安装和组网实验.doc

《安装和组网实验.doc》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、H3CSecPathT系列IPS安装和组网11.1实验内容与目标11.2背景需求11.3实验设备与版本11.4实验过程2实验任务一：IPS的串口管理方式2实验任务二：基于HTTP/HTTPS的Web管理方式3实验任务三：基于Telnet/SSH的命令行管理方式3实验任务四：设备在线部署时配置IPS攻击防护策略4实验任务五：设备旁路部署时配置IPS攻击防护策略61.5实验中的命令列表71.6思考题7H3CSecPathT系列IPS安装和组网1.1实验内容与目标完成本实验，您应该能够：l掌握IPS的安装及管理

2、方法l掌握IPS攻击防护策略的配置方法l掌握IPS的两种组网方式1.2背景需求H3CSecPathT系列IPS产品是一款主动式入侵防御系统，能够及时阻止各种针对系统漏洞的攻击，屏蔽蠕虫、病毒和间谍软件等；在不同层面上配置带宽管理策略，阻断或限制P2P应用；可根据用户需求允许或阻断对某些网页的访问。设备可采用在线和旁路两种组网方式。1.3实验设备与版本主机：两台线缆：若干IPS：SecPathT系列产品交换机：可配置镜像口1.1实验过程实验任务一：IPS的串口管理方式实验组网图步骤一：用串口管理设备，配置正

3、确的波特率；波特率为9600，数据位为8，奇偶校验为无，停止位为1，数据流控制为无；步骤二：成功登陆串口，查看版本信息；实验任务二：基于HTTP/HTTPS的Web管理方式实验组网图步骤一：配置管理口IP地址，并启用管理口；system[H3C]interfacem-gigabit0/0/0[H3C-if]ipaddress[H3C-if]undoshutdown步骤二：分别使用HTTP及HTTPS方式登陆设备，打开Web主页面；实验任务三：基于Telnet/

4、SSH的命令行管理方式实验组网图步骤一：打开Telnet和SSH服务；system[H3C]telnetserviceenable[H3C]sshserviceenable步骤二：用Telnet方式登陆设备，查看版本信息；步骤三：用Putty工具，采用SSH方式登陆设备；步骤四：用SercureCRT工具，采用SSH方式登陆设备；实验任务四：设备在线部署时配置IPS攻击防护策略实验组网图：步骤一：开启业务口；通过“系统管理->网络管理->接口配置”开启设备业务口；步骤二：配置安全区域；通过“对象

5、管理->安全区域管理”创建两个安全区域；名为zone1的区域选择接口g-ethernet0/0/1，名为zone2的区域选择接口g-ethernet0/0/2；步骤三：配置段；通过“对象管理->段管理->创建段”创建段，段编号选0，内部域选zone1，外部域选zone2；步骤四：在段上应用IPS策略，并激活；通过“对象管理->段管理->应用策略”在段上应用IPS策略；要关联的段选0，选中“攻击防护策略”，选择策略名为默认的“AttackPolicy”，方向选“双向”；步骤五：结合“攻防实验“测试设备在线部

6、署模式下对攻击的检测能力。实验任务五：设备旁路部署时配置IPS攻击防护策略实验组网图：测试准备：配置交换机，将两台PC到交换机的inbound流量镜像到IPS的业务口；注意：1、与交换机镜像口连接的业务口加入某一安全区域，将同一个段的另一个业务口加入另一个安全区域，该业务口可不接网线，然后将两个安全区域配置为同一个段即可。2、以下步骤一至步骤四的配置请参见“实验任务四”步骤一：开启IPS设备的业务口；步骤二：配置安全区域；步骤三：配置段；步骤四：在段上应用IPS策略，并激活；步骤五：设置组网模式为“旁路”

7、、“只上报日志”；步骤六：结合“攻防实验“测试设备在线部署模式下对攻击的检测能力。1.1实验中的命令列表表1-1命令列表命令描述ipaddress配置管理口IP地址undoshutdown启用接口telnetserviceenable打开Telnet服务sshserviceenable打开SSH服务1.2思考题1、想管理IPS设备，需要对初始设备做怎样的配置？2、在线部署时，怎样配置设备才能有效检测、阻断攻击报文？3、旁路部署时，怎样配置设备才能检测网络异常报文，上报攻

8、击日志？