AF 服务器安全防护实验

实验拓扑


图 1-1

实验需求

  1. 在深圳总部的 AF 上,配置 DDOS 防护,防止服务器区的服务器被 DDOS 攻击
  2. 在深圳总部的 AF 上,配置 IPS,对服务器区的服务器实现入侵检测和入侵防御

实验解法

  1. 在深圳总部的 AF 上,配置 DDOS 防护,防止服务器区的服务器被 DDOS 攻击

    步骤 1:登录 AF,点击 防火墙-Dos/DDos 防护,点击 新增-外网对内攻击防护策略,如图1-2 所示


    图 1-2

    步骤 2:在策略配置页面设置 DDOS 攻击的目的和源,如图 1-3 所示

      分析:正常情况下,DDOS 防护策略的源是互联网区,这里为了测试效果,会在用户区的 PC 上向服务器区发起攻击,所以源设置为 用户区
      


    图 1-3

    步骤 3:根据需求判断是否需要配置 IP 和端口扫描防护,如图 1-4 所示


    图 1-4

    步骤 4:点击 已选防护,配置 DDOS 攻击的判断阈值,如图 1-5 所示

      分析:正常情况下,DDOS 攻击的判断阈值默认即可,这里为了测试效果,设置的低一点
      


    图 1-5

    步骤 5:点击 高级防御选项,根据需求勾选需要防护的攻击类型,一般建议全部勾选,选择完成后提交策略,如图 1-6 所示


    图 1-6

  2. DDOS 攻击防护效果测试

    步骤 1:在深圳总部的 PC 上下载并安装压力测试工具 Hyenaehttp://sourceforge.net/projects/hyenae/files/ ,配置测试方式,攻击源和攻击目的,对服务器发起攻击,如图 1-7 所示


    图 1-6

    步骤 2:此时 AF 检测到攻击行为,把 PC 的网络连接阻断,等待阻断时间结束后,再次登录 AF,查看日志,发现刚才的攻击行为被 AF 记录,如图 1-7 所示


    图 1-7

  3. 在深圳总部的 AF 上,配置 IPS,对服务器区的服务器实现入侵检测和入侵防御

    步骤 1:登录 AF,点击 IPS-IPS,点击 新增,在弹出的 IPS 配置界面中,配置防护的目的和源,选择检测攻击后的操作为 拒绝,并勾选 联动封锁,如图 1-8 所示

      分析:正常情况下,IPS 策略的源是互联网区,这里为了测试效果,会在用户区的 PC 上向服务器区发起入侵,所以源设置为 用户区
      另外,这里为了方便实现效果,不勾选 联动封锁
      


    图 1-8

  4. IPS 效果测试

    步骤 1:下载并安装安全测试工具 NPolicyCheck,http://www.ntester.cn/files/ntester/NPolicyCheck_v1.3.zip ,运行工具,配置攻击的目标和端口,攻击类型后,开始攻击,如图 1-9 所示


    图 1-9

    步骤 2:登录 AF,查看日志,发现攻击行为被检测,并作出了拒绝动作,如图 1-10 所示


    图 1-10



« AF 终端安全防护实验
AF WAF 实验 »

Copyright © 2015 Powered by MWeb,  Theme used GitHub CSS.

鄂ICP备18006549号-1

TOP