单元5 网络边界安全与入侵检测 [单元学习目标] 知识目标1.了解防火墙的作用及发展历史2.了解防火墙的分类及区别3.了解个人软件防火墙的工
作原理4.了解硬件防火墙的工作原理5.掌握硬件防火墙的部署位置及区域划分6.掌握防火墙的工作模式7.掌握防火墙中源NAT和目的NA
T的工作原理及配置方法8.了解防火墙流量控制的原理9.掌握防火墙流量控制配置的方法10.掌握防火墙应用层控制的配置方法11.了解入
侵检测系统的工作原理12.掌握入侵检测系统的安装和部署 [单元学习目标]能力目标1.具备安装软件防火墙的能力2.具备选购硬件防火墙
的能力3.具备根据网络实际情况部署硬件防火墙的能力4.具备防火墙的路由模式配置的能力5.具备防火墙源NAT和目的NAT配置的能力6
.具备入侵检测系统安装和调试的能力情感态度价值观1.培养认真细致的工作态度2.逐步形成网络安全的主动防御意识[单元学习内容]当今,
计算机网络系统面临着很多来自外部的威胁,对于这种威胁最好的方法就是对来自外部的访问请求进行严格的限制。在信息安全防御技术中,能够拒
敌于系统之外的铜墙铁壁就是防火墙,它是保证系统安全的第一道防线。在网络中,为了保证个人计算机系统的安全,需要在每台计算机中配置个人
防火墙。为了整个局域网的访问和控制的安全,需要在外网和内网之间安装硬件防火墙。为了实时监控网络的安全状况,发现并记录网络的入侵行为
,要在网络中安装部署入侵检测系统。任务1 配置和应用个人防火墙 【任务描述】网管小齐家里的计算机最近总受到黑客和木马的攻击,让他
痛苦不堪,他准备安装一个个人版防火墙。【任务分析】个人版防火墙是防止计算机中的信息被外部侵袭的一项技术,它能在系统中监控、阻止任何
未授权允许的数据进入或发送到互联网及其他网络系统。个人版防火墙能帮助用户对系统进行监控及管理。任务1 配置和应用个人防火墙 【任
务实战】步骤1 安装天网防火墙个人版。 天网的安装非常简单,只需要按照安装向导进行安装即可,但是有两点需要注意。 (1)在天网防
火墙设置向导的安全级别设置中,可以选择使用由天网防火墙预先配置好的3个安全方案:低、中、高。一般情况下,使用方案“中”就可以满足需
要了。 (2)选择完全级别后,单击“下一步”按钮直到向导设置完成。步骤2 配置安全策略。 对于天网防火墙的使用,可以不修改默认配
置而直接使用,但是有时也根据需要进行配置。 天网防火墙的管理界面如图所示。在管理界面,可以设置应用程序规则、IP规则、系统设置,也
可以查看当前应用程序网络使用情况、日志,还可以做在线升级。任务1 配置和应用个人防火墙 (1)系统设置。在防火墙的控制面板中单击
“系统设置”按钮即可展开防火墙系统设置界面。在系统设置界面中,包括基本设置、管理权限设置、在线升级设置、日志管理和入侵检测设置等。
① 在基本设置页面中,首先,选中“开机后自动启动防火墙”复选框,让防火墙开机自动运行,以保证系统始终处于监视状态。其次,单击“刷新
”按钮或输入局域网地址,使配置的局域网地址确保是本机地址。任务1 配置和应用个人防火墙 ② 在管理权限设置中,设置管理员密码,以
保护天网防火墙本身,并且不选中,以防止除管理员外其他人随意添加应用程序访问网络权限。③ 在在线升级设置中,选中“有新的升级包就提示
”复选框,以保证能够即时升级到最新的天网防火墙版本。④ 在入侵检测设置中,选中“启动入侵检测功能”复选框,用来检测并阻止非法入侵和
破坏。设置完成后,单击“确定”按钮,保存并退出系统设置,返回到管理主界面。任务1 配置和应用个人防火墙 (2)应用程序规则。天网
防火墙可以对应用程序数据传输封包进行底层分析拦截。 通过天网防火墙可以控制应用程序发送和接收数据传输包的 类型、通信端口,并且决定
拦截还是通过。基于应用程序规则,可以随意控制应用程序访问网络的权限,例如,允许一般应用程序正常访问网络,而禁止网络游戏、BT下载工
具、QQ即时聊天工具等访问网络。① 在天网防火墙运行的情况下,任何应用程序只要有通信传输数据包发送和接收动作,都会被天网防火墙先截
获分析,并弹出窗口,询问是“允许”还是“禁止”,让用户可以根据需要来决定是否允许应用程序访问网络。在安装完天网防火墙后第一次启动时
,被天网防火墙拦截并询问是否允许Microsoft Baseline Security Analyzer(微软安全基线分析器)访问
网络。任务1 配置和应用个人防火墙 如果执行“允许”,Microsoft Baseline Security Analyzer(
微软安全基线分析器)将可以访问网络,但必须提供管理员密码,否则禁止该应用程序访问网络。在执行“允许”或“禁止”操作时,如果不选中“
该程序以后都按照这次的操作运行”复选框,天网防火墙个人版在以后会继续截获该应用程序的传输数据包,并且弹出警告窗口;如果选中该复选框
,该应用程序将自动加入到“应用程序访问网络权限设置”列表中。管理员也可以通过“应用程序规则”来管理更为详尽的数据传输封包过滤方式。
任务1 配置和应用个人防火墙 对于每一个请求访问网络的应用程序来说,都可以设置非常具体的网络访问细则。Microsoft Bas
eline Security Analyzer在被允许访问网络后,在该列表中显示“√”,即为“允许访问网络” 。单击Microso
ft Baseline Security Analyzer应用程序的“选项”按钮,可以对Microsoft Baseline Se
curity Analyzer访问网络进行更为详细的设置。在如图所示的应用程序规则高级设置中,管理员可以设置更为详细的包括协议、端
口等访问网络参数。任务1 配置和应用个人防火墙 ② 对于一些即时通信工具、游戏软件、BT下载工具等,管理员可以通过工具栏进行增加
规则,或者检查失效的路径、导入规则、导出规则、清空所有规则等操作。下面,我们对QQ工具设置禁止访问网络。在天网防火墙应用程序规则管
理窗口,单击工具栏“增加规则”按钮,在如图5-7所示的窗口中,设置QQ禁止访问网络。通过“浏览”按钮选择QQ应用程序,并选中“禁止
操作”单击按钮,然后单击“确定”按钮即可。其他应用程序和工具软件禁止网络访问的管理操作类似,在此不再赘述。任务1 配置和应用个人
