《《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx》由会员分享,可在线阅读,更多相关《《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx(65页珍藏版)》请在课桌文档上搜索。
1、实验1AC的路由模式部署【实验目的】理解深信服上网行为管理设备(下面简称AC),作为公司网关部署的过程与原理.【实验原理】AC作为网关部署在公司互联同出口,其原理与传统路由需一诙。主要作用完成用户的SNAT上网工作,以及从外向内访问服务器的DNAT工作.本实脸,我们主要讲述SMT的部署过程.【实验场景】某大型集出公司,其集团总部为了管理公司内部PC上网,计划使用AC来代音传统路由器,解决用户上网认证、网速管理、口忐审计等问逝,本实裟是部为AC的第一步场景.【实险拓扑】如图11所示.为本实验拓扑结构.:三A3411rWHIq色HWFMeD-不实上不雷要24,XXC0S1.MRC的路由模式部署柘扑
2、图【实险设备】1、总部AC,作总部出口网关使用2.微软域控,作为总部的服务器.本实验中主要作用为WEB服务零.理解为集团公E网站.3、PC1.普通办公PC.员,办公使用,需要连接互联网4,Intemet-WEBServer,互联网上的WEB服务涔,理解为类似sina,badu等站点.【环境预配】【环境预配】.是指已经【实验场景】的闻也边界.实验环境中,非深怕服设备,不需要学员IES1.如交换机、路由器、PC服务器.实验环境中,深信服设品,需要学员按实验拓扑】说明进行配置.实脸环境中,配置基本道箭上述两条原则,少数实脸例外.例外过程,在【实步骤】中说明.【实验步骤】一、配置总部AC的网络(操作对
3、象:总部AC)1.1 如图卜2所示,开始配置网络图1-2AC部密模式1.2 如图1-3所示,选择路由模式|r1.图1.3ACyS由部署模式1.3 根据拓扑图,配置网卡,如图14所示,其中ETHI为1.AN口,即办公区ETH2为。MZ口,即服务器区ETH3为WANC1.,即互联网区图IT路由模式接口1.4 如图16所示,配词ETH1,ETH1.接办公区,IP培址参照拓扑图配汽图1-51.AN口配置1.5如图1.6所示,配81ETH3ETH3接互联区,IP地址参照拓扑图配置图1-6WAN口配置1.6如图17所示,配置ETH2ETH2按DMZ区,即服务器区.P地址参照拓扑图配置图1-7DMZ接口配1
4、.7如图卜8所示,配置代理上网这里配置代理办公网段上网,办公网网段为192.168.1.0/24图1-8NAT配管1.8如图卜9所示,检杳无误后提交打开桌面上浏览器访何Internet-WEB,即124.126.2.2OW三RBtt)1.-nAD域测试效果发现无法访问,因为在AC中仅做了办公网段的代理上网,而没有做眼务等网段代理上网.四、查看Pa能否访科域控制器上的WEB页面(操作对象:PCD如图1-12所示,打开PC1.条面上的浏览涔.访问微软域控的WEB,即172.16.0.100三1-2AD域修改后测试效果可以访问,因为PCI与微软域控,向在内网,路由宜接可达.【实验总结】通过本实验,理
5、耨AC的网关部署原理,和传统路由涔作网关像理一致.AC所谓的“代理上网”理解为SXAT,即源地址转换.图2H接口选择1.4如图2-5所示,配置ETH1.ETHI接办公区,IP地址参照拓扑图配置图2-51.AN口配置1.5如图2-6所示,配置ETH3ETH3接互联网区,IP地址参照拓扑图配置!虹.nwddrssstohostZmttHhWTO-cwtnanndMdua1.kw.TheIPaddreushou1.d口3Mumnfo1.1.owedbythecorrepdinghostnameTheaddressandthehonamesboddbeseparatedbyJt1.eastonespa
6、ce.MdrtomiyCorrwnerrti(JMChnthese)maybinsertedonind汕d3orfo1.b*1n9themchC4hortnmereio/ufconehndiedwithinDNSrtsdf127.0Q1.IOCahOStNKa)MDWO)(Y)叫M)聊Copyright(C)19932009MicrosoftCorp.*“Thisisasamp1.eHOSTSfi1.eusedbyMicrosoftTCP/IPforWindows.* Thisfi1.econtainsthemappingsofIPaddressestohostnamesEach* entry
