《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx

实验1AC的路由模式部署【实验目的】理解深信服上网行为管理设备（下面简称AC）,作为公司网关部署的过程与原理.【实验原理】AC作为网关部署在公司互联同出口，其原理与传统路由需一诙。主要作用完成用户的SNAT上网工作，以及从外向内访问服务器的DNAT工作.本实脸,我们主要讲述SMT的部署过程.【实验场景】某大型集出公司,其集团总部为了管理公司内部PC上网，计划使用AC来代音传统路由器，解决用户上网认证、网速管理、口忐审计等问逝,本实裟是部为AC的第一步场景.【实险拓扑】如图11所示.为本实验拓扑结构.®：三A3411rWHIq色HWFMeD»-不实上不雷要«24,XXC0S1.MRC的路由模式部署柘扑图【实险设备】1、总部AC,作总部出口网关使用2.微软域控,作为总部的服务器.本实验中主要作用为WEB服务零.理解为集团公E网站.3、PC1.普通办公PC.员，办公使用，需要连接互联网4,Intemet-WEBServer,互联网上的WEB服务涔，理解为类似sina,badu等站点.【环境预配】【环境预配】.是指已经【实验场景】的闻也边界.实验环境中,非深怕服设备,不需要学员IES1.如交换机、路由器、PC服务器.实验环境中，深信服设品，需要学员按实验拓扑】说明进行配置.实脸环境中，配置基本道箭上述两条原则，少数实脸例外.例外过程，在【实步骤】中说明.【实验步骤】一、配置总部AC的网络（操作对象：总部AC）1.1 如图卜2所示，开始配置网络图1-2AC部密模式1.2 如图1-3所示,选择路由模式|r»1.图1.3ACyS由部署模式1.3 根据拓扑图，配置网卡，如图14所示，其中ETHI为1.AN口，即办公区ETH2为。MZ口，即服务器区ETH3为WANC1.,即互联网区图IT路由模式接口1.4 如图16所示,配词ETH1,ETH1.接办公区，IP培址参照拓扑图配汽图1-51.AN口配置1.5如图1.6所示，配81ETH3ETH3接互联"区，IP地址参照拓扑图配置图1-6WAN口配置1.6如图17所示，配置ETH2ETH2按DMZ区,即服务器区.P地址参照拓扑图配置图1-7DMZ接口配1.7如图卜8所示，配置代理上网这里配置代理办公网段上网，办公网网段为192.168.1.0/24图1-8NAT配管1.8如图卜9所示，检杳无误后提交打开桌面上浏览器访何Internet-WEB,即124.126.2.2£OW三RBtt)1.-nAD域测试效果发现无法访问,因为在AC中仅做了办公网段的代理上网，而没有做眼务等网段代理上网.四、查看Pa能否访科域控制器上的WEB页面(操作对象：PCD如图1-12所示，打开PC1.条面上的浏览涔.访问微软域控的WEB,即172.16.0.100三1-2AD域修改后测试效果可以访问，因为PCI与微软域控，向在内网，路由宜接可达.【实验总结】通过本实验,理耨AC的网关部署原理,和传统路由涔作网关像理一致.AC所谓的“代理上网”理解为SXAT,即源地址转换.图2H接口选择1.4如图2-5所示,配置ETH1.ETHI接办公区，IP地址参照拓扑图配置图2-51.AN口配置1.5如图2-6所示，配置ETH3ETH3接互联网区，IP地址参照拓扑图配置!虹.nw<cea图4I3ip对象范围E4-14选择IP对象三、配JRPa的上网策略（操作对象：总部ac）3.1如图4T5所示,新建上网权限策略图4-15新增上网权跟策潞3.2如图k1.6所示，配置禁止WEB下载压缩文件图工16配Jr权限控制策is如图4-17所示,配置策珞关联的用户61S1”图4-17关联用户如图4T8所示,选中关联用户图4-18关联IP对象四、在PCI模拟域名（操作对藤:PCD如图4-19所示,在PC1.的hosts文件中新建域名的解析,将的域名指向124.126.200.24.1以管理员身份运行心力本1、在这输入hosts文件路径T(、uWindow¾Sytem32driversetchostj-|二二，二第建文件安快速访问A下®13H女怜二OBX名券2、KSS三W5三而口幡改日照阿布文件含（MXW(:ANSIWtXt)打开(Q)取的图421确定h0小备径如图422所示.选择打开方式为记事本懂京文档蛆夕帐It文4奖s«*面下或.一有HB片你要如何打开这个文件?