《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx

《《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx》由会员分享，可在线阅读，更多相关《《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx（65页珍藏版）》请在课桌文档上搜索。

1、实验1AC的路由模式部署【实验目的】理解深信服上网行为管理设备（下面简称AC）,作为公司网关部署的过程与原理.【实验原理】AC作为网关部署在公司互联同出口，其原理与传统路由需一诙。主要作用完成用户的SNAT上网工作，以及从外向内访问服务器的DNAT工作.本实脸,我们主要讲述SMT的部署过程.【实验场景】某大型集出公司,其集团总部为了管理公司内部PC上网，计划使用AC来代音传统路由器，解决用户上网认证、网速管理、口忐审计等问逝,本实裟是部为AC的第一步场景.【实险拓扑】如图11所示.为本实验拓扑结构.：三A3411rWHIq色HWFMeD-不实上不雷要24,XXC0S1.MRC的路由模式部署柘扑

2、图【实险设备】1、总部AC,作总部出口网关使用2.微软域控,作为总部的服务器.本实验中主要作用为WEB服务零.理解为集团公E网站.3、PC1.普通办公PC.员，办公使用，需要连接互联网4,Intemet-WEBServer,互联网上的WEB服务涔，理解为类似sina,badu等站点.【环境预配】【环境预配】.是指已经【实验场景】的闻也边界.实验环境中,非深怕服设备,不需要学员IES1.如交换机、路由器、PC服务器.实验环境中，深信服设品，需要学员按实验拓扑】说明进行配置.实脸环境中，配置基本道箭上述两条原则，少数实脸例外.例外过程，在【实步骤】中说明.【实验步骤】一、配置总部AC的网络（操作对

3、象：总部AC）1.1 如图卜2所示，开始配置网络图1-2AC部密模式1.2 如图1-3所示,选择路由模式|r1.图1.3ACyS由部署模式1.3 根据拓扑图，配置网卡，如图14所示，其中ETHI为1.AN口，即办公区ETH2为。MZ口，即服务器区ETH3为WANC1.,即互联网区图IT路由模式接口1.4 如图16所示,配词ETH1,ETH1.接办公区，IP培址参照拓扑图配汽图1-51.AN口配置1.5如图1.6所示，配81ETH3ETH3接互联区，IP地址参照拓扑图配置图1-6WAN口配置1.6如图17所示，配置ETH2ETH2按DMZ区,即服务器区.P地址参照拓扑图配置图1-7DMZ接口配1

4、.7如图卜8所示，配置代理上网这里配置代理办公网段上网，办公网网段为192.168.1.0/24图1-8NAT配管1.8如图卜9所示，检杳无误后提交打开桌面上浏览器访何Internet-WEB,即124.126.2.2OW三RBtt)1.-nAD域测试效果发现无法访问,因为在AC中仅做了办公网段的代理上网，而没有做眼务等网段代理上网.四、查看Pa能否访科域控制器上的WEB页面(操作对象：PCD如图1-12所示，打开PC1.条面上的浏览涔.访问微软域控的WEB,即172.16.0.100三1-2AD域修改后测试效果可以访问，因为PCI与微软域控，向在内网，路由宜接可达.【实验总结】通过本实验,理

5、耨AC的网关部署原理,和传统路由涔作网关像理一致.AC所谓的“代理上网”理解为SXAT,即源地址转换.图2H接口选择1.4如图2-5所示,配置ETH1.ETHI接办公区，IP地址参照拓扑图配置图2-51.AN口配置1.5如图2-6所示，配置ETH3ETH3接互联网区，IP地址参照拓扑图配置!虹.nwddrssstohostZmttHhWTO-cwtnanndMdua1.kw.TheIPaddreushou1.d口3Mumnfo1.1.owedbythecorrepdinghostnameTheaddressandthehonamesboddbeseparatedbyJt1.eastonespa

6、ce.MdrtomiyCorrwnerrti(JMChnthese)maybinsertedonind汕d3orfo1.b*1n9themchC4hortnmereio/ufconehndiedwithinDNSrtsdf127.0Q1.IOCahOStNKa)MDWO)(Y)叫M)聊Copyright(C)19932009MicrosoftCorp.*“Thisisasamp1.eHOSTSfi1.eusedbyMicrosoftTCP/IPforWindows.* Thisfi1.econtainsthemappingsofIPaddressestohostnamesEach* entry