7、shou1.dbekeptonanindividua1.1.ine.TheIPaddressshou1.d* bep1.acedinthefirstco1.umnfo1.1.owedbythecorrespondinghostname.* TheIPaddressandthehostnameshou1.dbeseparatedbyat1.eastone停space,* Additiona1.1.y,comments(suchasthese)maybeinsertedonindividua1.#1.inesorfo1.1.owingthemachinenamedenotedbya,”接口/区域,
8、在物理接口标签页下配NETH1、ETH2、ETH3三个接口的网络参数:“应用控制策略“,在策略配置标锭页下新增1条策珞,允许办公区访问DMZ区:Th区陇:n:目的区域:地址:服多/应用:。率用。拒他生效康件ifi状宓:动作诩项:生效时徇:*级选!:jKWFtttWriWIgIIIR洒JB1.K17应用控制第BS动作配置如图818所示,该应用控制策略配词完成后,办公区的所有终然均可正常访问DMZ区的服务器,三、在服务器安全防护策略配置之前,尝试利用办公区PeI对总部网站进行S2O45漏洞检祗(操作对如PCD在PC1.上开启powershe1.1.或Cmd钻人以下命令,利用python脚本s2-O
9、45.py检测总部网站是否存在$2-045漏洞:CdC:UsersAdministratorDesktoptoo1.esPOC进入python脚本s2O45.py所在的目录pythons2-045.py-h查看s2-O4S.pyH-J帮助文档pythons2-045.py-uhttp:172.16.0.101:8888YheCk利用s2-O45.py检测总部网站是否存在s2-O45检测结果:如图8T9所示,总部网站的服务器(172.16Q.10D存在S2Q45漏洞.戛础防at(全场最适用)口渊河攻击防护Cidsy动作:。允许O内容安全(SAVE安全智能文件检测)St认HS板_业当保护场HF耳湾
10、:。允询一拒由增强动畿(业务保沪场景适用)OWEB应用防沪默-II71,一:.1制防I司动作:O允许柜维O网站防改需要网站管理员由Ig芬3S中安找UnUXfW改客户端或W1.ndOwS防改1户端,客户端将防止配用I&文件系统.上一I下一叫当图$25或务安全防护策略防御配置如图8-26所示,“检测响应”项:仅勾选响应处的“记录日志选项设置完成后点击“捅定J所业务防护MIRS楸规-i*ap检测S应检测(全场Bua用)O*尸网珞默认横忸动作:内的质西。在ONS眼鸟at:o?n内用DNS1.1.iXNnP岫地:在,h人亲个IPttUh1.11=z0山(全场BtIa用)联叨剂tT血.B3i石热日总三X-
11、26业务安全防护策略检测响应配置如图8-27所示,安全防护策略”服务器漏洞攻击防护”配置完成后的结果:困仇3路由模式选择1.3如图94所示,根据拓扑图.配置网卡.其中ETH2为DMZ即股务器区ETH3为WAN口,接互联网图64区域及接口送样1.4METHO,如图95所示,本实脸没用ETHO,所以跳过此步1.7配置代理上网,如图9-8所示,这里配置代理办公网段上网,(本实验因为不能用到办公网,所以此步在本实验中没有作用)图98NAT配管1.8如图99所示,检杳无误后提交图415分支设各DMZ口配置2.7 如图9-16所示,NATSANCMM,;,”图9.16分支设备NT配置2.8 如图917所示
12、,检育配置并确认提交1419-19模式配置生效四、配置总部的SS1.VPN设招的IPSECVPN(操作对象:总部SS1.VPN)4.1如图9-20所示.新增IPSECVPN阶段-配置图9m新增坛准IPSccVPN第一阶段配置4.2配置阶段一.如图9-21所示.配置对端IP与攸共享密钥三923高板选项内容配置别忘了下拉点击确定.如图+24所示,配置完成后,阶段一如下图.旗VPN双方的一致件三二二三图9-24标准IPSecVPN第一阶段配置结果4.3配置阶段二如图925所示,新增入站策略图9-31出站网段及安全选项到此VPN配置完成,但毡总部与分支VPN仍然不通,有几个原因:1、需要保障双方VPN
13、设密与端口能互通,2、需要保证路由条目可达。这两个问卷都通过总部AC的配置来斛决六、配置总部AC,耨决SS1.VPN到公网的映射操作对象:总部AC)6.1新建DNAT规则如图9-32所示,IPSECVPN使用UDP500和4500,这里新建两条DNAT规则,新建Wp4500DNAT映射图532IPSevPN相关3口映鸵4500图238WEB页面访问好证【实验总结】本实3金,我In通过配置IPSECVPN的阶段一与阶段二,进一步理解的IPSECYPN的原理.BIU-26连接管理基本配置6.3如图1O27所示,确定保存配量(非常一要)10-27保存连接筲理配置七、配两总部AC,解袂路由问SS,(操
