《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx

《《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx》由会员分享，可在线阅读，更多相关《《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx（65页珍藏版）》请在优知文库上搜索。

1、实验1AC的路由模式部署【实验目的】理解深信服上网行为管理设备（下面简称AC）,作为公司网关部署的过程与原理.【实验原理】AC作为网关部署在公司互联同出口，其原理与传统路由需一诙。主要作用完成用户的SNAT上网工作，以及从外向内访问服务器的DNAT工作.本实脸,我们主要讲述SMT的部署过程.【实验场景】某大型集出公司,其集团总部为了管理公司内部PC上网，计划使用AC来代音传统路由器，解决用户上网认证、网速管理、口忐审计等问逝,本实裟是部为AC的第一步场景.【实险拓扑】如图11所示.为本实验拓扑结构.：三A3411rWHIq色HWFMeD-不实上不雷要24,XXC0S1.MRC的路由模式部署柘扑

2、图【实险设备】1、总部AC,作总部出口网关使用2.微软域控,作为总部的服务器.本实验中主要作用为WEB服务零.理解为集团公E网站.3、PC1.普通办公PC.员，办公使用，需要连接互联网4,Intemet-WEBServer,互联网上的WEB服务涔，理解为类似sina,badu等站点.【环境预配】【环境预配】.是指已经【实验场景】的闻也边界.实验环境中,非深怕服设备,不需要学员IES1.如交换机、路由器、PC服务器.实验环境中，深信服设品，需要学员按实验拓扑】说明进行配置.实脸环境中，配置基本道箭上述两条原则，少数实脸例外.例外过程，在【实步骤】中说明.【实验步骤】一、配置总部AC的网络（操作对

3、象：总部AC）1.1 如图卜2所示，开始配置网络图1-2AC部密模式1.2 如图1-3所示,选择路由模式|r1.图1.3ACyS由部署模式1.3 根据拓扑图，配置网卡，如图14所示，其中ETHI为1.AN口，即办公区ETH2为。MZ口，即服务器区ETH3为WANC1.,即互联网区图IT路由模式接口1.4 如图16所示,配词ETH1,ETH1.接办公区，IP培址参照拓扑图配汽图1-51.AN口配置1.5如图1.6所示，配81ETH3ETH3接互联区，IP地址参照拓扑图配置图1-6WAN口配置1.6如图17所示，配置ETH2ETH2按DMZ区,即服务器区.P地址参照拓扑图配置图1-7DMZ接口配1

4、.7如图卜8所示，配置代理上网这里配置代理办公网段上网，办公网网段为192.168.1.0/24图1-8NAT配管1.8如图卜9所示，检杳无误后提交打开桌面上浏览器访何Internet-WEB,即124.126.2.2OW三RBtt)1.-nAD域测试效果发现无法访问,因为在AC中仅做了办公网段的代理上网，而没有做眼务等网段代理上网.四、查看Pa能否访科域控制器上的WEB页面(操作对象：PCD如图1-12所示，打开PC1.条面上的浏览涔.访问微软域控的WEB,即172.16.0.100三1-2AD域修改后测试效果可以访问，因为PCI与微软域控，向在内网，路由宜接可达.【实验总结】通过本实验,理

5、耨AC的网关部署原理,和传统路由涔作网关像理一致.AC所谓的“代理上网”理解为SXAT,即源地址转换.图2H接口选择1.4如图2-5所示,配置ETH1.ETHI接办公区，IP地址参照拓扑图配置图2-51.AN口配置1.5如图2-6所示，配置ETH3ETH3接互联网区，IP地址参照拓扑图配置!虹.nwddrssstohostZmttHhWTO-cwtnanndMdua1.kw.TheIPaddreushou1.d口3Mumnfo1.1.owedbythecorrepdinghostnameTheaddressandthehonamesboddbeseparatedbyJt1.eastonespa

6、ce.MdrtomiyCorrwnerrti(JMChnthese)maybinsertedonind汕d3orfo1.b*1n9themchC4hortnmereio/ufconehndiedwithinDNSrtsdf127.0Q1.IOCahOStNKa)MDWO)(Y)叫M)聊Copyright(C)19932009MicrosoftCorp.*“Thisisasamp1.eHOSTSfi1.eusedbyMicrosoftTCP/IPforWindows.* Thisfi1.econtainsthemappingsofIPaddressestohostnamesEach* entry

7、shou1.dbekeptonanindividua1.1.ine.TheIPaddressshou1.d* bep1.acedinthefirstco1.umnfo1.1.owedbythecorrespondinghostname.* TheIPaddressandthehostnameshou1.dbeseparatedbyat1.eastone停space,* Additiona1.1.y,comments(suchasthese)maybeinsertedonindividua1.#1.inesorfo1.1.owingthemachinenamedenotedbya,symbo1.

8、界“Forexamp1.e:#“102.549497rino.cmecomftsourceserver* 38.25.63.10.nc1.ienthost* 1.oca1.hostnamereso1.utionishand1.edwithinDNSitse1.f.* 127OO1Iocd1.host124.126.200.2www.movWindow*(CRIO934-23添加hoMs记录4.4如图4-24所示,保存并退出hosts文件.aS4-29UR1.kS.IN化如苏.，二N件下:图430杳石域名关讨字如图4-29和4-30所示，可以看到在线影者是通过域名识别关犍字三ovievideom

9、usic等关键字实现压缩文件的定义实验5AF的路由模式部署【实验目的】掌握AF的部署配置.，理解AF作为网关出口部署的晚理，【实验原理】AF作为F一代防火墙，其在部署过程中有多种部署模式，本实验中我们使用一种最为简单的部署模式，即路由模式部署.可以招AF理解为一台路由器,上面有多个接口,分别连接不同的安全区域.【实验场景】某大型集团公司，为保护内部服务器与员工上网的安全性，决定使用AF部署在网关，时流瓶诳行检测与分析。本实验中，仅是AF的路由模式部署过程，不涉及RF的安全策略配置，【实验拓扑】如图5T,为本实骁拓扑结构，K幡不“IM5-1实片S拓扑【实验设备】1.总部AFO1,作总部出口N关使

10、用2、总部网站,作为总部的服务器.本实验中主要作用为WEB服务器,理解为集团公H网站.3、PC1.普通办公PC,员工办公使用。4、InternetWEBServer.本实险中主要作用为互联网上的服务器。【环境预配】【环境预配】，是指已羟【实验场景】的衽跟边界.实验环境中，等深信服设备,不需要学员”如交换机、路由器、PC、服务器，(S5-4信任区配置3.2如图5-5所示,选择非信任区接口，根据拓扑,选择ETH3图5-7进入接口配置四、配词区域IP地址（操作对象：总部AFoI）4.1 配置管理区IP直接跳过即可.本实验不偌要用到管理IP4.2 配Ja信任区IP如图5-8所示，如拓扑所示，信任区IP为192.168.1.1/24图58信任区接口配置4.3配置非信住区IP.如图5-9所示,如拓扑所示，非信任区IP为124.126.100.2/28图111JS由配置六、如图5-12所示，配词场景镀略（操作对敞；总部ARn）本实脸目的是部署防火塔，安全策略料不涉及，这里欣认卜一步即可815-12安全第BS配置七、如图5-13所示,定义网络对上（操作对象:总部AFoI）直接卜一步三5-