实验设备
1、 山石网科(hillstone)系列下一代防火墙(实训平台v1.0中hillstone设备)
2、 三层交换机一台(实训平台v1.0中cisco vios l2设备)
3、 二层交换机一台(实训平台v1.0中cisco iol switch设备)
4、 windows一台 (实训平台v1.0中windows设备)
5、 增加一个网络net:cloud0
实验拓扑图
实验目的
-
掌握病毒防御策略配置,掌握杀毒支持的场景;
-
通过NGAF来实现内网终端上网安全,避免PC上网访问恶意网站时下载恶意病毒
而中毒,需要在防火墙上开启杀毒策略,将病毒遏制在网络外部。
实验需求、步骤及配置
- 内网window主机配置,指定主机ip为192.168.10.1/24,网关为192.168.10.254,dns
114.114.114.114
接入层交换机IOL_SW的配置:
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
核心/汇聚层交换机vIOS_SW配置
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)#ip routing 启动路由功能
Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#interface g0/1
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为防火墙
接口e0/1 IP
下一代防火墙的配置:
基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。
login: hillstone //用户名和密码都为hillstone
password:
SG-6000# conf
SG-6000(config)# interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP
接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙:
确保下一代防火墙可上公网,且更新下一代防火墙的病毒特征库:
创建安全区域,下一代防火墙默认已创建多个安全区域,如需自定义区域,可
以如图新建安全区域:
配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等:
配置e0/0接口:修改绑定安全区域为untrust三层安全区域(路由模式)、IP等
为路由模式,配置路由,包括回程路由和缺省路由(通过e0/0接口dhcp
已经获得)
为路由模式,配置源NAT策略(即动态NAT),实现内网上公网需求:
为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略
让内网网段可以访问公网,即e0/1 trust区域访问e0/0 untrust区域:
接下来测试内网主机是否可以上公网,如图代表ok:
,使用内网win主机访问http://www.eicar.org
下载病毒文件
发现防火墙没有拦截病毒
配置网关杀毒功能,防范内网主机中病毒,保护内网终端安全:
如果需要支持对HTTPS访问进行安全防护,则需开启ssl代理:
使用内网win主机访问http://www.eicar.org
发现下载病毒的页面会显示页面错误,并且防火墙的日志发现恶意软件。