cisco安全实验.docVIP

目标：对于CBAC的理解达到CCSP试验考察的要求。需要掌握的知识点：CBAC的配置。需要掌握的命令：IOS中CBAC配置的相关命令。试验拓扑：图片附件: CBAC.gif (2007-4-2 06:24 PM, 6.36 K)拓扑说明：R1:S1:/24R2:S1:/24E0:/24R3:E0:/24试验要求：1．R3模拟PC，网关为R2以太口。R2为企业边界路由器，R1为ISP路由器。2．在R2上配置CBAC做到以下要求：（1）开启全局的告警（alarm）和审计（audit）功能。日志发送到内部一台日志服务器上，日志服务器的IP地址为00（日志服务器可能不存在，不要尝试ping通）。（2）要求内部网络可以通过TCP和UDP访问外部网络，外部网络不能主动访问内部网络。由于TCP会话数目较多，TCP的连接不会产生告警和审计。（3）调整TCP的syn和fin等待时间，syn等待时间为50秒，fin的等待时间为10秒。调整TCP和UDP的空闲超时时间为100秒。（4）为了防止DOS攻击，设置当TCP会话的半连接总数量超过1000或者一分钟内半连接会话数量超过700时，路由器进入野蛮模式(aggressive mode)，半连接的会话总数量低于600或者一分钟内半连接会话数量低于300时，退出该模式。当某一个IP发起的半连接会话数量超过100时，屏蔽该IP地址10分钟。（5）要求内部可以访问站点地址为-55的WEB服务器，这些服务器上有JAVA应用，访问其他站点要求屏蔽JAVA程序。上述范围的WEB服务器上由于特殊的要求，有些服务器使用的不是标准端口，而是8080端口和8000端口。（6）ICMP是一种很重要网络故障诊断工具，配置路由器能够支持基于状态的ICMP应用，比如PING。（7）管理员发现内部网络曾经被IP碎片攻击过，配置路由器能够防御碎片攻击。3．尽量想办法验证在R2上的配置。目标：对于验证代理的理解达到CCSP试验考察的要求。需要掌握的知识点：验证代理的配置。需要掌握的命令：IOS中验证代理配置的相关命令。试验拓扑：图片附件: 验证代理.gif (2007-10-10 10:58 AM, 10.15 K)拓扑说明：R1:S1:/24R2:S1:/24E0:/24R3:E0:/24PC:00/24试验要求：1．PC网关为R2以太口。R2为企业边界路由器，R1为ISP路由器。2．在R1上开启HTTP服务，模拟一台互联网上的web服务器。3．要求PC机在正常情况下不能访问ISP，在使用浏览器输入任意IP地址后，浏览器要求验证用户名和密码，输入正确的用户名和密码则可以通过所有TCP协议访问internet。4．PC机同时是AAA服务器，用户名和密码都存放在服务器中。在AAA服务器上按照需要配置。5．当验证结束后，让用户30分钟内没有活跃的动作，清除验证状态。3．尽量想办法验证在R2上的配置。基于IOS的IPS试验指南目标：对于基于IOS的IPS理解达到CCSP试验考察的要求。需要掌握的知识点：基于IOS的IPS配置。需要掌握的命令：IOS中基于IOS的IPS配置的相关命令。试验拓扑：图片附件: 验证代理.gif (2007-10-10 11:13 AM, 10.15 K)拓扑说明：R1:S1:/24R2:S1:/24E0:/24R3:E0:/24PC:00/24注意：本试验可以使用模拟器完成。试验要求：1．R2为企业边界路由器，需要打开IPS功能。2．在PC上安装SDM软件，配置R2，使SDM软件能够管理配置R2。3．在R2上使用命令行配置开启IPS功能，并检查所有进入E0口方向的流量。4．如果R2加载SDF文件或者集成在IOS中的签名文件失败，所有流量都会被R2过滤。5．需要在R2和SDM之前安全的交换日志信息。6．在SDM中修改签名，配置R2当发现内网有ping的回应包时过滤流量并产生日志。当发现ping包大于1000字节时产生高级别的报警。7．验证你的配置。AAA试验指南目标：对于AAA的理解达到CCSP试验考察的要求。需要掌握的知识点：AAA和CISCO ACS的配置。需要掌握的命令：IOS中AAA配置的相关命令和ACS的配置。试验拓扑：图片附件: AAA.gif (2007-4-3 03:03 PM, 8.55 K)拓扑说明：R1:E0:/24R2:E0:/24AAA服务器:网卡IP:00/24试验要求：1．R1是一台需要网管