防火墙 (3)IP规则管理。IP规则是针对整个系统的网络层数据包监控而设置的。利用自定义IP规则,管理员可针对具体的网络状态,设置
自己的IP安全规则,使防御手段更周到、更实用。单击“IP规则管理”工具栏按钮或者在“安全级别”中单击“自定义”安全级别进入IP规则
设置界面。天网防火墙在安装完成后已经默认设置了相当好的默认规则,一般不需要做IP规则修改,就可以直接使用。对于默认规则各项的具体意
义,这里只介绍其中比较重要的几项。任务1 配置和应用个人防火墙 ① 防御ICMP攻击:选择时,即别人无法用ping的方法来确定用
户主机的存在。但不影响用户去ping别人。因为ICMP协议现在也被用来作为蓝屏攻击的一种方法,而且该协议对于普通用户来说,是很少使
用到的。② 防御IGMP攻击:IGMP是用于组播的一种协议,对于Windows的用户是没有什么用途的,但现在也被用来作为蓝屏攻击的
一种方法,建议选择此设置,不会对用户造成影响。③ TCP数据包监视:通过这条规则,可以监视机器与外部之间的所有TCP连接请求。注意
,这只是一个监视规则,开启后会产生大量的日志,该规则是给熟悉TCP/IP协议网络的人使用的,如果不熟悉网络,请不要开启。这条规则一
定要是TCP协议规则的第一条。任务1 配置和应用个人防火墙 ④ 禁止互联网上的机器使用“我的共享资源”:开启该规则后,别人就不能
访问该计算机的共享资源,包括获取该计算机的机器名称。⑤ 禁止所有人连接低端端口:防止所有的机器和自己的低端端口连接。由于低端端口是
TCP/IP协议的各种标准端口,几乎所有的Internet服务都是在这些端口上工作的,所以这是一条非常严厉的规则,有可能会影响使用
某些软件。如果需要向外面公开特定的端口,需要在本规则之前添加使该特定端口数据包可通行的规则。⑥ 允许已经授权程序打开的端口:某些程
序,如ICQ、视频电话等软件,都会开放一些端口,这样,同伴才可以连接到用户的机器上。本规则用来保证这些软件可以正常工作。任务1
配置和应用个人防火墙 (4)网络访问监控。使用天网防火墙,用户不但可以控制应用程序访问权限,还可以监视该应用程序访问网络所使用的数
据传输通信协议、端口等。通过使用“当前系统中所有应用程序的网络使用状况”功能,用户能够监视到所有开放端口连接的应用程序及它们使用的
数据传输通信协议,任何不明程序的数据传输通信协议端口,如特洛伊木马等,都可以在应用程序网络状态下一览无遗。到此为止,天网防火墙已经
安装完成并能够发挥作用,保护个人计算机的安全,免受外来攻击和内部信息的泄露。任务1 配置和应用个人防火墙 【任务拓展】一、理论题
1.个人防火墙的功能有哪些?2.何时使用个人防火墙?3.如何选择合适的个人防火墙?二、实训安装并配置个人防火墙。任务2 配置和应
用硬件防火墙 活动1 认识硬件防火墙【任务描述】公司购买的神州数码DCFW-1800E-V2防火墙已经到货,现在需要网管员小齐
去安装调试设备。【任务分析】小齐决定先看看产品手册和用户手册,熟悉一下防火墙各个接口和指示灯的作用。【任务准备】DCFW-1800
E-V2防火墙一台、Console线一条、网络线两条、PC一台。任务2 配置和应用硬件防火墙 活动1 认识硬件防火墙【任务实
战】本书使用DCFW-1800E-V2防火墙,如图5-10和图5-11所示。软件版本为DCFOS-2.0R4,如实训室环境与此不同
,请参照相关版本用户手册进行操作。步骤1 认识防火墙各接口,理解防火墙各接口的作用。清空按键可以清空系统的配置,恢复出厂设置。控
制台接口类似于交换机的Console口,千兆以太网接口用来连接内外网,千兆以太网口的编号从左向右依次为Ethernet0/0~Et
herneth0/7。防火墙的后面板有两个电源接口,这是双冗余电源的设计,提高了设备的安全性。任务2 配置和应用硬件防火墙 活
动1 认识硬件防火墙步骤2 使用控制电缆将防火墙与PC的串行接口连接。步骤3 在PC上启动超级终端建立与防火墙的连接,具体参
数设置如下:任务2 配置和应用硬件防火墙 活动1 认识硬件防火墙步骤4 登录防火墙并熟悉各配置模式。给DCFW-1800系
列防火墙上电。防火墙会进行自检,并且自动进行系统初始化配置。如果系统启动成功,会出现登录提示“login:”。在登录提示后输入默认
管理员名“admin”并按Enter键,界面出现密码提示“password”,输入默认密码“admin”并按Enter键,屏幕显示
“DCFW-1800#”。在执行模式下,输入configure 命令,可进入全局配置模式。提示符如下: DCFW-1800(con
fig)#防火墙的不同模块功能需要在其对应的命令行子模块模式下进行配置。在全局配置模式输入特定的命令可以进入相应的子模块配置模式。
例如,运行interface Ethernet0/0 命令进入Ethernet0/0 接口配置模式,此时的提示符变更为“DCFW-
1800(config-if-eth0/0)#”。任务2 配置和应用硬件防火墙 活动1 认识硬件防火墙【任务拓展】一、理论题
1.什么是防火墙?2.防火墙的作用是什么?二、实训1.防火墙的初始状态配置信息如何?2.怎样通过命令行查看初始配置信息?任务2
配置和应用硬件防火墙 活动2 搭建防火墙的管理环境【任务描述】小齐已经认识了防火墙各个接口的作用及用Console口登录防火墙
了,那么如何对防火墙进行管理呢,毕竟如果在其他办公区就没有办法用Console线进行配置了。【任务分析】虽然小齐已经有了配置和管理
交换机和路由器的经验,但是对防火墙的管理环境搭建还是丝毫不敢大意,毕竟这个是非常重要的安全设备。【任务准备】任务2 配置和应用硬
件防火墙 活动2 搭建防火墙的管理环境【任务实战】方法1 搭建Telnet的管理环境。对于网络设备的Telnet的管理,因为
我们接触过交换机已经不陌生了,它方便了管理员可以在网络内部任意位置对网络设备进行命令行的配置。防火墙可以搭建这样的配置环境。步骤1
输入用户名和密码登录防火墙。步骤2 运行manage telnet 命令开启被连接接口的Telnet管理功能: DCFW-1
800#config DCFW-1800(config)#interface Ethernet 0/0 DCFW-1800(con