、此电a.WtSFirefoxInternetFxp1.orerWindowsMediaP1.ayer喈图记事本弓字板在这台电脸上三Htm他应用图422选捏打开方式4.3如图423所示Ift入我们要加入的hosts记录11T1ho-O包吧o)a09Mc*M»MooftCorphmtc*01Wch'«byMicrosoftTCP/*forWidowsRAXesz®JpPH9$&IP>ddrssstohostZmttHhWTO-cwtnanndMdua1.kw.TheIPaddreushou1.d口3Mumnfo1.1.owedbythecorrepdinghostnameThe»addressandthehonamesboddbeseparatedbyJt1.eastone"space.MdrtomiyCorrwnerrti(JMChnthese)mayb«insertedonind汕d3orfo1.b*1n9themch<neAmedenotedby*yrbo1.9,Forexampier102MM7rh11oacmco(n9sourcetfvrr38256310×mccmtdxthostt-1.k>C4hortnmereio/ufconeh>ndiedwithinDNSrtsdf127.0Q1.IOCahOStNKa)M<DW<O)(Y)叫M)聊Copyright(C)19932009MicrosoftCorp.*“Thisisasamp1.eHOSTSfi1.eusedbyMicrosoftTCP/IPforWindows.* Thisfi1.econtainsthemappingsofIPaddressestohostnamesEach* entryshou1.dbekeptonanindividua1.1.ine.TheIPaddressshou1.d* bep1.acedinthefirstco1.umnfo1.1.owedbythecorrespondinghostname.* TheIPaddressandthehostnameshou1.dbeseparatedbyat1.eastone停space,* Additiona1.1.y,comments(suchasthese)maybeinsertedonindividua1.#1.inesorfo1.1.owingthemachinenamedenotedbya,<,symbo1.界“Forexamp1.e:#“102.549497rino.cmecomftsourceserver* 38.25.63.10×.nc1.ienthost* 1.oca1.hostnamereso1.utionishand1.edwithinDNSitse1.f.* 127OO1Iocd1.host124.126.200.2www.movWindow*(CRIO934-23添加hoMs记录4.4如图4-24所示,保存并退出hosts文件.aS4-29UR1.«««kS.IN化如苏''.，二N件下:图430杳石域名关讨字如图4-29和4-30所示，可以看到在线影者是通过域名识别关犍字三ovievideomusic等关键字实现压缩文件的定义实验5AF的路由模式部署【实验目的】掌握AF的部署配置.，理解AF作为网关出口部署的晚理，【实验原理】AF作为F一代防火墙，其在部署过程中有多种部署模式，本实验中我们使用一种最为简单的部署模式，即路由模式部署.可以招AF理解为一台路由器,上面有多个接口,分别连接不同的安全区域.【实验场景】某大型集团公司，为保护内部服务器与员工上网的安全性，决定使用AF部署在网关，时流瓶诳行检测与分析。本实验中，仅是AF的路由模式部署过程，不涉及RF的安全策略配置，【实验拓扑】如图5T,为本实骁拓扑结构，K幡不“IM5-1实片S拓扑【实验设备】1.总部AFO1,作总部出口N关使用2、总部网站,作为总部的服务器.本实验中主要作用为WEB服务器,理解为集团公H网站.3、PC1.普通办公PC,员工办公使用。4、InternetWEBServer.本实险中主要作用为互联网上的服务器。【环境预配】【环境预配】，是指已羟【实验场景】的衽跟边界.实验环境中，等深信服设备,不需要学员”如交换机、路由器、PC、服务器，(S5-4信任区配置3.2如图5-5所示,选择非信任区接口，根据拓扑,选择ETH3图5-7进入接口配置四、配词区域IP地址（操作对象：总部AFoI）4.1 配置管理区IP直接跳过即可.本实验不偌要用到管理IP4.2 配Ja信任区IP如图5-8所示，如拓扑所示，信任区IP为192.168.1.1/24图58信任区接口配置4.3配置非信住区IP.如图5-9所示,如拓扑所示，非信任区IP为124.126.100.2/28图111JS由配置六、如图5-12所示，配词场景镀略（操作对敞；总部ARn）本实脸目的是部署防火塔，安全策略料不涉及，这里欣认卜一步即可815-12安全第BS配置七、如图5-13所示,定义网络对上（操作对象:总部AFoI）直接卜一步三5-