【正文】 日志 (Logging) . 安全日志 實施項目 安全日志 實施步驟 : 在一個 PPP 接入用戶上使用安全策略 實施細則： ? 在 接入用戶上產生 HTTP 流量。在 SCS 的日志中可以發(fā)現(xiàn)攻擊的流量的記錄 ，網絡增值業(yè)務 防火墻業(yè)務 . 安全策略的實施及驗證 實施項目 安全策略的實施及驗證 實施步驟 : ? 對一個接入用戶賦予一個前面定義的安全策略 實施細則： ? 試圖從該接入用戶向 Inter 發(fā)起一個 HTTP 會話。可以發(fā)現(xiàn)所有的流量都被丟棄和記錄在日志里 ? 從該接入用戶向被允許的 FTP 服務器發(fā)起一個 FTP 請求，可以發(fā)現(xiàn)連接是正常的 ? 從該接入用戶向不被允許的 FTP 服務器發(fā)起一個 FTP請求，可以發(fā)現(xiàn)連接 是不正常的 . ? 可以發(fā)現(xiàn)從接入用戶發(fā)出的 DNS 解析的請求工作正常 ? 可以發(fā)現(xiàn)只能從接入用戶向 Inter 發(fā)出 Ping . 出口反欺詐 (Egress Antispoofing)策略的實施及驗證 實施項目 出口反欺詐 (Egress Antispoofing)策略的實施及驗證 實施步驟 : 對一個接入用戶賦予一個前面定義的出口反欺詐策略 實施細則： ? 使用接入用戶的源地址從主干接口向接入用戶傳輸數(shù)據，可以發(fā)現(xiàn)在接入用戶端無流量被接收到。 . 入口反欺詐 (Ingress Antispoofing)策略的實施及驗證 實施項目 入口反欺詐 (Ingress Antispoofing)策略驗證 實施步驟 : 對一個接入用戶賦予一個前面定義的入口反欺詐策略 實施細則： ? 使用一個未被賦予的 IP 源地址從接入用戶的 PC傳輸數(shù)據到網絡的主干，可以發(fā)現(xiàn)無數(shù)據在網絡的主干被接收到。 流量控制業(yè)務 . 流量整形策略的實施及驗證 實施項目 流量整形策略的實施及驗證 實施步驟 : ? 把前面定義的流量整形策略賦予一個接入用戶 ? 設置連接的速率限制為 1Mbits/s 實施細則： ? 打開一個從主干到接入用戶的 FTP 會話。 可以發(fā)現(xiàn)數(shù)據接收速率為 256Kbits/s. 打開 2 個 FTP 會話，可以發(fā)現(xiàn)傳輸速率現(xiàn)在是 512 Kbits/s. ? 使用 HTTP 和 FTP開始大文件的傳輸，可以發(fā)現(xiàn) HTTP文件的傳輸速率是 FTP 的 10 倍，并且總的帶寬不超過 1 Meg/s ? 在其他傳輸還在進行時，起動一個 tel 會話，可以發(fā)現(xiàn)該會化不被其他數(shù)據傳輸?shù)挠绊? . DiffServ 策略的實施及驗證 實施項目 DiffServ 策略的實施及驗證 實施步驟 : ? 把前 面定義的 DiffServ 策略賦予一個接入用戶 實施細則： ? 從接入用戶端 PC 向? Stock_exchange_server”所指的主干節(jié)點發(fā)送 Tel 數(shù)據。在主干端使用協(xié)議分析儀，可以發(fā)現(xiàn) DS 位被設置為 AF4DP1. ? 發(fā)送 ping 命令。在主干端使用協(xié)議分析儀，可以發(fā)現(xiàn) DS 位被設置為 AF4DP1 ? 產生 H323 and Realaudio 流量?？梢园l(fā)現(xiàn) DS 位被設置為 AF3DP1. ? 產生 HTTP and FTP. 可以發(fā)現(xiàn) DS 位被設置為AF1DP1. ? 產生不在前面類別里的數(shù)據流量，可 以發(fā)現(xiàn)DiffServ 標記被清除了 . 