【正文】 日志 (Logging) . 安全日志 實(shí)施項(xiàng)目 安全日志 實(shí)施步驟 : 在一個(gè) PPP 接入用戶上使用安全策略 實(shí)施細(xì)則： ? 在 接入用戶上產(chǎn)生 HTTP 流量。在 SCS 的日志中可以發(fā)現(xiàn)攻擊的流量的記錄 ，網(wǎng)絡(luò)增值業(yè)務(wù) 防火墻業(yè)務(wù) . 安全策略的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 安全策略的實(shí)施及驗(yàn)證 實(shí)施步驟 : ? 對(duì)一個(gè)接入用戶賦予一個(gè)前面定義的安全策略 實(shí)施細(xì)則： ? 試圖從該接入用戶向 Inter 發(fā)起一個(gè) HTTP 會(huì)話?？梢园l(fā)現(xiàn)所有的流量都被丟棄和記錄在日志里 ? 從該接入用戶向被允許的 FTP 服務(wù)器發(fā)起一個(gè) FTP 請(qǐng)求，可以發(fā)現(xiàn)連接是正常的 ? 從該接入用戶向不被允許的 FTP 服務(wù)器發(fā)起一個(gè) FTP請(qǐng)求，可以發(fā)現(xiàn)連接 是不正常的 . ? 可以發(fā)現(xiàn)從接入用戶發(fā)出的 DNS 解析的請(qǐng)求工作正常 ? 可以發(fā)現(xiàn)只能從接入用戶向 Inter 發(fā)出 Ping . 出口反欺詐 (Egress Antispoofing)策略的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 出口反欺詐 (Egress Antispoofing)策略的實(shí)施及驗(yàn)證 實(shí)施步驟 : 對(duì)一個(gè)接入用戶賦予一個(gè)前面定義的出口反欺詐策略 實(shí)施細(xì)則： ? 使用接入用戶的源地址從主干接口向接入用戶傳輸數(shù)據(jù)，可以發(fā)現(xiàn)在接入用戶端無(wú)流量被接收到。 . 入口反欺詐 (Ingress Antispoofing)策略的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 入口反欺詐 (Ingress Antispoofing)策略驗(yàn)證 實(shí)施步驟 : 對(duì)一個(gè)接入用戶賦予一個(gè)前面定義的入口反欺詐策略 實(shí)施細(xì)則： ? 使用一個(gè)未被賦予的 IP 源地址從接入用戶的 PC傳輸數(shù)據(jù)到網(wǎng)絡(luò)的主干，可以發(fā)現(xiàn)無(wú)數(shù)據(jù)在網(wǎng)絡(luò)的主干被接收到。 流量控制業(yè)務(wù) . 流量整形策略的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 流量整形策略的實(shí)施及驗(yàn)證 實(shí)施步驟 : ? 把前面定義的流量整形策略賦予一個(gè)接入用戶 ? 設(shè)置連接的速率限制為 1Mbits/s 實(shí)施細(xì)則： ? 打開(kāi)一個(gè)從主干到接入用戶的 FTP 會(huì)話。 可以發(fā)現(xiàn)數(shù)據(jù)接收速率為 256Kbits/s. 打開(kāi) 2 個(gè) FTP 會(huì)話，可以發(fā)現(xiàn)傳輸速率現(xiàn)在是 512 Kbits/s. ? 使用 HTTP 和 FTP開(kāi)始大文件的傳輸，可以發(fā)現(xiàn) HTTP文件的傳輸速率是 FTP 的 10 倍，并且總的帶寬不超過(guò) 1 Meg/s ? 在其他傳輸還在進(jìn)行時(shí)，起動(dòng)一個(gè) tel 會(huì)話，可以發(fā)現(xiàn)該會(huì)化不被其他數(shù)據(jù)傳輸?shù)挠绊? . DiffServ 策略的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 DiffServ 策略的實(shí)施及驗(yàn)證 實(shí)施步驟 : ? 把前 面定義的 DiffServ 策略賦予一個(gè)接入用戶 實(shí)施細(xì)則： ? 從接入用戶端 PC 向? Stock_exchange_server”所指的主干節(jié)點(diǎn)發(fā)送 Tel 數(shù)據(jù)。在主干端使用協(xié)議分析儀，可以發(fā)現(xiàn) DS 位被設(shè)置為 AF4DP1. ? 發(fā)送 ping 命令。在主干端使用協(xié)議分析儀，可以發(fā)現(xiàn) DS 位被設(shè)置為 AF4DP1 ? 產(chǎn)生 H323 and Realaudio 流量?？梢园l(fā)現(xiàn) DS 位被設(shè)置為 AF3DP1. ? 產(chǎn)生 HTTP and FTP. 可以發(fā)現(xiàn) DS 位被設(shè)置為AF1DP1. ? 產(chǎn)生不在前面類別里的數(shù)據(jù)流量，可 以發(fā)現(xiàn)DiffServ 標(biāo)記被清除了 . 流量管理 (Policing)策略的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 流量管理 (Policing)策略的實(shí)施及驗(yàn)證 實(shí)施步驟 : ? 