fig-if-eth0/0)#manage telnet任务2 配置和应用硬件防火墙 活动2 搭建防火墙的管理环境步骤3
配置PC的IP地址为192.168.1.,从PC尝试与防火墙的Telnet连接,本任务管理主机配置的IP地址为192.169.1
.2。步骤4 在管理主机运行telnet命令登录。选择“开始”→“运行”,输入CMD进入Dos窗口,输入telnet命令进行远程
登录。任务2 配置和应用硬件防火墙 活动2 搭建防火墙的管理环境方法2 搭建WebUI管理环境。防火墙是十分重要的安全设备
,因此提供了命令行和图形界面两种配置方式,一般推荐使用图形界面,图形界面直观清晰,不容易配置出错。初次使用防火墙时,用户可以通过该
Ethernet0/0接口访问防火墙的WebUI页面,登录方法如下:步骤1 配置PC的IP地址为192.168.1.(不能是1
92.168.1.1)。步骤2 在浏览器地址栏输入https://192.168.1.1并按Enter键,系统WebUI的登录界
面如图所示。任务2 配置和应用硬件防火墙 活动2 搭建防火墙的管理环境登录后的主界面如图。最初研发由网景公司进行,提供了身份
验证与加密通信方法,现在它被广泛用于万维网上安全敏感的通信,如交易支付方面和安全设备的配置等。任务2 配置和应用硬件防火墙 活
动2 搭建防火墙的管理环境【任务拓展】一、理论题神州数码1800系列防火墙的Ethernet0/0接口的作用是什么?二、实训如果
需要在某公司的内部办公环境对防火墙设备进行管理,这种情况下不可能是用Console直接连接,可以使用什么方式进行管理?任务2 配
置和应用硬件防火墙 活动3 企业内网安全接入互联网【任务描述】齐威公司由于业务规模的不断扩大和对安全要求越来越高,已经购买了神
州数码防火墙且和网络运行商联系购买了一个固定的IP地址222.1.1.2/24,现在公司要求小齐配置防火墙使内网用户能访问外网,并
且保证公司内部网络的安全。【任务分析】为了完成这个任务需使防火墙工作在路由模式,并且正确配置内外网口的地址、配置NAT来保证所有用
户都可以通过一个公网IP上网,最后还要配置安全策略。【任务准备】任务2 配置和应用硬件防火墙 活动3 企业内网安全接入互联网
【任务实战】步骤1 搭建网络环境。按照网络拓扑结构图搭建任务实施环境。步骤2 配置接口。(1)首先通过防火墙默认Eth0接口地
址192.168.1.1登录到防火墙界面进行接口的配置,通过WebUI登录防火墙界面,输入默认用户名admin、密码admin后单
击“登录”按钮,配置外网接口地址。任务2 配置和应用硬件防火墙 活动3 企业内网安全接入互联网(2)配置外网口Etherne
t0/1地址,选择右侧菜单“网络”→“接口”,对Ethernet0/1接口进行如下配置。安全域类型选择“第三层安全域”,安全域选择
“untrust”,选择“静态IP”,配置IP地址为222.1.1.2/24。(3)配置内网口Ethernet0/0地址,内网口地
址使用默认地址192.168.1.1,所以内网口不用做任何的配置。任务2 配置和应用硬件防火墙 活动3 企业内网安全接入互联
网步骤3 添加路由。添加到外网的默认路由,在目的路由中新建路由条目添加“下一跳”地址,网关输入222.1.1.1。步骤4 添加
源NAT策略。选择“网络”→“NAT”→“源NAT” →“新建”,添加源NAT策略,源地址设置选择“Any”,出接口设置选择连接外
网的“Ethernet0/1”,行为设置选择“NAT(出接口IP)”。任务2 配置和应用硬件防火墙 活动3 企业内网安全接入
互联网步骤5 添加安全策略。在安全/策略设置中,选择好源安全域和目的安全域后,新建策略,源地址选择“Any”,目的地址选择“An
y”,行为选择 “允许”。任务2 配置和应用硬件防火墙 活动3 企业内网安全接入互联网步骤6 任务测试。至此,任务已经配置
完成。需要进行项目的测试。① 内网任意主机到防火墙内网口Ethernet0/0的连通性测试,可以ping通内网口。注意:内网口中p
ing的管理应该选上的才能ping通。② 内网主机防火墙到外网口Ethernet0/1的连通性测试,可以通过内网口ping通外网口
。③ 可以用一台主机配置好IP地址模拟外网,内网到这台主机可以ping通,而这台主机到内网口和内网主机则不能ping通。任务2
配置和应用硬件防火墙 活动3 企业内网安全接入互联网【任务拓展】一、理论题1.什么是安全域? 2.防火墙中默认的安全域有几个,
分别是什么,各自的作用是什么? 3.防火墙的接口为什么要选择第三层安全域? 4.防火墙工作在路由模式如何设置?二、实训1.如果是配
置SNAT后,只允许内网用户9:00~18:00浏览网页,其他时间不做任何限制,如何来实现? 2.防火墙内网口处接一台神州数码三层
交换机5950,三层交换机上设置了几个网段都可以通过防火墙来访问外网?任务2 配置和应用硬件防火墙 活动4 发布企业内部服务
器【任务描述】小齐经过不断尝试和努力终于把公司新买的防火墙配置成功,并放置到网络中了,自从防火墙放入后,公司内部很少受到黑客的入侵
和蠕虫病毒的骚扰,受到了公司领导的好评。由于公司业务不断扩大的需要,公司决定制作公司自己的网站,并让小齐搭建网站服务器并放置在公司
的网络中,小齐又接受了新的任务。【任务分析】防火墙上配置了源NAT后,内部用户在访问外网时都隐藏了私网地址,如果防火墙内部有一台服
务器需要对外网用户开放,此时就必须在防火墙上配置目的NAT,将数据包在防火墙做目的地址转换,让外网用户访问到该服务器。而且为了保证
公司内网的绝对安全,服务器和内网不应放置在一个区域,而应重新规划到dmz区域。任务2 配置和应用硬件防火墙 活动4 发布企业
内部服务器【任务实战】步骤1 搭建任务实施环境。步骤2 配置接口地址。(1)配置防火墙的外网口Ethernet0/1为第三层安
全域,属于untrust区域,IP地址为218.240.143.221/24。(2)配置防火墙连接服务器的接口Ethernet0/
