AF基础实验要求
一、 基本部署模式实验
1、路由模式
实验要求:1)按照如上拓扑图搭建模拟实验环境,可简易拓扑环境图
2)配置AF基本的网络配置(路由),测试内网PC可以正常访问公网
3)内网测试PC开启远程访问权限,配置端口映射,测试通过WAN口方向(外网方向)可以远程内网的测试PC
4)在eth1口配置子接口,熟悉子接口配置和应用环境
2、透明模式
实验要求:1)按照如上拓扑图搭建模拟实验环境,可简易实验拓扑图环境图
2)配置AF基本的网络配置(透明),测试内网PC可以正常访问公网
3)当上联路由器lan口为trunk(子接口),下联交换机也为trunk口,在AF配置trunk,掌握该种环境中AF的部署配置
3、旁路镜像模式
实验要求:1)按照如上拓扑图搭建模拟实验环境,可简易实验拓扑图环境图
2)配置AF基本的网络配置(旁路),测试PC(直连eth0)可以正常管理AF设备
3)掌握在该种部署模式下,安全体检策略的配置
二、 内容安全实验(使用如上的路由模式或者透明模式进行实验)
1、配置策略,确保内网pc无法访问www.sina.com.cn
2、配置策略,确保内网pc无法使用某公司客户端看视频
3、配置策略,对内网pc网段192.168.1.0/24进行http杀毒,但是不对www.baidu.com进行杀毒
4、配置策略,对内网pc网段192.168.1.0/24进行木马远控和异常流量控制防护
三、防火墙实验(使用如上的路由模式或者透明模式进行实验)
1、掌握地址转换的配置(源地址、目的地址、双向地址和DNS Mapping)
2、针对去往目的地址202.96.209.5的流量,限制单IP最大并发连接数为50
3、针对内网pc网段192.168.1.0/24开启DDOS防护,保持默认参数配置
4、AF每秒进行20次广播自己的网关MAC地址
四、IPS实验(使用如上的路由模式或者透明模式进行实验)
1、针对内网服务器网段192.168.2.0/24开启IPS防护策略,阻断蠕虫攻击、后门漏洞攻击和ftp漏洞攻击
2、针对内网客户端网段192.168.1.0/24开启IPS防护策略,阻断邮件漏洞攻击、系统漏洞攻击和木马攻击
3、优先防护后端应用服务器,开启联动封锁,针对发起攻击的源IP封锁时间为20分钟
五、服务器保护实验(使用如上的路由模式或者透明模式进行实验)
1、针对内网web服务器192.168.1.1(端口80和8080)和内网数据库服务器192.168.1.2(端口1500)开启XSS攻击和webshell攻击防护
2、隐藏内网http服务器192.168.1.1的版本信息
3、针对内网ftp服务器192.168.1.3开启防暴力破解,爆破阀值12次/分钟
4、针对内网http服务器192.168.1.1开启防扫描,冻结攻击IP时间为120s,每秒20次攻击频率
5、针对内网pc网段192.168.1.0/24开启文件过滤,不允许上传php和asp类型的文件,同时也不允许下载java、ldb类型的文件
6、不允许公网任何地址访问www.test.com网站,针对内网ftp服务器192.168.1.3开启弱口令防护,保持默认策略,不允许使用123456的弱密码
7、针对内网服务器网段192.168.2.0/24开启实施漏洞分析功能
六、流控策略(公网电信出口24Mbps)
1、针对内网服务器网段192.168.2.0/24开启带宽保证策略,总带宽不低于1MB/s
2、针对内网PC网段192.168.1.0/24开启带宽限制策略,总带宽不高于2.5MB/s,单IP限制为500KB/s
3、针对所有的P2P流量、视频流量和下载工具开启带宽限制策略,单IP限制速率不超过300KB/s
4、针对所有流控策略,优先限制P2P、下载和视频流量,其次保证服务器的带宽需求
七、维护与故障排查
1、熟悉软件bypass和硬件bypass功能
2、熟悉设备几种恢复出厂配置的方式包括恢复密码
3、熟悉配置邮件服务器和全部排除的用法
4、掌握AF高可用性的配置和部署场景
5、熟悉内置数据中心和外置数据中心的配置使用方法,以及相关的配置和安装
| 
发表于 2015-3-13 09:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