7、shou1.dbekeptonanindividua1.1.ine.TheIPaddressshou1.d* bep1.acedinthefirstco1.umnfo1.1.owedbythecorrespondinghostname.* TheIPaddressandthehostnameshou1.dbeseparatedbyat1.eastone停space,* Additiona1.1.y,comments(suchasthese)maybeinsertedonindividua1.#1.inesorfo1.1.owingthemachinenamedenotedbya,”接口/区域，

8、在物理接口标签页下配NETH1、ETH2、ETH3三个接口的网络参数：“应用控制策略“，在策略配置标锭页下新增1条策珞,允许办公区访问DMZ区：Th区陇：n：目的区域：地址：服多/应用：。率用。拒他生效康件ifi状宓：动作诩项：生效时徇：*级选!：jKWFtttWriWIgIIIR洒JB1.K17应用控制第BS动作配置如图818所示，该应用控制策略配词完成后，办公区的所有终然均可正常访问DMZ区的服务器，三、在服务器安全防护策略配置之前，尝试利用办公区PeI对总部网站进行S2O45漏洞检祗（操作对如PCD在PC1.上开启powershe1.1.或Cmd钻人以下命令，利用python脚本s2-O

9、45.py检测总部网站是否存在$2-045漏洞：CdC:UsersAdministratorDesktoptoo1.esPOC进入python脚本s2O45.py所在的目录pythons2-045.py-h查看s2-O4S.pyH-J帮助文档pythons2-045.py-uhttp:172.16.0.101:8888YheCk利用s2-O45.py检测总部网站是否存在s2-O45检测结果:如图8T9所示，总部网站的服务器（172.16Q.10D存在S2Q45漏洞.戛础防at（全场最适用）口渊河攻击防护Cidsy动作：。允许O内容安全（SAVE安全智能文件检测）St认HS板_业当保护场HF耳湾

10、：。允询一拒由增强动畿（业务保沪场景适用）OWEB应用防沪默-II71,一：.1制防I司动作：O允许柜维O网站防改需要网站管理员由Ig芬3S中安找UnUXfW改客户端或W1.ndOwS防改1户端,客户端将防止配用I&文件系统.上一I下一叫当图$25或务安全防护策略防御配置如图8-26所示,“检测响应”项：仅勾选响应处的“记录日志选项设置完成后点击“捅定J所业务防护MIRS楸规-i*ap检测S应检测（全场Bua用）O*尸网珞默认横忸动作：内的质西。在ONS眼鸟at：o?n内用DNS1.1.iXNnP岫地：在，h人亲个IPttUh1.11=z0山（全场BtIa用）联叨剂tT血.B3i石热日总三X-

11、26业务安全防护策略检测响应配置如图8-27所示,安全防护策略”服务器漏洞攻击防护”配置完成后的结果:困仇3路由模式选择1.3如图94所示，根据拓扑图.配置网卡.其中ETH2为DMZ即股务器区ETH3为WAN口，接互联网图64区域及接口送样1.4METHO,如图95所示，本实脸没用ETHO,所以跳过此步1.7配置代理上网，如图9-8所示，这里配置代理办公网段上网，（本实验因为不能用到办公网，所以此步在本实验中没有作用）图98NAT配管1.8如图99所示，检杳无误后提交图415分支设各DMZ口配置2.7 如图9-16所示，NATSANCMM，；，”图9.16分支设备NT配置2.8 如图917所示

12、,检育配置并确认提交1419-19模式配置生效四、配置总部的SS1.VPN设招的IPSECVPN（操作对象：总部SS1.VPN）4.1如图9-20所示.新增IPSECVPN阶段-配置图9m新增坛准IPSccVPN第一阶段配置4.2配置阶段一.如图9-21所示.配置对端IP与攸共享密钥三923高板选项内容配置别忘了下拉点击确定.如图+24所示,配置完成后，阶段一如下图.旗VPN双方的一致件三二二三图9-24标准IPSecVPN第一阶段配置结果4.3配置阶段二如图925所示,新增入站策略图9-31出站网段及安全选项到此VPN配置完成，但毡总部与分支VPN仍然不通，有几个原因：1、需要保障双方VPN

