使用统一安全网关实现入侵防御
【实验名称】
使用统一安全网关实现入侵防御
【实验目的】
利用USG(统一安全网关)的入侵防御(IPS)功能,检测并阻止网络攻击
【背景描述】
写运动会的作文某公司使用USG作为网络出口设备连接到Internet,并且公司内部有一台对外提供服务的Web服务器。最近网络管理员发现Internet中有人向Web服务器发起攻击,影响了服务器的正常运行。公司希望阻止达到服务器的入侵。
【需求分析】
齐桓公伐楚要防止来自外部网络的攻击,可以使用USG的入侵防御功能。
【实验拓扑】
【实验设备】
USG 1台
Windows 2000 Server 1台(未安装Service Packet,模拟被攻击机,并且安装IIS 服务)
缓冲区溢出攻击工具
IIS攻击工具
【预备知识】
网络基础知识
276
USG操作基础知识
【实验原理】
USG的入侵防御(IPS)功能可以对大量的入侵攻击进行检测和阻断。当USG发现数
据流中存在恶意代码,或者具有攻击特征时,会对攻击进行报警,并采取相应的阻断措施。
【实验步骤】
进入USG的配置页面:网络设置—>接口。
点击eth0接口的“编辑”图标,为eth0接口配置IP地址及子网掩码。
277
点击eth1接口的“编辑”图标,为eth1接口配置IP地址及子网掩码。
笔记本电脑无线上网设置大病救助接口配置IP地址后的状态。
第二步:配置静态NAT转换
为了使Internet中的用户可以访问到内部的FTP服务器,需要在USG上配置静态NAT 转换,将服务器发布到Internet中。
进入USG配置页面:网络设置—>NAT,选择“静态地址转换”选项。
赵丽颖霍建华
点击<;新建>按钮创建静态地址转换规则。规则中的“外部地址”为服务器对外发布的地址;“内部地址”为服务器实际的内部地址;“外部接口”为连接Internet的eth1接口。
278
第三步:配置安全防护表
进入USG配置页面:防火墙—>安全策略。选择“安全防护表”选项卡。
点击<;新建>按钮创建安全防护表。为安全防护表配置名称,选择并展开“入侵防御”
选项,选择“All”事件集,表示USG将为流量匹配所有的事件(特征)。然后选择并展开
“日志”选项,选择本地日志中的“入侵防御”选项,记录本地日志。
279
第四步:配置安全策略
王佩瑜的资料首先进入USG配置页面:对象管理—>地址对象。配置包含内部服务器的地址对象。
点击<;新建>按钮创建地址对象,地址为服务器的内部地址192.168.1.10。
进入USG配置页面:防火墙—>安全策略。配置允许外部访问内部服务器的安全策略。
点击<;新建>按钮创建安全策略。安全策略中源接口为eth1接口;源地址为“any”地址对象;目的接口为eth0接口;目的地址为“Server”地址对象;服务为“any”服务对象;
时间表为“always”地址对象,代表任何时间;动作为“PERMIT”允许;“安全防护”选
择刚刚创建的安全防护表“IPS”。
280
发布评论