，配置代理上网

这里配置代理办公网段上网。办公网网段为/24

图1-8NAT配置

1.8如图1-9所示，检查无误后提交

图1-9重启服务

二、如图1-10所示，检查PC1上网是否正常（操作对象：PC1）

打开PC1桌面上的浏览器，访问Internet-WEB，即

图1-10PC1测试效果

访问正常

三、如图1-11所示，查看微软域控能否访问互联网（操作对象：微软域控）

打开桌面上浏览器，访问Internet-WEB，即

图1-11AD域测试效果

发现无法访问，因为在AC中仅做了办公网段的代理上网，而没有做服务器网段代理上网。

四、查看PC1能否访问域控制器上的WEB页面（操作对象：PC1）

如图1-12所示，打开PC1桌面上的浏览器，访问微软域控的WEB，即00

图1-12AD域修改后测试效果

可以访问，因为PC1与微软域控，同在内网，路由直接可达。

【实验总结】

通过本实验，理解AC的网关部署原理，和传统路由器作网关原理一致。AC所谓的“代理上网”理解为SNAT，即源地址转换。

实验2用户认证技术之无需认证

【实验目的】

学会配置AC的用户认证，本实验中不会强制认证，即无需认证。AC会以用户的IP地址作为用户标识，记录用户行为。

【实验原理】

AC作为网关部署在公司互联网出口，当用户访问网络的流量经过AC时，AC记录用户的IP作为用户标识。

【实验场景】

某大型集团公司，内部PC均使用固定IP地址。现在要通过IP地址审计用户上网行为。要求对用户上网不要造成任何影响。

【实验拓扑】

如图2-1，为本实验拓扑结构。

图2-1实验2拓扑

【实验设备】