13、设密与端口能互通，2、需要保证路由条目可达。这两个问卷都通过总部AC的配置来斛决六、配置总部AC,耨决SS1.VPN到公网的映射操作对象：总部AC)6.1新建DNAT规则如图9-32所示，IPSECVPN使用UDP500和4500,这里新建两条DNAT规则，新建Wp4500DNAT映射图532IPSevPN相关3口映鸵4500图238WEB页面访问好证【实验总结】本实3金，我In通过配置IPSECVPN的阶段一与阶段二，进一步理解的IPSECYPN的原理.BIU-26连接管理基本配置6.3如图1O27所示，确定保存配量（非常一要）10-27保存连接筲理配置七、配两总部AC,解袂路由问SS,（操

14、作对象：总部AC）因为SSIVPN使用单忖部詈,需要告诉内网其他设的，通往分支机构192.16820/24的路出，指向SS1.VPN7.1如图1328所示.配置静态路由1.如图11-2所示,进入到EDR设备的捽制台11-2进入命令控制台2.如图11-3所示，笠录用台，用户名为root密码为edrsangfor图3登录管理账号3.如图114所示,通过Vi命令,编HtN络的配置文件ifcfgETHO图I1.2】扫描提醒2.S如图1122所示.上述操作完成后,等待扫描结果即可，如图所示,为扫描出来的结果,即此网段中，未安袋客户端的终端.图11-22检测结黑三、UnUX客户安装（操作对象；内网应用服务

15、器）EDR客户端支持多类操作系铳.包括Mnux、windows,mac.本实验中只涉及Iin1.JX和WindoWS系统，首先针对IinUX的系统的客户端进行安装.IinuX客户端安装有两种方式,种为使用命令行部署，一种是通过安装包部署.命令行方式,需要保砥客户掰和服务端网络连通.本实脸中我的使用软件包安装方式。3.1如图11-23所示，软件安装包1.1.经存放在终端上，名称为HnUXedrinsta1.1.er.tar.gz“目录位置为/root.ff1.11-37忽略列表六、windows客户端安装（操作对象：AD域服务器和内MPC1.）获取客户端.需要在终端匕打开浏览器.访问https:

16、/172.16Q.102,输入用户名密码,进入控制台.进行客户端下驶.6.1 如图11-38所示，Windows操作系统的EDR客户端安装方式为通过安装包安装，安装包分为普通安装包和峥!我安装包两类，本实粉中，我们使用普通安装包进行安装“在系统管理终端部署-Windows下选择普通的安装包,并点击下载安装包.图I138WindOW客户端下我6.2 如图I1.39所示.下载完成后,生成的文件格式为exe直接点击打开即可开始进行安装.本操作我们在实验的内网PC机O1.上进行，实验12EDR客户端的基本策略和客户端卸载【实验目的】掌握EDR在不同类型操作系统上的卸我步骤，能终通过服务端策略实现对终战

17、上EDR的权本控制功能。【实验原理】EDR是终端安全工具，包括3个部分，分别是云端、管理端和客户端,客户端安装在终端系统上，用于实现具体的任务，管理端用于实现（E分的下发和终端的管理，云雨提供更加生的分析功能和规则摩等的更新功能。木实验，主要内容为客户端的却数，以及针对客户端的退出和卸我的一些控制策略.【实验场景】用户内网已经部署了EDR,并且在终端上进行了客户端的安装,需要通过EDR对用户的资产信息进行统计收集，并限制EDR的退出和卸我，【实险拓扑】如图121所示.为本实验拓扑结构.S1SJS图12-1实验12柘扑【实验设备】1、微软AD域.用于做EDR是终湘验证使用2、总部网站01，用于做

18、EDR是终端蛤证使用3、内网PC1.用于做EDR是终端验证使用4、总部EDR.作为实验的EDR服务崩.5、总部AFoA作为网关转发设备使用。【环境预配】【环境预配】是指已经【实验场景】的配置边界.实物环境中,非深信服设备,不需要学员配置.如交换机、路由器、PJ服务器.实验环境中，深信服设法，需要学员按【实验拓扑】说明进行配置实险环境中，配置基本遵循上述两条原则，少数实验例外.例外过程，在【实险步腺】中说明.【前置条件】EDR无法通过控制台直接跳转WEB管理界面，需要通过内向刈试PC1.的浏览涔进行访问，访问前需要先通过拄制台功能，迸入到设备后分配词地址和网关（此掾作适用于公平台环境，如为物理环

