實驗拓撲
圖 1-1
實驗需求
- 在深圳總部的 AF 上,配置 DDoS 防護,防止服務器區的服務器被 DDOS 攻擊
- 在深圳總部的 AF 上,配置 IPS,對服務器區的服務器實現入侵檢測和入侵防御
實驗解法
在深圳總部的 AF 上,配置 DDOS 防護,防止服務器區的服務器被 DDOS 攻擊
步驟 1:登錄 AF,點擊 防火墻-Dos/DDos 防護,點擊 新增-外網對內攻擊防護策略,如圖1-2 所示
圖 1-2
步驟 2:在策略配置頁面設置 DDOS 攻擊的目的和源,如圖 1-3 所示
分析:正常情況下,DDOS 防護策略的源是互聯網區,這里為了測試效果,會在用戶區的 PC 上向服務器區發起攻擊,所以源設置為 用戶區
圖 1-3
步驟 3:根據需求判斷是否需要配置 IP 和端口掃描防護,如圖 1-4 所示
圖 1-4
步驟 4:點擊 已選防護,配置 DDOS 攻擊的判斷閾值,如圖 1-5 所示
分析:正常情況下,DDOS 攻擊的判斷閾值默認即可,這里為了測試效果,設置的低一點
圖 1-5
步驟 5:點擊 高級防御選項,根據需求勾選需要防護的攻擊類型,一般建議全部勾選,選擇完成后提交策略,如圖 1-6 所示
圖 1-6
DDOS 攻擊防護效果測試
步驟 1:在深圳總部的 PC 上下載并安裝壓力測試工具 Hyenae,
http://sourceforge.net/projects/hyenae/files/ ,配置測試方式,攻擊源和攻擊目的,對服務器發起攻擊,如圖 1-7 所示
圖 1-6
步驟 2:此時 AF 檢測到攻擊行為,把 PC 的網絡連接阻斷,等待阻斷時間結束后,再次登錄 AF,查看日志,發現剛才的攻擊行為被 AF 記錄,如圖 1-7 所示
圖 1-7
在深圳總部的 AF 上,配置 IPS,對服務器區的服務器實現入侵檢測和入侵防御
步驟 1:登錄 AF,點擊 IPS-IPS,點擊 新增,在彈出的 IPS 配置界面中,配置防護的目的和源,選擇檢測攻擊后的操作為 拒絕,并勾選 聯動封鎖,如圖 1-8 所示
分析:正常情況下,IPS 策略的源是互聯網區,這里為了測試效果,會在用戶區的 PC 上向服務器區發起入侵,所以源設置為 用戶區
另外,這里為了方便實現效果,不勾選 聯動封鎖
圖 1-8
IPS 效果測試
步驟 1:下載并安裝安全測試工具 NPolicyCheck,
http://www.ntester.cn/files/ntester/NPolicyCheck_v1.3.zip ,運行工具,配置攻擊的目標和端口,攻擊類型后,開始攻擊,如圖 1-9 所示
圖 1-9
步驟 2:登錄 AF,查看日志,發現攻擊行為被檢測,并作出了拒絕動作,如圖 1-10 所示
圖 1-10