1为第三层安全域,属于dmz区域,IP地址为192.168.10.1/24。步骤3 添加路由(参见上一节)。步骤4 添加源NA
T策略(参见上一节)。任务2 配置和应用硬件防火墙 活动4 发布企业内部服务器步骤5 创建地址簿对象。(1)选择左侧菜单“
对象”→“地址簿”→“新建”,在新建的页面中,填写名称为“Web_serverA”(注意:此处名称的填写没有规定,只是便于记忆和管
理,建议填写服务器在网络中的名字),“IP成员”选项填写dmz区域的Web服务器的地址,实际上就建立了名字和服务器IP地址的一种对
应关系,便于管理和配置,注意子网掩码为32位。(2)将服务器的公网地址使用IP_218.240.143.220来命名。任务2 配
置和应用硬件防火墙 活动4 发布企业内部服务器步骤6 配置目的NAT。选择“网络”→“目的NAT”→“新建”,在“目的地址”
中选择地址簿新建的“IP_218.240.143.220”,映射目的地址选择地址簿中新建的“web_serverA”。步骤7 放
行安全策略。(1)放行untrust区域到dmz区域的安全策略,使外网可以访问dmz区域服务器。选择左侧树形菜单中的“安全”菜单中
的“策略”,源安全域选择“untrust”,目的安全域选择“dmz”,目的地址选择地址簿中建立的转换前的公网IP地址,服务选择“H
TTP”,行为选择“允许”。任务2 配置和应用硬件防火墙 活动4 发布企业内部服务器(2)放行trust区域到dmz区域的安
全策略,使内网机器可以公网地址访问dmz区域内的服务器。放行trust区域到dmz区域的安全策略,使外网可以访问dmz区域服务器。
选择左侧树形菜单中的“安全”菜单中的“策略”,源安全域选择“trust”,目的安全域选择“dmz”,目的地址选择地址簿中建立的转换
前的公网IP地址,服务选择“HTTP”,行为选择“允许”。(3)放行trust区域到untrust区域的安全策略(具体配置参见以上
两步)。任务2 配置和应用硬件防火墙 活动4 发布企业内部服务器步骤8 任务测试。至此,任务已经配置完成。需要进行项目的测
试。① 内网任意主机到防火墙内网口Ethernet0/0的连通性测试,可以ping通内网口,注意:内网口中ping的管理应该是选中
的,才能ping通。② 内网主机防火墙到外网口Ethernet0/1的连通性测试,可以通过内网口ping通外网口。③ 可以用一台主
机配置好IP地址模拟外网,内网到这台主机可以ping通,而这台主机到内网口和内网主机是不能ping通的。④ 内网主机输入网址htt
p://218.240.143.220/即可实现对公司网站的访问。⑤ 外网主机输入网址http://218.240.143.220
/即可实现对公司网站的访问。任务2 配置和应用硬件防火墙 活动4 发布企业内部服务器【任务拓展】一、理论题1.什么是地址簿,
它的作用是什么? 2.什么是目的NAT,有几种类型,各自的作用是什么? 3.本任务中的目的NAT类型是什么?二、实训1.自行搭建d
mz区域的Web服务器,并完成整个任务的测试。2.小王和小齐是好朋友,小王所在的公司也购买了一台神州数码DCFW-1800E-V2
防火墙,配置要求如下:外网口IP为内网FTP Server及Web ServerB做端口映射并允许外网用户访问该Server的FT
P和Web服务,服务端口采用默认端口。任务2 配置和应用硬件防火墙 活动4 发布企业内部服务器【任务提示】1.端口映射为一对
多的映射,将公网某一IP的不同端口,映射到内网不同IP的不同端口,解决公网IP有限时多个服务器需对外发布的需求。2.需要建立一个地
址对象,用于地址映射,注意子网掩码是32位的。3.创建目的NAT,这里目的NAT和本节任务不同,应选择端口映射。这里仅以创建FTP
服务的端口映射为例,Web服务的端口映射配置方法大致相同。任务2 配置和应用硬件防火墙 活动5 利用防火墙进行流量控制【任务
描述】齐威公司的网络在小齐配置完防火墙后,公司的网络健康高效地运行了。公司的出口带宽为100Mbps,公司内部有200台PC,但是
公司的员工频繁反映上网速度很慢,小齐通过科来网络分析系统发现,网络中有很多用户使用BT、迅雷等P2P下载软件,而有些用户在线观看视
频资源等占用了大量的系统带宽。【任务分析】神州数码DCFW-1800E-V2防火墙提供了QoS功能,控制整个网络的流量和带宽。防火
墙出口带宽为100Mbps,内网最多有200台PC。1.要求P2P的总流量不能超过50Mbps。 2.每个用户的上、下行最大带宽均
不能超过400kbps。任务2 配置和应用硬件防火墙 活动5 利用防火墙进行流量控制【任务实战】步骤1 设置P2P的总流量
不能超过50Mbps。(1)在QoS中创建一个Class,将P2P协议加入到该Class中。 选择“网络”→“QoS”→“类别”,
将P2P的协议类型加入到一个分组中,分组名称为“p2p”。(2)创建QoS Profile,在Profile里做出对P2P流量的限
制。 选择“网络”→“QoS”→“Profile”,设置Profile名称为“limit- p2p-50M”,单击“添加Class
”按钮,然后将之前创建好的“p2p”Class加入到右边成员中单击“确定”按钮。任务2 配置和应用硬件防火墙 活动5 利用防
火墙进行流量控制然后重新编辑该Profile分组,在针对“p2p”Class设置带宽限制。在列出的表中单击右侧的“编辑”按钮,在高
级配置中最大带宽配置为50 000,这表示传输速率的上限为50Mbps。(3)将P2P限流Profile绑定到广域网入接口Eth0
/1上。将之前创建的“limit-p2p-50M”Profile绑定到外网接口的入方向上,就可以实现限制内网下载P2P到50M的流
量。任务2 配置和应用硬件防火墙 活动5 利用防火墙进行流量控制选择“QoS”→“绑定接口”,选择其中的Ethernet0/
1,单击后面的“编辑”按钮,进行编辑。步骤2 设置每个用户的上、下行最大带宽均不能 超过400kbps。(1)使用内网IP地址范
围创建QoS Class,选择 “网络”→“QoS”→“类别”→“新建”,首 先将限制带宽的内网地址设置一个Class,名称为 “
