当前位置: 首页 > news >正文

下一代防火墙-终端安全防护

news 2025/7/14 17:41:17

实验设备

1、 山石网科(hillstone)系列下一代防火墙(实训平台v1.0中hillstone设备)

2、 三层交换机一台(实训平台v1.0中cisco vios l2设备)

3、 二层交换机一台(实训平台v1.0中cisco iol switch设备)

4、 windows一台 (实训平台v1.0中windows设备)

5、 增加一个网络net:cloud0

实验拓扑图

实验目的

1. 掌握病毒防御策略配置,掌握杀毒支持的场景;

2. 通过NGAF来实现内网终端上网安全,避免PC上网访问恶意网站时下载恶意病毒

而中毒,需要在防火墙上开启杀毒策略,将病毒遏制在网络外部。

实验需求、步骤及配置

1. 内网window主机配置,指定主机ip为192.168.10.1/24,网关为192.168.10.254,dns

114.114.114.114

接入层交换机IOL_SW的配置:

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface e0/0

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Switch(config)#interface e0/1

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

核心/汇聚层交换机vIOS_SW配置

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface g0/0

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

Switch(config-if)#exit

Switch(config)#ip routing 启动路由功能

Switch(config)#interface vlan10

Switch(config-if)#ip address 192.168.10.254 255.255.255.0

Switch(config-if)#no shut

Switch(config)#interface g0/1

Switch(config-if)#no switchport 改为三层接口

Switch(config-if)#no shutdown

Switch(config-if)#ip address 10.1.1.1 255.255.255.252

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为防火墙

接口e0/1 IP

下一代防火墙的配置:

基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。

login: hillstone //用户名和密码都为hillstone

password:

SG-6000# conf

SG-6000(config)# interface e0/0

SG-6000(config-if-eth0/0)# manage http

SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP

接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙:

确保下一代防火墙可上公网,且更新下一代防火墙的病毒特征库:

创建安全区域,下一代防火墙默认已创建多个安全区域,如需自定义区域,可

以如图新建安全区域:

配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等:

配置e0/0接口:修改绑定安全区域为untrust三层安全区域(路由模式)、IP等

为路由模式,配置路由,包括回程路由和缺省路由(通过e0/0接口dhcp

已经获得)

为路由模式,配置源NAT策略(即动态NAT),实现内网上公网需求:

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略

让内网网段可以访问公网,即e0/1 trust区域访问e0/0 untrust区域:

接下来测试内网主机是否可以上公网,如图代表ok:

,使用内网win主机访问http://www.eicar.org

下载病毒文件

发现防火墙没有拦截病毒

配置网关杀毒功能,防范内网主机中病毒,保护内网终端安全:

如果需要支持对HTTPS访问进行安全防护,则需开启ssl代理:

 使用内网win主机访问http://www.eicar.org

发现下载病毒的页面会显示页面错误,并且防火墙的日志发现恶意软件。

http://www.lryc.cn/news/584740.html

相关文章:

  • 【数据结构】顺序表(sequential list)
  • Python3邮件发送全指南:文本、HTML与附件
  • 力扣61.旋转链表
  • 【会员专享数据】2013-2024年我国省市县三级逐日SO₂数值数据(Shp/Excel格式)
  • 【Linux基础命令使用】VIM编辑器的使用
  • WinUI3入门17:本地文件存储LocalApplicationData在哪里
  • 企业数据开发治理平台选型:13款系统优劣对比
  • Building Bridges(搭建桥梁)
  • HVV注意事项(个人总结 非技术)
  • 在VMware中安装虚拟机
  • 数据结构 --- 队列
  • XCZU47DR-2FFVG1517I Xilinx FPGA AMD ZynqUltraScale+ RFSoC
  • 超声波刻刀适用于一些对切割精度要求高、材料厚度较薄或质地较软的场景,典型应用场景如下:
  • 测试开发和后端开发到底怎么选?
  • UGF开发记录_3_使用Python一键转换Excle表格为Txt文本
  • 穿梭时空的智慧向导:Deepoc具身智能如何赋予导览机器人“人情味”
  • Qt中处理多个同类型对象共享槽函数应用
  • 广州华锐互动在各领域打造的 VR 成功案例展示​
  • pycharm无法识别pip安装的包
  • 【佳易王中药材划价软件】:让中药在线管理高效化、复制文本即可识别金额自动计算#中药房管理工具#快速划价系统#库存与账单一体化解决方案,软件程序操作教程详解
  • 多线程 JAVA
  • MySQL索引操作全指南:创建、查看、优化
  • H5微应用四端调试工具—网页版:深入解析与使用指南
  • 7月10号总结 (1)
  • C++ Lambda 表达式详解
  • 数据结构 顺序表(1)
  • linux-MySQL的安装
  • [数据结构与算法] 优先队列 | 最小堆 C++
  • 7-语言模型
  • 数据仓库:企业数据管理的核心枢纽