14、作对象:总部AC)因为SSIVPN使用单忖部詈,需要告诉内网其他设的,通往分支机构192.16820/24的路出,指向SS1.VPN7.1如图1328所示.配置静态路由1.如图11-2所示,进入到EDR设备的捽制台11-2进入命令控制台2.如图11-3所示,笠录用台,用户名为root密码为edrsangfor图3登录管理账号3.如图114所示,通过Vi命令,编HtN络的配置文件ifcfgETHO图I1.2】扫描提醒2.S如图1122所示.上述操作完成后,等待扫描结果即可,如图所示,为扫描出来的结果,即此网段中,未安袋客户端的终端.图11-22检测结黑三、UnUX客户安装(操作对象;内网应用服务
15、器)EDR客户端支持多类操作系铳.包括Mnux、windows,mac.本实验中只涉及Iin1.JX和WindoWS系统,首先针对IinUX的系统的客户端进行安装.IinuX客户端安装有两种方式,种为使用命令行部署,一种是通过安装包部署.命令行方式,需要保砥客户掰和服务端网络连通.本实脸中我的使用软件包安装方式。3.1如图11-23所示,软件安装包1.1.经存放在终端上,名称为HnUXedrinsta1.1.er.tar.gz“目录位置为/root.ff1.11-37忽略列表六、windows客户端安装(操作对象:AD域服务器和内MPC1.)获取客户端.需要在终端匕打开浏览器.访问https:
16、/172.16Q.102,输入用户名密码,进入控制台.进行客户端下驶.6.1 如图11-38所示,Windows操作系统的EDR客户端安装方式为通过安装包安装,安装包分为普通安装包和峥!我安装包两类,本实粉中,我们使用普通安装包进行安装“在系统管理终端部署-Windows下选择普通的安装包,并点击下载安装包.图I138WindOW客户端下我6.2 如图I1.39所示.下载完成后,生成的文件格式为exe直接点击打开即可开始进行安装.本操作我们在实验的内网PC机O1.上进行,实验12EDR客户端的基本策略和客户端卸载【实验目的】掌握EDR在不同类型操作系统上的卸我步骤,能终通过服务端策略实现对终战
17、上EDR的权本控制功能。【实验原理】EDR是终端安全工具,包括3个部分,分别是云端、管理端和客户端,客户端安装在终端系统上,用于实现具体的任务,管理端用于实现(E分的下发和终端的管理,云雨提供更加生的分析功能和规则摩等的更新功能。木实验,主要内容为客户端的却数,以及针对客户端的退出和卸我的一些控制策略.【实验场景】用户内网已经部署了EDR,并且在终端上进行了客户端的安装,需要通过EDR对用户的资产信息进行统计收集,并限制EDR的退出和卸我,【实险拓扑】如图121所示.为本实验拓扑结构.S1SJS图12-1实验12柘扑【实验设备】1、微软AD域.用于做EDR是终湘验证使用2、总部网站01,用于做
18、EDR是终端蛤证使用3、内网PC1.用于做EDR是终端验证使用4、总部EDR.作为实验的EDR服务崩.5、总部AFoA作为网关转发设备使用。【环境预配】【环境预配】是指已经【实验场景】的配置边界.实物环境中,非深信服设备,不需要学员配置.如交换机、路由器、PJ服务器.实验环境中,深信服设法,需要学员按【实验拓扑】说明进行配置实险环境中,配置基本遵循上述两条原则,少数实验例外.例外过程,在【实险步腺】中说明.【前置条件】EDR无法通过控制台直接跳转WEB管理界面,需要通过内向刈试PC1.的浏览涔进行访问,访问前需要先通过拄制台功能,迸入到设备后分配词地址和网关(此掾作适用于公平台环境,如为物理环
19、境图127笫强愿卡4.如图12-5和图12-6所示,壬置IP地址和网关地址,将默认的地址10.251.251.251调整为172.16Q.102.撞码24位,网关为172.16.0.1图I”配置地址(812-6地址配置结果5.如图12-7所示,执行保存退出图137退出并保存6.如图12-8所示,Jg启网络靡务FerYChrtrt1.rtsUrt*Unrtnrfcr1.zrwtJ图I28重启服务【实验步骤】一、防火堵网络接口和区域配置(操作对四:总部AFOD1.1如图12-9所示,配词防火埠,新增DMZ区域,用于连接服务器区,点击网络-接口/区域-区域,在此菜单F点击新埴,It12-11新港1.