ip-range”。地址范围为192.168.1.1~192. 168.1.200。任务2 配置和应用硬件防火墙 活动5 利
用防火墙进行流量控制(2)创建QoS Profile,并将创建好的IP范围Class加入其中,创建一个名称为“per-ip-bw-
limit”的Profile,创建Profile时选择“ip-qos-profile”,然后将之前创建的“ip-range”Cla
ss拉到右边的“组成员”栏中单击“确定”按钮。任务2 配置和应用硬件防火墙 活动5 利用防火墙进行流量控制(3)编辑QoS
Class,对每个IP的带宽做出限制。重新编辑profile“per-ip-bw-limit”。然后针对“ip-range”的Cl
ass做限速,限制每个IP的带宽为400kbps,开启弹性QoS后能达到的最大带宽为800 kbps。任务2 配置和应用硬件防火
墙 活动5 利用防火墙进行流量控制(4)将QoS Profile绑定到外网接口。将创建的“per-ip-bw-limit”的P
rofile绑定到接口上,一般来说,“ip-qos”要绑定在接口的第二级别上,我们在外网上出入方向上都绑定该Profile,即针对
“ip-range”内的PC上、下行都限制到400kbps。选择“网络”→“QoS”→“绑定接口”。任务2 配置和应用硬件防火墙
活动5 利用防火墙进行流量控制【任务拓展】一、理论题1.什么是QoS? 2.当配置QoS功能后,不同的IP地址可获得的最大带
宽通常会被限制在一个数值之内,此时,即使接口有闲置带宽,被限制的IP也不可以使用,造成资源的浪费。针对这一现象应该如何避免?请参考
产品手册弹性QoS。二、实训1.限制内网所有用户下载外网FTP总流量不超过10Mbps。 2.将内网IP分成两个网段,针对网段一设
置每IP限速512kbps,针对网段二设置每IP限速1M,如何设置?任务2 配置和应用硬件防火墙 活动6 即时通信软件的控制
【任务描述】经理发现公司员工上班后就把QQ启动,和朋友家人在工作时间聊天,严重影响了办公效率,经理找到小齐让他解决一下。【任务分析
】公司要求上班期间禁止内网用户登录腾讯QQ;允许内网用户登录MSN,但禁止使用MSN进行文件传输;诸如此类对即时通信(IM)的控制
可以在神州数码多核防火墙上来实现。任务2 配置和应用硬件防火墙 活动6 即时通信软件的控制【任务实战】步骤1 按照拓扑图搭
建实施环境。步骤2 配置防火墙的Eth0口连接trust区域,Eth1口连接untrust区域。步骤3 启用外网口安全域的应用
程序识别。选择“网络”→“安全域”,在外网口安全域untrust下选中“应用程序识别”,设置该项的目的是可以识别应用层QQ、MSN
等协议。任务2 配置和应用硬件防火墙 活动6 即时通信软件的控制步骤4 创建行为Profile,对IM做相应动态限制。选择
“安全”→“行为Profile”→“新建”,文件命名为“IM-profile”。MSN选项中登录行为设置为“允许”,文件传输行为设
置为“拒绝”;腾讯QQ登录行为设置为“拒绝”,文件传输行为设置为“拒绝”。步骤5 创建一个Profile组。选择“安全”→“Pr
ofile组”,新建一个Profile组名称为“行为profile”,并将之前创建的IM-profile加到该Profile组中单
击“确定”按钮。任务2 配置和应用硬件防火墙 活动6 即时通信软件的控制步骤6 将Profile组引用到安全策略中。新建从
trust区域到untrust区域的安全策略,其他 默认设置不用修改,行为选择 “允许”,选中下 面的Profile组,并选择“行
为profile” 。策略设置完成后效果如图所示,特征区域出现了两 个折叠的小方框,表示本安全策略有应用层的特征 识别。 步骤7
验证测试。按照以上步骤设置完成后,我们可以登录QQ,可以看到QQ已经不能登录到服务器,MSN可以连接到服务器但不能传输文件。任务
2 配置和应用硬件防火墙 活动6 即时通信软件的控制【任务拓展】一、理论题1.神州数码防火墙可以针对哪几种IM做限制?2.如
果针对untrust区域没有设置应用程序识别,是否可以成功限制IM登录?二、实训搭建实验环境,拒绝内网登录QQ和MSN通信工具。任
务2 配置和应用硬件防火墙 活动7 URL过滤配置【任务描述】公司已经成功限制了利用QQ上网聊天的行为,但是开心网等娱乐网站
风靡全社会,公司员工也玩得不亦乐乎,严重影响公司业务,作为网管的小齐该怎么办呢?【任务分析】防火墙可实现URL过滤功能,设备可以控
制用户的PC对某些网址的访问,针对内网不同权限的用户我们可以设置不同的过滤规则。任务2 配置和应用硬件防火墙 活动7 URL
过滤配置【任务实战】步骤1 按照拓扑图搭建实施环境。步骤2 配置防火墙的Eth0口连接trust区域,Eth1口连接untru
st区域。步骤3 创建HTTP Profile,启用URL过滤功能。在“安全”→“HTTP Profile”中新建一个HTTP
Profile,名称为“http-profile”,将URL过滤设置成“启用”状态单击“确定”按钮即可。任务2 配置和应用硬件防
火墙 活动7 URL过滤配置步骤4 创建Profile组,添加“http-profile”。选择“安全”→“Profile组
”,新建一个名为“URL过滤”的Profile组,并将之前创建好的HTTP Profile加入到该Profile组中单击“确定”按
钮。步骤5 设置URL过滤。选择“安全”→“URL过滤”,设置URL过滤规则,实验中要求只是限制访问Baidu首页,在黑名单UR
L中输入www.baidu.com,单击“添加”按钮将其添加到黑名单列表中。单击“确定”按钮即可。任务2 配置和应用硬件防火墙
活动7 URL过滤配置步骤6 在安全策略中引用Profile组。选中“Profile组”复选框,并选择“URL过滤”。步骤7
测试验证。内网用户在访问baidu首页时便会提示“访问被拒绝”。任务2 配置和应用硬件防火墙 活动7 URL过滤配置【任
务拓展】一、理论题1.要求内网用户只能访问规定的几个网站,如何实现?2.要求内网用户不能访问带有baidu关键字的网站,如何实现?