把前面定義的 Policing 及 DiffServ 策略賦予一個(gè)接入用戶 實(shí)施細(xì)則： ? 產(chǎn)生一個(gè) FTP 傳輸，可以發(fā)現(xiàn)速率被限制在 128kbits/s ? 產(chǎn)生 ICMP 傳輸?？梢园l(fā)現(xiàn)速率被限制在 5kbits/s 強(qiáng)制門戶業(yè)務(wù) . 強(qiáng)制門戶策略的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 強(qiáng)制門戶策略的實(shí)施及驗(yàn)證 實(shí)施步驟 : 把前面定義的強(qiáng)制門戶策略賦予一個(gè)接入用戶 實(shí)施細(xì)則： ? 試圖訪問(wèn)某個(gè) WEB 網(wǎng)站， 可以發(fā)現(xiàn)我們?cè)L問(wèn)到了強(qiáng)制門戶頁(yè)面而非我們?cè)瓉?lái)試圖訪問(wèn)的頁(yè)面。在下面的業(yè)務(wù)選擇業(yè)務(wù)的實(shí)施中我們可以發(fā)現(xiàn)更多的強(qiáng)制門戶應(yīng)用 Cache 重定向業(yè)務(wù) . Cache 重定向業(yè)務(wù)的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 Cache 重定向業(yè)務(wù)的實(shí)施及驗(yàn)證 實(shí)施步驟 : 把前面定義的 Cache 重定向策略賦予一個(gè)接入用戶 把兩臺(tái) Web 服務(wù)器設(shè)置為 Cache 實(shí)施細(xì)則： ? 可以發(fā)現(xiàn)從 Shasta 來(lái)的 HTTP 請(qǐng)求都被發(fā)送到Cache Web 服務(wù)器上了。 ? 可以發(fā)現(xiàn)如果一臺(tái) Cache 服務(wù)器當(dāng)機(jī)后， 就會(huì)自動(dòng)被從活躍 Cache Web 服務(wù)器的列表中去除。 網(wǎng)絡(luò)批發(fā)業(yè)務(wù) . ISP contexts 實(shí)施項(xiàng)目 ISP Context 的實(shí)施及驗(yàn)證 實(shí)施步驟 : 實(shí)施細(xì)則： ? 可以發(fā)現(xiàn)不同的 ISP 有獨(dú)立的路由表 ? 可以發(fā)現(xiàn)不同的 ISP 可以有重疊的 IP 地址空間，而且不會(huì)產(chǎn)生問(wèn)題 ISP 選擇業(yè)務(wù) . 基于域名的 ISP 選擇業(yè)務(wù)的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 基于域名的 ISP 選擇業(yè)務(wù)的實(shí)施 及驗(yàn)證 實(shí)施步驟 : ? 建立一個(gè)允許多個(gè) ISP 的連接 ? 建立一個(gè)允許多個(gè) ISP 的連接模板 ? 建立一個(gè)帶有 ISP1 域名的接入用戶模板 ? 建立一個(gè)帶有 ISP2 域名的接入用戶模板 ? 允許這兩個(gè)接入用戶模板被用來(lái)作 ISP 選擇 ? 選用一個(gè) PPP 接入用戶 實(shí)施細(xì)則： ? 在同一個(gè)物理連接，以屬于 ISP1 的接入用戶和域名登錄?？梢园l(fā)現(xiàn)登錄成功并且被接入了 ISP1 的網(wǎng)絡(luò)主干可以發(fā)現(xiàn)接入用戶的 IP 地址和 DNS 服務(wù)器地址等參數(shù)都是從 ISP1 獲取的。 ? 在同一個(gè)物理連接，以屬于 ISP2 的接入用戶和域名登錄?？梢园l(fā)現(xiàn)登錄成功并且被接入了 ISP2 的網(wǎng)絡(luò)主干可以發(fā)現(xiàn)接入用戶的 IP 地址和 DNS 服務(wù)器地址等參數(shù)都是從 ISP2 獲取的。 聯(lián)機(jī)業(yè)務(wù)選擇業(yè)務(wù) . 聯(lián)機(jī)業(yè)務(wù)選擇業(yè)務(wù)的實(shí)施及驗(yàn)證 實(shí)施項(xiàng)目 聯(lián)機(jī)業(yè)務(wù)選擇業(yè)務(wù)的實(shí)施及驗(yàn)證 實(shí)施步驟 : ? 以適當(dāng)?shù)?Scripts 設(shè)置強(qiáng)制門戶 Web Server ? 用前面定義的強(qiáng)制門戶策略定義 2 個(gè)業(yè)務(wù) profile (基本和安全 ) ? 在安全業(yè)務(wù) profile 上增加一個(gè)簡(jiǎn)單的安全策略(如：禁止 Ping) 實(shí)施細(xì)則： ? 可以發(fā)現(xiàn)一個(gè)新的用戶可以通過(guò) Web 界面進(jìn)行自我業(yè)務(wù)提供 (可以自行選擇服務(wù) 級(jí)別 ) ? 可以發(fā)現(xiàn)一個(gè)已經(jīng)登錄的用戶可以通過(guò) Web 界面改變其業(yè)務(wù)級(jí)別。 VPN 業(yè)務(wù) 可以實(shí)現(xiàn)多項(xiàng) VPN 業(yè)務(wù)，但由于 VPN 業(yè)務(wù)需要兩臺(tái)以上 Shasta 的支持，故本次實(shí)施暫不實(shí)現(xiàn) VPN 業(yè)務(wù)。