图 2‑1 标准化组网图
图 2‑2 简化组网拓扑图
1)简化组网下的所需测试设备:1台深信服防火墙、1台信锐网络控制器,2台信锐安视交换机,2台终端;
2)版本要求:深信服防火墙版本:AF8.0.26版本;信锐网络控制器版本:WAC3.8.1.2版本;
3)将测试设备按简化组网拓扑图进行连线。
1)将安视交换机激活上线;
2)配置端口组,将接终端的端口均划分到该端口组中;
3)边缘安全页面配置有线终端安全策略;
备注:通过配置终端状态跟踪(上报终端位置信息、MAC地址及IP地址信息给NAC),以实现防火墙推送消息过来时NAC根据推送消息读取IP地址去封锁MAC;
4)边缘安全--安全联动处,新增联动设备:服务器地址填写 AF地址,账户密码统一填写为WAC账户密码(无需验证测试有效性)。
1)登录深信服AF管理界面,配置联动功能:
路径:AF管理界面-->运行状态-->封锁攻击者IP,添加交换机联动配置,并输入相关地址,如防火墙本地地址、NAC相关信息(即NAC地址、NAC登录账号密码),以实现联动。如图所示:
备注:联动封堵有以下2种情况:
(1)通过深信服AF手动添加封锁攻击者IP进行联动封堵;(通过上一截图标黄处可配置)
(2)通过深信服AF安全策略进行联动封堵;(通过下一截图可配置)
2)配置AF安全策略
路径:AF管理界面-->策略-->安全策略;配置Dos/DDos防护策略,配置扫描防护以及Dos/DDos攻击防护,配置封锁时间1800s;
备注:只要是被安全策略封堵的都能通过AF联动封锁,上图Dos/DDos防护策略仅为测试用例之一;
终端A模拟感染终端,接入交换机的联动端口组成员端口上,使用发包工具以500pps的速率发送TCP的SYN报文,模拟SYN Flood攻击;
AF封锁效果如下:
NAC联动封锁效果如下:
