安全策略管理系统实训案例.doc

1、安全策略管理系统实训案例 一、 背景介绍 图1 组织架构图 二、 拓扑图 图2 拓扑图 三、 实训内容 一、 配置域、 建立正确组织机构和账号信息 1) 按拓扑图所表示, 建立“haidun”域,并在该域下建立三个区域: 管理区, 攻防区, 病毒区; 2) 建立五个用户, student01,student02,student03,teacher01,admin01分别属于管理区, 攻防区, 病毒区; 提醒: l 系统管理—〉域设置 l 用户管理—〉组织机构 l 用户管理—〉用户设置 二、 配置策略管理 案例一、

2、 经过建立SPM策略, 实现为终端用户推送Windows XP SP2补丁 案例二、 经过建立策略, 使除管理区外, 其她区域用户严禁使用U盘。 攻防区和病毒区: 禁用U盘 案例三、 设置防火墙策略: n 内网计算机能够与攻防区计算机连接, 但外网不能与攻防区计算机连接。 攻防区: 防火墙策略: (a)动作为“接收”, 限制地址为“当地局域网”,方向为“双向”, IP协议为“有效”。 （b）动作为“丢弃”, 限制地址为“全部”, 方向为“双向”, IP协议为“有效”。 其中, 策略（a）优先级必需设置为高于策略（b）。 n 严禁内网全部计算机与外网计算机进

3、行标准FTP连接。 全部区: 防火墙策略: 动作为“丢弃”, 限制地址为“当地局域网”,方向为“出”, TCP协议为“有效”, 目标端口为FTP。 n 严禁用户student02用http,ftp方法访问teacher01; “user02”: 防火墙策略: （a）动作为“丢弃”, 限制地址为“主机”, 网络地址为“172.16.100.4”, 方向为“出”, “TCP协议”选项卡中, “有效”被勾选, “目标端口”中选择“HTTP”。 （b）动作为“丢弃”, 限制地址为“主机”, 网络地址为“172.16.100.4”, 方向为“出”, “TCP协议”选项卡中,

4、 “有效”被勾选, “目标端口”中选择“FTP”。 n 设置管理区计算机能够与内网其她计算机连接, 但不许可其她计算机连接管理区计算机。 管理区: 防火墙策略: (a)动作为“接收”, 限制地址为“当地局域网”,方向为“出”, IP协议为“有效”。（b）动作为“丢弃”, 限制地址为“全部”, 方向为“入”, IP协议为“有效”。 提醒: l 定义策略组 l 选择策略模块 l 策略模块设置 l 将防火墙策略下发到用户端 三、 相关策略配置帮助文档 在本系统中, 共分以下多个策略集: 策 略 集 说 明 防火墙策略 此部分关键包含了一个标准防火墙

5、所含有全部功效。她能够检测本机（PEP）上全部基于IP通信信息。如: TCP、 UDP、 ICMP、 IGMP等协议。 应用程序（网络）策略 实现对PEP所在主机中网络应用程序进行控制。(IE浏览器6.0、 OUTLOOK 6.0、 自定义) 设备控制策略 实现对PEP所在主机上一些接口和设备使用控制。(串口（COM）, 并口（LPT）, USB磁盘驱动器, USB打印机, 软盘驱动器, CD-ROM, CD-RW, 多网卡) 打印机控制策略 实现对PEP所在主机使用打印机控制。(当地打印机、 网络打印机、 网络邻居打印机、 当地文件、 其她打印机) 防病毒联动策略 与防病毒产品联动, 包含产品升级、 病毒库升级、 系统扫描。 应用程序（文件）策略 对用户端当地应用程序控制。（腾讯QQ, QQ游戏, WINRAR, 金山影霸等） 注册表保护策略 保护用户端注册表被修改。 软件联动策略 与用户端软件进行匹配联动, 更具匹配情况触发指定策略。 系统管理策略 提供拨号连接控制。 其她高级策略 此部分实现用户端自动升级, 系统补丁升级提醒, 下发通知。