20、AN区1.3 如图12T2所示,进入到接口/区域物理接口,点击ETH2接口,进入到编辑界面,It)12-12配置接口1.4 如图12T3所示,配置接口类型为路由,所属区域为DMZ区,配宜IPt172.16.0.1/255.255.255.0.点击确定“图12-BKrH2口配置1.5如图12-14所示.进入到接口/区域物刊!接口,点击ETH1.接口,进入到人到界面。图1214揭铤ETH1.接口1.6如图12T5所示,配置接口类型为路由,所属区域为1.AN区,配置IP地址为192.168.1.1/255.255.255.0.点击确定.图I2I9自动分姐三、针对分组配置基本策略(操作对望:总部EDR
21、)3.1 进入到终端管理-策略中心-选择办公用户组-基本策略部分,即可进入到办公用户组的的基本策略汽混,羯木策略鼠徨只能针对W1.ndoWS操作系统生效,具体配巴内容如下:勾选开启终端资产信息登记:勾选后,在终端完成客户端的安装后,会弹窗提示进行资产信息录入,用于方便实现管理员的管理和资产登记.此部分可以设置需要登记完善的信息.在实5金中,办公用户的选择了贡任人、资产名称、手机.如图12-20所示,勾选开启终蛤传看管理员联系方式:勾选后需要输入管理员的信息,此管理员信息在配置后,可以在客户蛤进行查闻,若不启用,则客户玷无法杳看到具体的管理员信息.勾选开启终端弹窗提醒免打扰模式:勾选后出现各类提
22、醒时,不会出现弹窗.会记录在H志中,否则会弹出窗11产生相关提醒.勾选开启终端防退出宙码保护:勾选后,客户跳退出衢要密码,勾选开启终给防卸或带码保护:勾选后,客户端卸成35要密码.图1320基本策格配置3.2 如图12-21所示,其他部分的配置保持默认,然后点击保存.进行配置保存和生效.图I221.策略保存3.3 如图1222所示,服务渊组的基本策略部分与办公用户组基本类似,但是也存在不同.不同点在于终端资产信息的内容和管理员的信息,此部分根据实验,自行选择.IB12-22个人信息登记34如图12-23所示,剩余配置保持默认,点击保存,nuvr一,四内MWeb应用服务涔的,Iinux系统的客户
23、端安装.(操作对象:内网应用服务器)4.1 EDR客户端支持多类操作系统,包括1.inu,windows,mac.本实验中只涉及Iinux和WindoWS系统,首先针对IinUX的系统的客户端进行安装,I1.nux客户端安装有两种方式,一种为使用命令行部钟,一种是通过安装包部署,命令行方式,需要保障客户裁和服务端网络连通,本实脸中我的使用软件包安装方式.如图式24所示.软件安装包已经存放在终端卜.名称为IinUXedrinSta1.1.er.tar.gz.目录位置为/root.1.9.xiprUstznvfihi4zat!izur-1My1.F_SIWUIUrUr.ycM1.IaM”Ioc41
24、.kmt./c4zrwtzInr1.kmt-1.qr*tMcta1.1.er.b1.n*w11wi-kqr*t2IwUI1rKk-JM1I4ZUIIocA1.inN:-Btt)12-24Imin客户安装包4.2 如图12-25所示,安装包为压缩格式,安装前需要对压缩包进行解压操作,执行命令为tar-2vfIinuxedrinsta1.1.entangz.解压缩安装包,解JK完后,会产生多个文件.1.oc1.hM:/c41.oca1.1.mt:*1.4vett(jMUI1.cr.b1.nAMCoOe-U.cfgimftjIA281611.2UrUmiiedrIMU1.IerUrvcO*40Ci1