19、境图127笫强愿卡4.如图12-5和图12-6所示,壬置IP地址和网关地址,将默认的地址10.251.251.251调整为172.16Q.102.撞码24位，网关为172.16.0.1图I”配置地址(812-6地址配置结果5.如图12-7所示，执行保存退出图137退出并保存6.如图12-8所示,Jg启网络靡务FerYChrtrt1.rtsUrt*Unrtnrfcr1.zrwtJ图I28重启服务【实验步骤】一、防火堵网络接口和区域配置(操作对四：总部AFOD1.1如图12-9所示，配词防火埠,新增DMZ区域，用于连接服务器区，点击网络-接口/区域-区域，在此菜单F点击新埴，It12-11新港1.

20、AN区1.3 如图12T2所示,进入到接口/区域物理接口,点击ETH2接口,进入到编辑界面，It)12-12配置接口1.4 如图12T3所示,配置接口类型为路由,所属区域为DMZ区,配宜IPt172.16.0.1/255.255.255.0.点击确定“图12-BKrH2口配置1.5如图12-14所示.进入到接口/区域物刊!接口，点击ETH1.接口，进入到人到界面。图1214揭铤ETH1.接口1.6如图12T5所示,配置接口类型为路由,所属区域为1.AN区，配置IP地址为192.168.1.1/255.255.255.0.点击确定.图I2I9自动分姐三、针对分组配置基本策略（操作对望:总部EDR

21、）3.1 进入到终端管理-策略中心-选择办公用户组-基本策略部分,即可进入到办公用户组的的基本策略汽混,羯木策略鼠徨只能针对W1.ndoWS操作系统生效，具体配巴内容如下：勾选开启终端资产信息登记：勾选后，在终端完成客户端的安装后，会弹窗提示进行资产信息录入,用于方便实现管理员的管理和资产登记.此部分可以设置需要登记完善的信息.在实5金中,办公用户的选择了贡任人、资产名称、手机.如图12-20所示，勾选开启终蛤传看管理员联系方式：勾选后需要输入管理员的信息，此管理员信息在配置后,可以在客户蛤进行查闻，若不启用，则客户玷无法杳看到具体的管理员信息.勾选开启终端弹窗提醒免打扰模式：勾选后出现各类提

22、醒时,不会出现弹窗.会记录在H志中，否则会弹出窗11产生相关提醒.勾选开启终端防退出宙码保护：勾选后，客户跳退出衢要密码，勾选开启终给防卸或带码保护：勾选后，客户端卸成35要密码.图1320基本策格配置3.2 如图12-21所示,其他部分的配置保持默认,然后点击保存.进行配置保存和生效.图I221.策略保存3.3 如图1222所示，服务渊组的基本策略部分与办公用户组基本类似,但是也存在不同.不同点在于终端资产信息的内容和管理员的信息，此部分根据实验，自行选择.IB12-22个人信息登记34如图12-23所示，剩余配置保持默认，点击保存，nuvr一，四内MWeb应用服务涔的,Iinux系统的客户

23、端安装.（操作对象：内网应用服务器）4.1 EDR客户端支持多类操作系统,包括1.inu,windows,mac.本实验中只涉及Iinux和WindoWS系统，首先针对IinUX的系统的客户端进行安装,I1.nux客户端安装有两种方式，一种为使用命令行部钟，一种是通过安装包部署，命令行方式，需要保障客户裁和服务端网络连通，本实脸中我的使用软件包安装方式.如图式24所示.软件安装包已经存放在终端卜.名称为IinUXedrinSta1.1.er.tar.gz.目录位置为/root.1.9.xiprUstznvfihi4zat!izur-1My1.F_SIWUIUrUr.ycM1.IaM”Ioc41

24、.kmt./c4zrwtzInr1.kmt-1.qr*tMcta1.1.er.b1.n*w11wi-kqr*t2IwUI1rKk-JM1I4ZUIIocA1.inN:-Btt）12-24Imin客户安装包4.2 如图12-25所示，安装包为压缩格式，安装前需要对压缩包进行解压操作，执行命令为tar-2vfIinuxedrinsta1.1.entangz.解压缩安装包,解JK完后,会产生多个文件.1.oc1.hM:/c41.oca1.1.mt：*1.4vett(jMUI1.cr.b1.nAMCoOe-U.cfgimftjIA281611.2UrUmiiedrIMU1.IerUrvcO*40Ci1