流量管理 (Policing)策略的實施及驗證 實施項目 流量管理 (Policing)策略的實施及驗證 實施步驟 : ? 把前面定義的 Policing 及 DiffServ 策略賦予一個接入用戶 實施細則： ? 產生一個 FTP 傳輸，可以發(fā)現(xiàn)速率被限制在 128kbits/s ? 產生 ICMP 傳輸。可以發(fā)現(xiàn)速率被限制在 5kbits/s 強制門戶業(yè)務 . 強制門戶策略的實施及驗證 實施項目 強制門戶策略的實施及驗證 實施步驟 : 把前面定義的強制門戶策略賦予一個接入用戶 實施細則： ? 試圖訪問某個 WEB 網站， 可以發(fā)現(xiàn)我們訪問到了強制門戶頁面而非我們原來試圖訪問的頁面。在下面的業(yè)務選擇業(yè)務的實施中我們可以發(fā)現(xiàn)更多的強制門戶應用 Cache 重定向業(yè)務 . Cache 重定向業(yè)務的實施及驗證 實施項目 Cache 重定向業(yè)務的實施及驗證 實施步驟 : 把前面定義的 Cache 重定向策略賦予一個接入用戶 把兩臺 Web 服務器設置為 Cache 實施細則： ? 可以發(fā)現(xiàn)從 Shasta 來的 HTTP 請求都被發(fā)送到Cache Web 服務器上了。 ? 可以發(fā)現(xiàn)如果一臺 Cache 服務器當機后， 就會自動被從活躍 Cache Web 服務器的列表中去除。 網絡批發(fā)業(yè)務 . ISP contexts 實施項目 ISP Context 的實施及驗證 實施步驟 : 實施細則： ? 可以發(fā)現(xiàn)不同的 ISP 有獨立的路由表 ? 可以發(fā)現(xiàn)不同的 ISP 可以有重疊的 IP 地址空間，而且不會產生問題 ISP 選擇業(yè)務 . 基于域名的 ISP 選擇業(yè)務的實施及驗證 實施項目 基于域名的 ISP 選擇業(yè)務的實施 及驗證 實施步驟 : ? 建立一個允許多個 ISP 的連接 ? 建立一個允許多個 ISP 的連接模板 ? 建立一個帶有 ISP1 域名的接入用戶模板 ? 建立一個帶有 ISP2 域名的接入用戶模板 ? 允許這兩個接入用戶模板被用來作 ISP 選擇 ? 選用一個 PPP 接入用戶 實施細則： ? 在同一個物理連接，以屬于 ISP1 的接入用戶和域名登錄?？梢园l(fā)現(xiàn)登錄成功并且被接入了 ISP1 的網絡主干可以發(fā)現(xiàn)接入用戶的 IP 地址和 DNS 服務器地址等參數(shù)都是從 ISP1 獲取的。 ? 在同一個物理連接，以屬于 ISP2 的接入用戶和域名登錄。可以發(fā)現(xiàn)登錄成功并且被接入了 ISP2 的網絡主干可以發(fā)現(xiàn)接入用戶的 IP 地址和 DNS 服務器地址等參數(shù)都是從 ISP2 獲取的。 聯(lián)機業(yè)務選擇業(yè)務 . 聯(lián)機業(yè)務選擇業(yè)務的實施及驗證 實施項目 聯(lián)機業(yè)務選擇業(yè)務的實施及驗證 實施步驟 : ? 以適當?shù)?Scripts 設置強制門戶 Web Server ? 用前面定義的強制門戶策略定義 2 個業(yè)務 profile (基本和安全 ) ? 在安全業(yè)務 profile 上增加一個簡單的安全策略(如：禁止 Ping) 實施細則： ? 可以發(fā)現(xiàn)一個新的用戶可以通過 Web 界面進行自我業(yè)務提供 (可以自行選擇服務 級別 ) ? 可以發(fā)現(xiàn)一個已經登錄的用戶可以通過 Web 界面改變其業(yè)務級別。 VPN 業(yè)務 可以實現(xiàn)多項 VPN 業(yè)務，但由于 VPN 業(yè)務需要兩臺以上 Shasta 的支持，故本次實施暫不實現(xiàn) VPN 業(yè)務。