2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇（2）

author：leadlife
time：2022/3/11
知识星球：LeadlifeSec
技术交流群：775454947

文章目录

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (中)-任务二-设备安全配置篇（2）
- NetLog 时间表注意点参考
- NetLog 时间表注意点参考
- NetLog 部署方式-邮件告警-SNMPv3-NTP服务器
- - 类似题型
  - 注意点
  - 操作
  - - 操作部署方式
    - 操作监控接口
    - 操作管理接口
    - 添加用户-先添加相应管理员组
    - 配置角色组
    - 配置该账户权限
    - 操作邮件警告
    - 操作 SNMPv3
    - 添加 NTP 服务器
- NetLog 监控 URL 记录-HTTP访问记录-网段聊天记录-邮件收发记录
- - 涉及题型
  - 注意点
  - 操作
  - - 配置时间表
    - 操作监控 HTTP
    - 操作监控聊天
    - 操作监控所有内网邮件收发记录
- NetLog 配置应用及其应用组
- - 涉及题型
  - 注意点
  - 操作
  - - 操作策略管理 P2P
    - 操作时间表以监控内网
- Netlog ARP 数量统计-身份识别
- - 涉及题型
  - 操作
  - - ARP 数量统计-操作周期
    - 操作身份识别![请添加图片描述](https://img-blog.csdnimg.cn/73110d7acd6c44389edd280fdbbbdb27.png)
- NetLog 报表定制
- - 涉及题型
  - 操作
- WAF 配置与接入
- - 涉及题型
  - 注意点
  - 操作
  - - WAF 介入服务器操作服务管理
    - WAF 接入服务器操作日志管理
- WAF 基本防护控制
- - 涉及题型
  - 注意点
  - 操作
- WAF 限定请求阈值避免 DDOS 与缓冲区溢出
- - 涉及题目
  - 注意点
  - 操作
  - - 限定请求阈值
    - 限定 HTTP 请求数据最大长度
- WAF 爬虫防护-文件上传策略-编辑防护策略-禁止访问特殊文件
- - 操作
  - - 标识爬虫
    - 爬虫防护
  - 特殊文件格式上传阻止
  - - 禁止访问特殊文件
  - WAF 漏洞扫描功能
  - - 操作
- WAF 邮件-短信上报威胁情报
- - 涉及题型
  - 操作
- End

在我们的《2021-技能大赛-信息安全管理与评估-DCN 设备总结 (上)-任务二-设备安全配置篇（1）》篇，我们已经完成了 FW(防火墙) 和 RS(核心三层路由器) 的安全配置，下面让我带领大家进入 NetLog (日志服务器) 以及 WAF (网站应用防火墙) 的安全配置中，享受题目给大家带来的知识点以及安全设备的魅力

NetLog 时间表注意点参考

有关时间段配置参考说明：

参数	说明
周期时间	表示循环往复按周期生效的策略时间
工作日	配置范围从【周日】到【周六】，点击【全选】将全部选中。
时段	一个时间策略中每项最大可以设置四个具体时段。时段格式为：小时：分钟，例如：15：59 表示 15 时 59 分。时段具体设置要求：时段开始时间不能大于等于终止时间，至少要相差 1 分种。每项中的四个时段，不能有交集。例如：时段一：12：00-15：00 时段二：13：00-14:00，时段一与时段二存在交集，不符合时间段策略配置要求。
时间列表	记录当前时间列表信息；每项时段要求必须符合如上【时段】设置具体要求；在同一个时间策略中，位于时间列表中的每项中工作日（周日到周六）不能有重叠。例如：第一项：周日，周三 00:00-01:00 第二项，周二，周三 02:00-03:00 在这两项中【周三】出现重复设置，尽管他们时段没有重复，但是依然造成冲突。只需修改成：第一项：周日 00:00-01:00 第二项：周二 02:00-03:00 第三项：周三 00:00-01:00，02:00-03:00 即可消除这样的重叠冲突

NetLog 时间表注意点参考

有关时间段配置参考说明：

参数	说明
周期时间	表示循环往复按周期生效的策略时间
工作日	配置范围从【周日】到【周六】，点击【全选】将全部选中。
时段	一个时间策略中每项最大可以设置四个具体时段。时段格式为：小时：分钟，例如：15：59 表示 15 时 59 分。时段具体设置要求：时段开始时间不能大于等于终止时间，至少要相差 1 分种。每项中的四个时段，不能有交集。例如：时段一：12：00-15：00 时段二：13：00-14:00，时段一与时段二存在交集，不符合时间段策略配置要求。
时间列表	记录当前时间列表信息；每项时段要求必须符合如上【时段】设置具体要求；在同一个时间策略中，位于时间列表中的每项中工作日（周日到周六）不能有重叠。例如：第一项：周日，周三 00:00-01:00 第二项，周二，周三 02:00-03:00 在这两项中【周三】出现重复设置，尽管他们时段没有重复，但是依然造成冲突。只需修改成：第一项：周日 00:00-01:00 第二项：周二 02:00-03:00 第三项：周三 00:00-01:00，02:00-03:00 即可消除这样的重叠冲突

NetLog 部署方式-邮件告警-SNMPv3-NTP服务器

类似题型

在公司总部的NETLOG上配置，设备部署方式为旁路模式，并配置监控接口与管理接口。增加非admin账户NETLOG2024，密码NETLOG2024，该账户仅用于用户查询设备的日志信息和统计信息。使NETLOG能够通过邮件方式发送告警信息，邮件服务器在服务器区，IP地址是172.16.10.200，端口号25，账号test，密码test;NETLOG上配置SNMPv3，用户名admin，MD5秘钥adminABC，配置日志服务器与NTP服务器，两台服务器地址：172.16.10.200；