25、.-iMUUcr.kUH.9Jui1U119.aU._cic1.J*Ua.ccIuce1.hMt1.r*viIImuerimt41.cr.Ur.fXtfe1.ia1.1.AtVr.H-i-IMMkjerifu.1.trv4tb.1.it*fptc32.iafup4atnM.i1.cm12-25客户常解压4.3 如图12-26所示,在解压出的文件中,包含名称为agentinsta1.1.er.sh的文件，通过执行命令对此文件进行安奘.命令方式为.Zagentinsta1.1.ersh等待安装完成即可.Iucatkuit:/cdoq11.4*1.：B1.x49rat.1.mU1.1.er.1.mn

26、m41e-I.crgIFSZB_hIIMtXh1.1Z.trI1.vu,Mr.MUUnrUr.9xBI1.IMPZ9pM_1.mt41.er.sh*E5Z.O.Bu11M16t019.z1.ep$ef.eeIucdtikuittrtxvfUm*HrImU1.Ier.t&r.fz*nt-1.mt41.r.h_1.nfo.txtredne.1.xtdg1.vv0mt,31v7t.t11Wio11xft11cinva1.idsawi4.4141.ITZIE1。ItAuIUb1.e图12-26客户安装执行4.4 如图12-27所示，安装完成会不1提示success的字样Iocom：，CdzrozIoc

27、AtMst：a1.tImUUcv.1.n*vcM4-k,cf9KTTKBtUZRIMizUrHwre4rIntUIIrrUr*w1.wyz49*nt.Mt44vrr?0-IIAZIiif.u11rW-tnfmtOCA1.hDKt:*aVir-auf11mxn4r.1.cUIUr.tr.9z9mt_tnte1.1.er.hmr*frr1.nf.txtmakfAtcM.b1.nIuca1.hM1./Aventtmt41.ter.khNr4get1.inImUUv6MMchknetXtK31九14i1.17216B1S21.AMiUMeo1.e1.t*rt4ran1.0*41.rMkiadoCMrr

28、Mt1.Iaif:/M11gfnrz94rz49ntur1.rhttfr17Z1.HICZV9Vt1.sr1W*.WI1.IM.MUI1bUMcno31.M3vctngWtwtMM.rdrstopkuccetn1.rat4rtXBCCJnX4WnteM/edru4u1.cwcxckIuuithMir.（S12-27安袋成功五、内网PaiM行客户相安装，WindoWS客户战安装（操作对象：内网PeOI）获取客户玳，需要在终端上，打开浏览器，访问Htps:172.16.0.102,输入用户名密码，进入控制台.进行客户端下载.5.1 如图12-28所示，Windows操作底统的EDR客户端安装方式为

29、通过安装包安奘安装包分为普通安装包和沛默安装包两类，本实蕤中，我们使用普通安装包进行安装，在系统管理-终然部署-WindoWS卜选择普通的安装包，并点击下载安装包。图I228下或客户端5.2 如图12-29所示.下载完成后，生成的文件格式为exe,直接点击打开即可开始进行安装，本操作我们在实验的内MPC机上进行.口|图12-29客户下菽完成53如图12-30所示，开始进行安装，点击运行.目前无法访问SmartScreen检查你的Internet连接.tifp)WindowsDefenderSmartScreen,因此无法帮助你确定是否可以运行此应用.发布者SangforIechno1.ogiesIncedrjsta1.1.erJ72.16.0.102-4430.exe运行不运行图123。运行安装程序5.4如图1231所示,勾选同意免责声明,点击立即安装,安奘过程全程保持戏认即可.图12-31同雅免滑声明5.5 如图12-32所示.安装过程，会自动下较完整包，并安装.EDR终端防护中心快速胫极收安全正EF图I232在我安装5.6 如图1233所示.安装完成点击开启防护之旅,将体安奘过程完成.安装完成，开启哪EDRK护之旅吧图12-33开启防护5.7 如图12-34所示，按照实骁中的步骤，完成WindOWS的客户端安装后，会自动弹