二、实训要求内网用户只能访问www.baidu.com和www.sina.com.cn,请搭建实验环境实现。任务2 配置和应用硬
件防火墙 活动8 公司内部Web接入认证配置【任务描述】 公司员工数量的增加给网络管理带来诸多不便,小齐报请公司决定公司员工登
录互联网采取授权的方式。按照公司部门进行划分组别,每个人一个账号,以后可以对每个部门进行控制。例如,不想让研发部的员工上外网,我们
就可以利用Web认证进行控制。公司同意了小齐的想法。 【任务分析】在执行本任务之前,小齐决定搭建一个简单的模拟环境测试一下。内网用
户首次访问Internet时需要通过Web认证才能上网,且内网用户划分为两个用户组usergroup1和usergroup2,其中
usergroup1组中的用户在通过认证后仅能浏览Web页面,usergroup2组中的用户通过认证后仅能使用FTP。任务2 配
置和应用硬件防火墙 活动8 公司内部Web接入认证配置【任务准备】步骤1 开启Web认证功能。防火墙Web认证功能默认是“关
闭”状态,需要手工在“系统”→“管理”→“管理接口”中将其开启,Web认证有HTTP和HTTPS两种模式。步骤2 创建AAA认证
服务器。在开启防火墙认证功能后,需要在“对象” →“AAA服务器”中设置一个认证服务器,防火墙能够支持本地认证、Radius认证、
Active-Directory认证和LDAP认证。在本实验中使用防火墙的本地认证,在此选择认证类型为“本地”。任务2 配置和应
用硬件防火墙 活动8 公司内部Web接入认证配置步骤3 创建用户及用户组,并将用户划归不同的用户组。既然要做认证,需要在防火
墙的“对象”→ “用户组”中设置用户组,在本任务中设置了usergroup1和usergroup2两个用户组。然后选择“对象”→“
用户”,首先在本地服务器中选择之前创建好的local-aaa-server认证服务器,在该服务器下创建user1用户,并将该用户设
置到usergroup1用户组中,同样的方法创建user2用户,并将user2用户设置到usergroup2组中。任务2 配置和
应用硬件防火墙 活动8 公司内部Web接入认证配置步骤4 创建角色。创建好用户和用户组后,下面在“对象”→ “角色”→“管理
”中设置两个角色,名称分别为“role-permit-web”和“role-permit-ftp”。步骤5 创建角色映射规则,将
用户组与角色相对应。在“对象”→“角色”→“角色映射”中,将用户组和角色设置角色映射关系名称为“role-map1”,将userg
roup1用户组和role-permit-web做好对应关系,同样的方法将usergroup2和role-permit-ftp做好
对应关系。任务2 配置和应用硬件防火墙 活动8 公司内部Web接入认证配置步骤6 将角色映射规则与AAA服务器绑定。在“对
象”→“AAA服务器”中,将角色映射关系role-map1绑定到创建的AAA服务器local-aaa-server中。步骤7 创
建安全策略不同角色的用户放行不同服务。在“安全”→“策略”中设置内网到外网的安全策略,首先在该方向安全策略的第一条设置一个放行DN
S服务的策略,放行该策略的目的是当在IE栏中输入某个网站名后,客户端PC能够正常对该网站做出解析,然后可以重定向到认证页面。任务2
配置和应用硬件防火墙 活动8 公司内部Web接入认证配置在内网到外网的安全策略的第二条针对未通过认证的用户UNKNOWN,
设置认证的策略,认证服务器选择创建的local-aaa-server。在内网到外网的第三条安全策略中,针对认证过的用户放行相应的服
务,针对角色role-permit-web只放行HTTP服务。任务2 配置和应用硬件防火墙 活动8 公司内部Web接入认证配
置针对通过认证后的用户,属于role-permit-ftp角色的只放行FTP服务。 最后看一下在“安全”→“策略”中设置了几条策略
,在这里设置了4条策略,第一条策略只放行DNS服务,第二条策略针对未通过认证的用户设置认证的安全策略,第三条策略和第四条策略针对不
同角色用户放行不同的服务项。步骤8 用户验证。 内网用户打开IE输入某网站地址后可以看到页面马上重定向到认证页面,输入user2
的用户名和密码认证通过后,当访问某FTP时可以访问成功,当访问Web界面时看到未能打开网页。任务2 配置和应用硬件防火墙 活动
8 公司内部Web接入认证配置【任务拓展】一、理论题1.设置防火墙的Web认证功能后,如果从内到外的策略中未放行DNS服务,用户
端PC怎样才能重定向到认证界面? 2.在上述任务中,我们在设置角色映射关系时是针对用户组和角色做了对应,那么是否可以针对用户和角色
做对应呢? 3.上网搜索出Web认证还有哪些认证方法和比较其优缺点。二、实训使用防火墙的Web认证功能,将内网设置成3个用户组,第
一个用户组只能访问Web和FTP服务,第二个用户组只能登录QQ、MSN,第三组用户不做限制。任务2 配置和应用硬件防火墙 活动
9 内容过滤【任务描述】公司想对大家访问网站做一些具体的限制,如购物类、娱乐类网站不能访问等。【任务分析】这个任务涉及内容过滤,
可以用关键字的方法,让员工无法访问某些网站本任务针对要访问的网页如果包含一次或一次以上的黄秋生字样,则将该网页过滤掉,不允许用户访
问。任务2 配置和应用硬件防火墙 活动9 内容过滤【任务实战】步骤1 在内容过滤中创建类别。在“安全”→“内容过滤”→“类
别”中,创建一个名为“test”的类别,单击“添加”按钮。步骤2 指定要过滤的关键字并设置属性。在“安全”→“内容过滤”→“关键
字”中,设置要过滤的关键字为“黄秋生”,设置该关键字类别为之前创建的test类型,并设置相应的信任值,我们使用默认的100。任务2
配置和应用硬件防火墙 活动9 内容过滤步骤3 创建类别组,添加类别成员并设置警戒值。在“安全”→“内容过滤”→“类别组”
中,创建一个类别组名为“test类别组”,将之前创建好的test类别添加到该组中,并设置相应的警戒值,实验中要求只要包含一次黄秋生
的关键字就进行过滤,因此,此处设置的警戒值要不大于信任值1,实验中可以使用默认值100。步骤4 创建内容过滤Profile,并添
加类别组。在“安全”→“内容过滤Profile”中,创建一个名为“内容过滤profile”的Profile,选择类别组为“test
类别组”,单击“添加”按钮,可以看到“test类别组”已经添加到该Profile中。任务2 配置和应用硬件防火墙 活动9 内
容过滤步骤5 创建一个Profile组,将内容过滤profile组加入到该Profile。在“安全”→“Profile组”中创建
一个Profile组名为“内容过滤profile组”,并将内容过滤profile组加到该组中单击“确定”按钮。任务2 配置和应用
硬件防火墙 活动9 内容过滤步骤6 在策略中引用Profile组。在“安全”→“策略”中,针对内网到外网的安全策略引用创建的
内容过滤profile组,单击“确定”按钮。步骤7 验证测试。在www.baidu.com搜索栏中输入“黄秋生”,单击“百度”后
出现一个提示界面,因为要访问的网页包含了一次或一次以上的黄秋生字样,所以不能访问到该网页。任务2 配置和应用硬件防火墙 活动9
内容过滤【任务拓展】一、理论题1.内容过滤的作用是什么?2.如果访问的网页中有黄、秋、生这三个字样,但是三个字样没有连续出现,
这种情况是否会将网页过滤?二、实训1.要求要访问的网页中包含10次或者10次以上的“黄秋生”字样时,将过滤掉该网页,请搭建实验环境
实现。2.如何内容过滤屏蔽购物、娱乐类网站,自己尝试。任务3 入侵检测系统的部署 活动1 认识入侵检测系统【任务描述】小齐为
公司已经配置好了防火墙,以为可以高枕无忧了,可是最近公司还是遭受了几次黑客攻击。看来装了防火墙也不是代表就绝对安全了,小齐咨询了安
全专家,建议公司安装入侵检测系统。公司决定购买一个神州数码入侵检测系统。【任务分析】小齐决定先了解一下什么是入侵检测系统。任务3
入侵检测系统的部署 活动1 认识入侵检测系统【任务实战】步骤1 了解什么是入侵检测系统。假如防火墙是一幢大楼的门锁,那么I
DS(Intrusion Detection Systems,入侵检测系统)就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部
人员有越界行为,只有实时监视系统才能发现情况并发出警告。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须
网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,“所关注流
量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的Hub式的共享介质冲突域
的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构,因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源和尽可能靠近
受保护资源的地方。任务3 入侵检测系统的部署 活动1 认识入侵检测系统步骤2 了解神州数码入侵检测系统(DCNIDS)的组
成DCNIDS 是自动的、实时的网络入侵检测和响应系统,它采用了新一代入侵检测技术,包括基于状态的应用层协议分析技术、开放灵活的行
为描述代码、安全的嵌入式操作系统、先进的体系架构、丰富完善的各种功能,配合高性能专用硬件设备,是最先进的网络实时入侵检测系统。它以
不引人注目的方式最大限度地、全天候地监控和分析企业网络的安全问题,捕获安全事件,给予适当的响应,阻止非法的入侵行为,保护企业的信息
组件。 DCNIDS采用多层分布式体系结构,由下列程序组件组成:① Console(控制台)是DCNIDS的控制和管理组件。它是一
个基于Windows的应用程序,控制台提供图形用户界面来进行数据查询、查看警报并配置传感器。控制台有很好的访问控制机制,不同的用户
被授予不同级别的访问权限,允许或禁止查询、警报及配置等访问。控制台、事件收集器和传感器之间的所有通信都进行了安全加密。任务3 入
侵检测系统的部署 活动1 认识入侵检测系统② EventCollector(事件收集器)。 一个大型分布式应用中,用户希望能够
通过单个控制台完全管理多个传感器,允许从一个中央点分发安全策略,或者把多个传感器上的数据合并到一个报告中去。用户可以通过安装一个事
件收集器来实现集中管理传感器及其数据。事件收集器还可以控制传感器的启动和停止,收集传感器日志信息,并且把相应的策略发送到传感器,以
及管理用户权限、提供对用户操作的审计功能。 IDS服务管理的基本功能是负责“事件收集服务”和“安全事件响应服务”的启停控制、服务状
态的显示。③ LogServer(数据服务器)。 LogServer是DCNIDS的数据处理模块。LogServer需要集成DB(
数据库)一起协同工作。DB是一个第三方数据库软件。DCNIDS 1.1支持微软MSDE、SQL Server,并即将支持MySQL
和Oracle数据库,根据部署规模和需求可以选择其中之一作为LogServer的数据库。任务3 入侵检测系统的部署 活动1
认识入侵检测系统④ Sensor(传感器)。 Sensor部署在需要保护的网段上,对网段上流过的数据流进行检测,识别攻击特征,报告
可疑事件,阻止攻击事件的进一步发生或给予其他相应的响应。⑤ Report(报表)和查询工具。 Report(报表)和查询工具作为I
DS系统的一个独立的部分,主要完成从数据库提取数据、统计数据和显示数据的功能。Report能够关联多个数据库,给出一份综合的数据报
表。查询工具提供查询安全事件的详细信息。任务3 入侵检测系统的部署 活动2 入侵检测设备的配置【任务描述】小齐决定对公司购买
的神州数码IDS系统进行配置,用于监测网络,保证网络健康运行。【任务分析】购买的IDS硬件产品只是IDS系统组成部分中的Senso
r(传感器),只能实时地探测网络中状况,不能记录和分析,就像很多公共场所安装的摄像头一样,它需要通过网络把数据传送到远程计算机上保
存。IDS的Sensor只需要简单的配置即可,但是要在一台计算机上安装SQL Server数据库及其他IDS组件。传感器在网络中的
部署如图所示。任务3 入侵检测系统的部署 活动2 入侵检测设备的配置【任务实战】步骤1 条件准备。小齐选择了一台计算机作为
管理平台,该计算机的操作系统为Windows Server 2003企业版,内存2GB,硬盘剩余空间在100GB以上。小齐在该计算
