vpn伺服器端配置
一、創建證書
1、進入“vpn”“ca認證”“權威認證證書”;
2、創建伺服器本地證書“local’s bluedon”,然後進行配置,點擊“創建簽名證書”,就會出現一條證書
二、建立vpn隧道 1、選擇“vpn隧道”“l2tp移動客戶端”,創建l2tp移動客戶端vpn遂道:
設定好後並點擊添加,就會出現一個名為ttt的隧道。
三、啟動vpn
1、進入“vpn”“啟動控制”,啟動vpn伺服器。
2、進入“全局設定”,在“默認本地證書”的“ca權威認證證書”中選擇local’s bluedon權威認證證書,選擇“保存”。
3、進入“防火牆”“lan->lan策略”“訪問策略”建立一條允許遠程l2tp客戶同總公司lan口對等相互訪問的策略,這樣出差員工就可以用l2tp隧道和總公司區域網路連通。進行配置後,點擊“添加”,就會出現下面一條訪問規則,至此,總公司伺服器端配置結束
vpn移動客戶端配置
1、從網路管理員處獲得vpn客戶端軟體,並安裝,安裝過程中寫入總公司的外部ip,為新連線取名為“ttt”。
2、這裡就填入新建證書時的用戶名ttt,密碼123456,點擊“連線”。
至此vpn客戶端配置完成。
幾秒鐘後,連線成功,電腦右下角將顯示連線上的vpn。同時在“網路連線”界面也會出現“虛擬專用網路”——ttt(已連線)。
3.4 入侵檢測系統的架構與實現
3.4.1 ids設備部署與配置
基於有限公司的網路考慮,採用鏡像口監聽部署模式
ids設備部署
1、連線設備
2、登錄管理界面 從管理pc登錄藍盾nids設備web管理界面前,需要確認管理pc的ip地址與設備預設管理口ip地址設定在同一網段:192.168.0.0/24。透過網線將管理pc連線到lan1口,打開ie瀏覽器,在ie地址欄輸入https://192.168.0.145 ,登錄進去。
ids設備配置
1、 “網路設定”“網口配置”“網口”,將e2的lan2的ip配置為192.168.2.2,點擊保存,然後重啟網路。(將lan2口做為管理口,用於管理設備)
2、“系統”“系統工具”“ip工具”,直接ping 網關192.168.0.1檢驗與區域網路的連通性。
3、“系統”“管理設定”“管理界面訪問設定”,網口選擇lan2,其餘選項預設,點擊添加。
4、“現有規則”中新增一條通過lan2訪問ids界面的策略。
5、“系統”“管理設定”“密碼”,按下圖配置管理員用戶,不啟用usbkey。 就會出現一個超級管理員用戶
3.4.2 ids入侵檢測
“入侵規則”“檢測規則”,啟動如下入侵檢測規則中,要勾選user-defined(用戶自定義),點擊保存。
一、基礎參數 1、“入侵規則”“檢測規則”“自定義規則”“基礎參數”,參照下圖填入所要檢測的項,點擊添加。
選擇協定,點擊啟用。就得到一條針對所有未知入侵的檢測規則intrusion _info
二、ip參數
1、“入侵規則”“檢測規則”“自定義規則”“ip參數”,參照下圖填入所要檢測的項,在t t l項填入64作為參考值,選擇啟用,點擊添加。
四、阻斷動作
1、“入侵規則”“檢測規則”“自定義規則”“阻斷動作”,填入所要檢測的項,這裡選擇斷開icmp。
3.5 信息安全管理審計系統架構與實現
3.5.1 系統的部署及系統登錄
信息安全管理審計系統是用來對內部用戶訪問外部網路的各種行為進行記錄、控制、審計的一種網路安全硬體設備,主要有lan1、lan2、lan3、lan4四個100m快速乙太網絡接口。通過將不同網口橋接並設定監控網口,我們可以有效的監控網路上傳送的各種數據包。
信息安全管理審計系統使用web圖形界面進行管理和設定,具有方便、快捷,易於用戶理解和掌握的優點。另外一方面信息安全管理審計系統使用了https安全傳輸協定,保證在管理中傳輸的相關設定和信息不被竊聽,保護設備自身的安全。
1、系統前面板,結構如圖3-36:
2、系統後面板,結構如圖3-37:
二、登錄系統:
1、設定管理pc地址圖(拓撲圖)將管理pc與信息安全管理審計系統連線,同時將管理pc的ip地址改為:192.168.0.3/24
2、登錄系統,登錄後我們可以看到如圖3-38: