实验设备

1、 山石网科(hillstone)系列下一代防火墙(实训平台v1.0中hillstone设备)

2、 三层交换机一台(实训平台v1.0中cisco vios l2设备)

3、 二层交换机一台(实训平台v1.0中cisco iol switch设备)

4、 windows一台 (实训平台v1.0中windows设备)

5、 增加一个网络net:cloud0

实验拓扑图

实验目的

1. 掌握病毒防御策略配置,掌握杀毒支持的场景;

2. 通过NGAF来实现内网终端上网安全,避免PC上网访问恶意网站时下载恶意病毒

而中毒,需要在防火墙上开启杀毒策略,将病毒遏制在网络外部。

实验需求、步骤及配置

1. 内网window主机配置,指定主机ip为192.168.10.1/24,网关为192.168.10.254,dns

114.114.114.114

接入层交换机IOL_SW的配置:

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface e0/0

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Switch(config)#interface e0/1

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

核心/汇聚层交换机vIOS_SW配置

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface g0/0

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

Switch(config-if)#exit

Switch(config)#ip routing 启动路由功能

Switch(config)#interface vlan10

Switch(config-if)#ip address 192.168.10.254 255.255.255.0

Switch(config-if)#no shut

Switch(config)#interface g0/1

Switch(config-if)#no switchport 改为三层接口

Switch(config-if)#no shutdown

Switch(config-if)#ip address 10.1.1.1 255.255.255.252

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为防火墙

接口e0/1 IP

下一代防火墙的配置:

基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。

login: hillstone //用户名和密码都为hillstone

password:

SG-6000# conf

SG-6000(config)# interface e0/0

SG-6000(config-if-eth0/0)# manage http

SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP

接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙:

确保下一代防火墙可上公网,且更新下一代防火墙的病毒特征库:

创建安全区域,下一代防火墙默认已创建多个安全区域,如需自定义区域,可

以如图新建安全区域:

配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等:

配置e0/0接口:修改绑定安全区域为untrust三层安全区域(路由模式)、IP等

为路由模式,配置路由,包括回程路由和缺省路由(通过e0/0接口dhcp

已经获得)

为路由模式,配置源NAT策略(即动态NAT),实现内网上公网需求:

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略

让内网网段可以访问公网,即e0/1 trust区域访问e0/0 untrust区域:

接下来测试内网主机是否可以上公网,如图代表ok:

,使用内网win主机访问http://www.eicar.org

下载病毒文件

发现防火墙没有拦截病毒

配置网关杀毒功能,防范内网主机中病毒,保护内网终端安全:

如果需要支持对HTTPS访问进行安全防护,则需开启ssl代理:

 使用内网win主机访问http://www.eicar.org

发现下载病毒的页面会显示页面错误,并且防火墙的日志发现恶意软件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.pswp.cn/diannao/90500.shtml
繁体地址,请注明出处:http://hk.pswp.cn/diannao/90500.shtml
英文地址,请注明出处:http://en.pswp.cn/diannao/90500.shtml

如若内容造成侵权/违法违规/事实不符,请联系英文站点网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Scala实现网页数据采集示例

Scala 可以轻松实现简单的数据采集任务,结合 Akka HTTP(高效HTTP客户端)和 Jsoup(HTML解析库)是常见方案。Scala因为受众比较少,而且随着这两年python的热门语言,更让Scala不为人知,…

【IO复用】五种IO模型

文章目录五种IO模型Linux设计哲学BIONIOAIOSIOIO多路复用五种IO模型 Linux设计哲学 在linux系统中,实际上所有的I/O设备都被抽象为了文件这个概念,一切皆文件,磁盘、网络数据、终端,甚至进程间通信工具管道pipe等都被当做文件对…

FeatherScan v4.0 – 适用于Linux的全自动内网信息收集工具

前言 在平时渗透打靶的时候,经常要自己手工输入命令,做各种基本的信息收集,非常的繁琐,所以自研了一款工具,这款工具没有接入AI,因为不合适,接入了AI的话在一些不能上网的环境下进行信息收集&a…

如何精准筛选优质SEO服务资源?

核心要点: 中小企业选择SEO服务常陷困惑——效果难量化、承诺不透明、策略模糊化。本文剖析核心痛点,拆解技术合规性、策略透明度、行业经验匹配度等关键筛选维度,提供一套清晰的评估路径,助您在复杂市场中找到真正专业的合作伙伴…

在教育领域中,如何通过用户ID跑马灯来对视频进行加密?