机中安装了SQL 2000 Server数据库软件,并对该软件打了SP4补丁,打开SQL Server服务管理器,启动SQL Se
rver服务。小齐利用购置的DC-IDS设备中提供的一条Console线将传感器的Console接口与管理平台相连。使用一条交叉线
将管理平台和传感器的EM3接口相连,用于管理传感器并接收检测信息。任务3 入侵检测系统的部署 活动2 入侵检测设备的配置步骤
2 配置传感器。利用超级终端登录传感器,默认的登录密码为Admin,进入主界面。选择“Configure Networking”
,进入如图所示界面。管理接口默认为EM3,默认管理地址为192.168. 0.254/24,IP of DC NIDS Serve
r为EC的地址,默认192.168.0.253,通信密码默认为Admin。 这3项可以修改也可以不修改,根据实际情况而定,需要说明
的是如果不修改,那么管理平台的IP地址必须配置为192.168.0.254/24,并且连接到EM3口上。任务3 入侵检测系统的部
署 活动2 入侵检测设备的配置步骤3 安装LogServer。(1)在D盘建立一个名为IDS的文件夹,并在其中 建立两个子文
件夹DATA和LOG,用于存放IDS的数 据库文件。(2)单击安装光盘中的文件DC_NIDS_LogServer.exe,按照向导
完成安装后,弹出“数据服务初始化配置”对话框,填写相关参数。 在该对话框“服务器地址”栏中输入数据库服务器(本机)的IP地址,数据
库名称默认,访问账号名和访问密码输入创建数据库时候创建的用户名和密码。数据库创建路径中输入安装程序在创建目标数据库时将要建立的数据
库文件的存放路径,即前面已经建立的两个文件夹,路径分别是D:\IDS\DATA和D:\IDS\LOG。 输入配置信息后,单击“测试
”按钮。如果配置正确,系统会提示“数据库测试连接成功!”。测试成功后,单击“确定“按钮,系统开始创建数据库,创建成功后,系统会提示
“数据库创建成功!”任务3 入侵检测系统的部署 活动2 入侵检测设备的配置步骤4 安装事件收集器。 双击光盘中的DC_NI
DS_Event-Collector.exe进行事件收集器的安装,只需按照安装向导即可完成安装。步骤5 安装许可证。 许可证定义
了认证信息及用户信息,它包含了所授权的产品,升级服务时限及用户注册信息,必须安装许可证IDS才能正常工作。任务3 入侵检测系统的
部署 活动2 入侵检测设备的配置步骤6 安装控制台。控制台的安装不再详细介绍,只需按照安装向导安装即可。步骤7 启动应用服
务。应用服务包括“事件收集服务”、“安全事件响应服务”和“IDS 数据管理服务”,只有服务启动后,系统才能正常工作。选择“开始”→
“程序”→“入侵检测系统”→“入侵检测系统(网络)”→“DCNIDS服务管理”,在“应用服务管理器”窗口分别选择“应用服务”后单击
“开始”按钮,启动服务;并且建议用户分别选中窗口下方的“当启动OS 时自动启动服务”复选框,这样可以避免用户每次登录系统后,都要进
行“启动应用服务”的操作。任务3 入侵检测系统的部署 活动2 入侵检测设备的配置步骤8 启动和配置管理控制台。(1)启动管理控制台。安装完成后,启动控制台程序出现登录对话框,输入登录信息,“事件收集器”文本框中输入事件收集器EC(本机)的IP地址,该地址为传感器中的“IP of DC_IDS Server”选项中的地址。第一次登录控制台需要使用默认的管理员用户或审计管理员用户名“Admin”,密码也是Admin,默认的用户没有管理权限,只具有用户管理权限。不能配置IDS系统。输入用户名和密码后,单击“登录”按钮,即可进入管理控制台界面。任务3 入侵检测系统的部署 活动2 入侵检测设备的配置(2)创建用户。 在管理控制台界面里选择“用户”工具栏,单击“添加用户”按钮,打开“用户属性配置”对话框。输入用户名和密码“admin”,并赋予所有权限。(3)添加组件。 ① 退出Admin账户登录的控制台,用新创建的账户admin重新登录。 ② 在管理控制台界面的“组件结构树”窗口中,右击“EC”,在快捷菜单中选择“添加组件”命令,打开“添加组件“对话框,选择组件“传感器”,单击“确定”按钮。 ③ 打开的“传感器属性配置”对话框如图。任务3 入侵检测系统的部署 活动2 入侵检测设备的配置其中,“组件名称”栏中输入传感器的名称,如“sensor”;“IP地址”栏中输入传感器的IP地址,该地址与传感器配置中网络配置窗口的“IP Address”选项设置的地址相对应;传感器密钥和传感器默认密钥输入默认密钥“admin”。单击“连接测试”按钮,进行连接测试,测试成功后,单击“确定”按钮。右击新添加的传感器,选择“同步签名” 后再单击“应用策略”按钮,会弹出一个提示命令处理进度的对话框,表明正在应用策略。任务3 入侵检测系统的部署 活动2 入侵检测设备的配置步骤9 安装报表。(1)安装报表服务器。双击安装文件DC_NIDS_Report_Setup.exe,按照安装向导即可完成安装。(2)登录EC。添加报表组件,IP为本机IP地址,组件名称自定义,端口默认,单击“容量检测按钮”容量配置不用填写。单击“确定”按钮。步骤10 登录和查看报表。任务3 入侵检测系统的部署 活动2 入侵检测设备的配置步骤11 对网络进行入侵检测。使用一条直连线将传感器的EM1接口和交换机的目的(镜像)端口连接起来。 以本任务为例,将连接学校内网的交换机的端口Eth0/24连接到传感器的EM1接口,然后将其他接口作为镜像的源端口。在交换机上配置端口镜像的命令如下。(1)配置源端口(即连接其他主机的端口),以神州数码3950为例: DCS-3950(config)#Monitor session 1 source interface Ethernet 0/0/1-23 both(2)配置目的端口(即连接传感器EM1接口的端口):DCS-3950(config)#Monitor session 1 source interface Ethernet 0/0/24 这样,利用管理主机和传感器就可以检测到这些连接到交换机的主机之间的数据通信,并检测到入侵行为了。任务3 入侵检测系统的部署 活动2 入侵检测设备的配置【任务拓展】一、理论题1.什么是IDS?2.神州数码IDS系统由哪些组件组成?二、实训部署神州数码DCNIDS-1800传感器,安装和配置DCNIDS入侵检测系统。 |
|