注意点

部署方式有一个点，并非一定要操作初装向导来改变部署方式
在添加管理员用户 NETLOG2024 时需要建立一个相关用户的管理员组NETLOG

操作

操作部署方式

系统管理 → 基本管理 → 基本信息 → 部署方式

操作监控接口

网络配置 → 网络接入 → 以太网卡

操作管理接口

系统管理 → 基本信息 → 管理端口

添加用户-先添加相应管理员组

系统管理 → 权限管理 → 管理员组

系统管理 → 权限管理 → 管理员

配置角色组

系统管理 → 权限管理 → 角色管理

配置该账户权限

系统管理 → 权限管理 → 权限分配

操作邮件警告

策略管理 → 报警策略 → 邮件管理

操作 SNMPv3

系统管理 → 基本信息 → 远程管理

添加 NTP 服务器

系统管理 → 基本信息 → NTP 配置

NetLog 监控 URL 记录-HTTP访问记录-网段聊天记录-邮件收发记录

涉及题型

在公司总部的NETLOG上配置，监控工作日（每周一到周五）期间PC1网段访问的URL中包含xunlei的HTTP访问记录，并且邮件发送告警。监控PC2网段所在网段用户的即时聊天记录。监控内网所有用户的邮件收发访问记录。

注意点

题目中要操作一个邮件发送警告

操作

配置时间表

策略管理 → 时间策略

操作监控 HTTP

应用管理 → 应用规则 → 规则配置

操作监控聊天

操作监控所有内网邮件收发记录

最后应有如下三条监控操作

NetLog 配置应用及其应用组

涉及题型

NETLOG 配置应用及应用组“P2P视频下载”，UDP协议端口号范围65551-65651，在周一至周五8：00-20：00监控内网中所有用户的“P2P视频下载”访问记录；

注意点

需要注意到题目中还有时间点所以我们需要再创建一个时间表

操作

操作策略管理 P2P

策略管理 → 应用管理 → 应用组

操作时间表以监控内网

策略管理 → 时间策略

应用管理 → 应用规则 → 规则配置

Netlog ARP 数量统计-身份识别

涉及题型

NETLOG配置对内网ARP数量进行统计，要求30分钟为一个周期；NETLOG配置开启用户识别功能,对内网所有MAC地址进行身份识别；

操作

ARP 数量统计-操作周期

策略管理 → ARP 策略

操作身份识别

NetLog 报表定制

涉及题型

NETLOG配置统计出用户请求站点最多前20排名信息，发送到邮箱为bn2024@chinaskills.com

操作

WAF 配置与接入

涉及题型

公司内部有一台网站服务器直连到WAF，地址是RS上VLAN10网段内的第五个可用地址，端口是8080，配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器， IP地址是服务器区内第六个可用地址，UDP的514端口;

注意点

可能一些同学和我一样，刚见到这题，都不知道这题目在说些什么，那么这里我带着大家一起分析一下

地址为 RS 上 VLAN 10 网段内的第五个可用地址：172.16.10.5
题目中表示 公司内部有一台网站服务器直连到WAF ：操作 WAF 中的服务-服务管理来管理服务器
又表示需要将日志发送给服务器区内第六个可用地址：172.16.10.6

这样我们再继续解题

操作

WAF 介入服务器操作服务管理

服务 → 服务管理

WAF 接入服务器操作日志管理

配置 → 日志配置

WAF 基本防护控制

涉及题型

在公司总部的WAF上配置，阻止常见的WEB攻击数据包访问到公司内网服务器，防止某源IP地址在短时间内发送大量的恶意请求，影响公司网站正常服务。

注意点

操作基本防护，阻止常见 Web 攻击
防止 CC 攻击，开启流量过大访问防护

操作

策略 → 基本攻击防护
策略 → 暴力浏览防护

WAF 限定请求阈值避免 DDOS 与缓冲区溢出

涉及题目

大量请求的确认值是：10秒钟超过3000次请求;编辑防护策略，定义HTTP请求体的最大长度为256，防止缓冲区溢出攻击;

注意点

这里与 WAF 基本防护配置有点相似
不过需要注意 WAF 有关 HTTP 类似的配置均属于协议配置

操作

限定请求阈值

策略 → 暴力浏览防护

限定 HTTP 请求数据最大长度

策略 → 协议规范检测

记得比赛的截图要勾选开启

WAF 爬虫防护-文件上传策略-编辑防护策略-禁止访问特殊文件

WAF上配置开启爬虫防护功能，当爬虫标识为360Spider，自动阻止该行为；WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件;WAF上配置编辑防护策略，要求客户机访问内部网站时，禁止访问*.bat的文件;

这题没啥注意点，纯粹操作

操作

标识爬虫

对象库 → 爬虫标识组

先添加 360Spider 的爬虫标识再操作爬虫标识组

爬虫防护

策略 → 爬虫防护

特殊文件格式上传阻止

策略 → 输入参数验证

禁止访问特殊文件

策略 → 黑白名单

WAF 漏洞扫描功能

WAF上配置，使用WAF的漏洞立即扫描功能检测服务器（172.16.10.100）的安全漏洞情况，要求包括信息泄露、SQL注入、跨站脚本编制;

操作

漏扫 → 配置

WAF 邮件-短信上报威胁情报

涉及题型

 在公司总部的WAF上配置， WAF设备的内存使用率超过50%每隔5分钟发送邮件和短信给管理，邮箱bn2024@digitalchina.com，手机13912345678；在公司总部的WAF上配置，将设备状态告警、服务状态告警信息通过邮件（发送到bn2024@digitalchina.com）及短信方式(发送到13812345678)发送给管理员;

操作

配置 → 告警配置

End

第三篇我们将进入到 WS (无线 AC) 与无线 AP 的配置中~