文章目录前言一、什么是用户跑马灯二、用代码如何实现用户ID跑马灯的功能三、如何通过用户ID跑马灯来对视频进行加密?总结前言 在教育领域,优质视频课程易遭非法传播。为强化版权保护与责任追溯,引入基于用户ID的跑马灯水印技术成为有效手段…

MCP协议:AI时代的“万能插座”如何重构IT生态与未来

MCP协议:AI时代的“万能插座”如何重构IT生态与未来 在人工智能技术爆炸式发展的浪潮中,一个名为Model Context Protocol(MCP) 的技术协议正以惊人的速度重塑IT行业的底层逻辑。2024年11月由Anthropic首次发布,MCP在短…

同步,异步复位问题

1.同步复位的基本原理是,复位信号仅在时钟的有效边沿影响或重置触发器的状态。复位的主要目标之一是使 ASIC 在仿真时进入已知状态。由于复位树的扇出较大,复位信号相对于时钟周期可能成为 “晚到信号”。即使复位信号会通过复位缓冲树进行缓冲&#xff…

数组和指针回顾,练习与解析

代码见:登录 - Gitee.com 1.数组和指针练习与解析 1.1数组名 1.sizeof(数组名),这里的数组名表示整个数组,计算的是整个数组的大小。 2.&数组名,这里的数组名表示整个数组,取出的是整个数组的地址。 3.除此之…

【牛客刷题】活动安排

文章目录一、题目介绍二、解题思路2.1 核心问题2.2 贪心策略2.3 正确性证明三、算法分析3.1 为什么按结束时间排序?3.2 复杂度分析3.3 算法流程图解3.3.1 流程图说明3.3.2 关键步骤说明四、模拟演练五、完整代码一、题目介绍 活动安排 题目描述 给定 nnn 个活动&am…

第1讲:C语言常见概念

目录 一、什么是C语言? 二、C语言的历史与成就 三、编译器选择(VS2022) 1、编译与链接 2、编译器对比 3、VS2022的优缺点 四、VS项目与源文件、头文件介绍 五、第一个C语言程序 六、main函数 七、printf和库函数 八、关键字介绍 …

WinUI3入门18:从APP打开商店链接以及实现内购

初级代码游戏的专栏介绍与文章目录-CSDN博客 我的github:codetoys,所有代码都将会位于ctfc库中。已经放入库中我会指出在库中的位置。 这些代码大部分以Linux为目标但部分代码是纯C的,可以在任何平台上使用。 源码指引:github源…

BI布局拖拽 (1) 深入react-gird-layout源码

因为有个拖拉拽的需求,类似于quickBi那样的效果。在网上调研了一下发现react-grid-layout实现效果类似,但其也有局限性,比如不支持嵌套,不支持在多个gridLyaout之间互相拖拽。 要求:基于react-grid-layout的思路&#…

CentOS环境搭建-快速升级G++版本

在CentOS环境中快速升级G编译器版本,对于追求最新语言特性的开发者来说至关重要。由于CentOS默认的软件仓库可能不提供G的最新版本,我们通常需要借助第三方软件源,如Developer Toolset或使用Spack等包管理器来完成这一任务。下面将详细介绍两…

分布式接口幂等性的演进和最佳实践,含springBoot 实现(Java版本)

一、背景:为什么需要幂等性 在微服务、分布式架构下,网络不可靠、请求重试机制(如前端超时重发、客户端重发、网关重试、消息消费失败重试等)会带来重复请求,如果接口没有幂等性,可能导致: 重复…

OGRE 3D----6. 背景图片渲染实现详解

1. 背景图片渲染原理 1.1 渲染队列机制 Ogre3D 使用渲染队列(Render Queue)来控制对象的渲染顺序。背景图片需要在所有其他对象之前渲染,因此我们将其设置为 RENDER_QUEUE_BACKGROUND。 1.2 视图变换控制 为了让背景图片始终保持在场景的最远处,我们需要: 使用单位投影…

K线连续涨跌统计与分析工具

K线连续涨跌统计与分析工具 1. 概述 本工具是一个用于分析金融时间序列数据(特别是K线数据)的Python脚本,主要功能是统计连续n根同方向K线后,第n+1根K线的涨跌情况。该工具不仅提供统计分析功能,还支持图形化标记以验证结果,帮助交易者和量化分析师识别市场中的特定模式…

jQuery EasyUI 简介

jQuery EasyUI 简介 引言 随着互联网技术的飞速发展,前端开发变得越来越重要。jQuery EasyUI 作为一款流行的前端UI框架,极大地简化了前端开发的工作流程,提高了开发效率。本文将详细介绍 jQuery EasyUI 的起源、特点、使用方法以及在实际项目中的应用。 一、jQuery Easy…

《测试开发:从技术角度提升测试效率与质量》

测试开发的核心工作内容与职责解析 一、测试开发的定位与核心价值 测试开发(Test Development,简称 TestDev 或 SDET)是融合软件开发能力与测试工程思维的复合型岗位,不同于传统测试工程师,其核心目标是通过技术手段提…

20250710解决KickPi的K7开发板刷机之后出现DDR异常:ch:1 dq0 fail,write:0x1,read:0x20300

20250710解决KickPi的K7开发板刷机之后出现DDR异常:ch:1 dq0 fail,write:0x1,read:0x20300 2025/7/10 20:36[BEGIN] 2025/7/10 19:29:03 /DDR 2f85f4b2d4 cym 25/03/04-14:38.55,fwver: v1.09 In ch0 ttot10 ch0 ttot10 ch1 ttot10 ch0 ttot18 LPDDR4, 2112MHz chan…

Ansible:强大的自动部署工具

文章目录零、Ansible介绍一、安装 ansible二、配置SSH密钥1.检查密钥是否存在2.两边的机器要互相有对方的密钥三、自动部署1.传输文件(1)inventory.ini(2)sync_blt.yml(3)执行命令2.安装软件(1)inventory.ini(2)install_efvs.yml(3)执行命令零、Ansible介绍 Ansible 是一个开源…