25、.-iMUUcr.kUH.9Jui1U119.aU._cic1.J*Ua.ccIuce1.hMt1.r*viIImuerimt41.cr.Ur.fXtfe1.ia1.1.AtVr.H-i-IMMkjerifu.1.trv4tb.1.it*fptc32.iafup4atnM.i1.cm12-25客户常解压4.3 如图12-26所示,在解压出的文件中,包含名称为agentinsta1.1.er.sh的文件,通过执行命令对此文件进行安奘.命令方式为.Zagentinsta1.1.ersh等待安装完成即可.Iucatkuit:/cdoq11.4*1.:B1.x49rat.1.mU1.1.er.1.mn
26、m41e-I.crgIFSZB_hIIMtXh1.1Z.trI1.vu,Mr.MUUnrUr.9xBI1.IMPZ9pM_1.mt41.er.sh*E5Z.O.Bu11M16t019.z1.ep$ef.eeIucdtikuittrtxvfUm*HrImU1.Ier.t&r.fz*nt-1.mt41.r.h_1.nfo.txtredne.1.xtdg1.vv0mt,31v7t.t11Wio11xft11cinva1.idsawi4.4141.ITZIE1。ItAuIUb1.e图12-26客户安装执行4.4 如图12-27所示,安装完成会不1提示success的字样Iocom:,CdzrozIoc
27、AtMst:a1.tImUUcv.1.n*vcM4-k,cf9KTTKBtUZRIMizUrHwre4rIntUIIrrUr*w1.wyz49*nt.Mt44vrr?0-IIAZIiif.u11rW-tnfmtOCA1.hDKt:*aVir-auf11mxn4r.1.cUIUr.tr.9z9mt_tnte1.1.er.hmr*frr1.nf.txtmakfAtcM.b1.nIuca1.hM1./Aventtmt41.ter.khNr4get1.inImUUv6MMchknetXtK31九14i1.17216B1S21.AMiUMeo1.e1.t*rt4ran1.0*41.rMkiadoCMrr
28、Mt1.Iaif:/M11gfnrz94rz49ntur1.rhttfr17Z1.HICZV9Vt1.sr1W*.WI1.IM.MUI1bUMcno31.M3vctngWtwtMM.rdrstopkuccetn1.rat4rtXBCCJnX4WnteM/edru4u1.cwcxckIuuithMir.(S12-27安袋成功五、内网PaiM行客户相安装,WindoWS客户战安装(操作对象:内网PeOI)获取客户玳,需要在终端上,打开浏览器,访问Htps:172.16.0.102,输入用户名密码,进入控制台.进行客户端下载.5.1 如图12-28所示,Windows操作底统的EDR客户端安装方式为
29、通过安装包安奘安装包分为普通安装包和沛默安装包两类,本实蕤中,我们使用普通安装包进行安装,在系统管理-终然部署-WindoWS卜选择普通的安装包,并点击下载安装包。图I228下或客户端5.2 如图12-29所示.下载完成后,生成的文件格式为exe,直接点击打开即可开始进行安装,本操作我们在实验的内MPC机上进行.口|图12-29客户下菽完成53如图12-30所示,开始进行安装,点击运行.目前无法访问SmartScreen检查你的Internet连接.tifp)WindowsDefenderSmartScreen,因此无法帮助你确定是否可以运行此应用.发布者SangforIechno1.ogiesIncedrjsta1.1.erJ72.16.0.102-4430.exe运行不运行图123。运行安装程序5.4如图1231所示,勾选同意免责声明,点击立即安装,安奘过程全程保持戏认即可.图12-31同雅免滑声明5.5 如图12-32所示.安装过程,会自动下较完整包,并安装.EDR终端防护中心快速胫极收安全正EF图I232在我安装5.6 如图1233所示.安装完成点击开启防护之旅,将体安奘过程完成.安装完成,开启哪EDRK护之旅吧图12-33开启防护5.7 如图12-34所示,按照实骁中的步骤,完成WindOWS的客户端安装后,会自动弹
