当前位置: 首页 > news >正文

下一代防火墙-终端安全防护

news 2025/7/11 6:55:08

实验设备

1、 山石网科(hillstone)系列下一代防火墙(实训平台v1.0中hillstone设备)

2、 三层交换机一台(实训平台v1.0中cisco vios l2设备)

3、 二层交换机一台(实训平台v1.0中cisco iol switch设备)

4、 windows一台 (实训平台v1.0中windows设备)

5、 增加一个网络net:cloud0

实验拓扑图

实验目的

1. 掌握病毒防御策略配置,掌握杀毒支持的场景;

2. 通过NGAF来实现内网终端上网安全,避免PC上网访问恶意网站时下载恶意病毒

而中毒,需要在防火墙上开启杀毒策略,将病毒遏制在网络外部。

实验需求、步骤及配置

1. 内网window主机配置,指定主机ip为192.168.10.1/24,网关为192.168.10.254,dns

114.114.114.114

接入层交换机IOL_SW的配置:

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface e0/0

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Switch(config)#interface e0/1

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

核心/汇聚层交换机vIOS_SW配置

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface g0/0

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

Switch(config-if)#exit

Switch(config)#ip routing 启动路由功能

Switch(config)#interface vlan10

Switch(config-if)#ip address 192.168.10.254 255.255.255.0

Switch(config-if)#no shut

Switch(config)#interface g0/1

Switch(config-if)#no switchport 改为三层接口

Switch(config-if)#no shutdown

Switch(config-if)#ip address 10.1.1.1 255.255.255.252

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为防火墙

接口e0/1 IP

下一代防火墙的配置:

基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。

login: hillstone //用户名和密码都为hillstone

password:

SG-6000# conf

SG-6000(config)# interface e0/0

SG-6000(config-if-eth0/0)# manage http

SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP

接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙:

确保下一代防火墙可上公网,且更新下一代防火墙的病毒特征库:

创建安全区域,下一代防火墙默认已创建多个安全区域,如需自定义区域,可

以如图新建安全区域:

配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等:

配置e0/0接口:修改绑定安全区域为untrust三层安全区域(路由模式)、IP等

为路由模式,配置路由,包括回程路由和缺省路由(通过e0/0接口dhcp

已经获得)

为路由模式,配置源NAT策略(即动态NAT),实现内网上公网需求:

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略

让内网网段可以访问公网,即e0/1 trust区域访问e0/0 untrust区域:

接下来测试内网主机是否可以上公网,如图代表ok:

,使用内网win主机访问http://www.eicar.org

下载病毒文件

发现防火墙没有拦截病毒

配置网关杀毒功能,防范内网主机中病毒,保护内网终端安全:

如果需要支持对HTTPS访问进行安全防护,则需开启ssl代理:

 使用内网win主机访问http://www.eicar.org

发现下载病毒的页面会显示页面错误,并且防火墙的日志发现恶意软件。

http://www.dtcms.com/a/272266.html

相关文章:

  • 普林斯顿大学DPPO机器人学习突破:Diffusion Policy Policy Optimization 全新优化扩散策略
  • Eigen 几何模块深拆:Isometry3d vs Affine3d + 变换矩阵本质详解
  • OSPF协议:核心概念与配置要点解析
  • 虚拟项目[3D物体测量]
  • 从真人到数字分身:3D人脸扫描设备在高校数字人建模教学中的应用
  • 强化学习 MDP
  • Selenium 4 教程:自动化 WebDriver 管理与 Cookie 提取 || 用于解决chromedriver版本不匹配问题
  • 《PyQt6-3D:开启Python 3D开发新世界》
  • Windows Edge 播放 H.265 视频指南
  • OpenAI正准备推出一款搭载人工智能功能的网络浏览器,试图直接挑战Alphabet旗下
  • 前端面试专栏-算法篇:21. 链表、栈、队列的实现与应用
  • NAT技术(网络地址转换)
  • 【实战】使用 ELK 搭建 Spring Boot Docker 容器日志监控系统
  • OSPF实验以及核心原理全解
  • 【SkyWalking】配置告警规则并通过 Webhook 推送钉钉通知
  • HP EVA SAN 数据恢复利器:Data recovery plugin for HP StorageWorks EVA
  • 前端项目集成husky + lint-staged + commitlint
  • Web-Bench:基于web标准和框架的benchmark
  • Fiddler中文版全面评测:功能亮点、使用场景与中文网资源整合指南
  • 什么是强化学习(RL)--2
  • 如何在VMware里的飞牛OS访问主机里面图片文件夹
  • 【运维实战】解决 K8s 节点无法拉取 pause:3.6 镜像导致 API Server 启动失败的问题
  • 【EGSR2025】材质+扩散模型+神经网络相关论文整理随笔(三)
  • 华为昇腾NPU与NVIDIA CUDA生态兼容层开发实录:手写算子自动转换工具链(AST级代码迁移方案)
  • 缓存穿透与击穿多方案对比与实践指南
  • 设计模式的六大设计原则
  • AI问答之手机相机专业拍照模式的主要几个参数解释
  • 【笔记】使用 html 创建网址快捷方式
  • 达梦数据库DMDRS搭建单向dm8-dm8数据同步
  • 【工具教程】批量提取OCR图片中固定文字保存WPS表格,批量OCR识别图像中的文字保存到Excel表格的操作步骤和注意事项