最近學到ISCW的最後幾節，看了張sir的LAB視訊，因此就依葫蘆畫瓢，認真學習了這個綜合實驗，花了兩天時間終於完成這個實驗了和這份實驗日誌..命令都是自己打出來的，自己辛苦，方便大眾..稍後我會將每條命令的詳解補上去...

PS：在此首先感謝haocong，用的實驗的環境是haocong 製作的ISCW實驗機架，本文章很多部分參考了haocong的一些文章！再次感謝網友haocong的無私奉獻。 實驗圖： 實驗需求： 1、所有這三個路由器上不必要的服務都應該被關閉，這需要手動完成。對所有路由器的訪問使用SSH（阻塞Telnet服務）。只允許網路管理員（172.16.4.12、172.16.4.13、172.16.4.14和172.16.4.15)訪問EXEC。 2、每個管理員有一個單獨的帳號來訪問路由器。使用AAA設定對路由器的訪問認證。所有執行的命令和系統事件應該被記錄。AAA伺服器將使用CISCO Secure ACS，以TACACS—+作為安全協議。即使是分支機構的路由器上也設定AAA功能。 3、標準的擴充套件ACL用來在內部路由器上執行策略限制。標準的擴充套件ACL也用在分支機構路由器———路由器C。 4、邊界路由器———路由器A上將使用標準的擴充套件ACL和機遇上下問的訪問控制（Context-Based Access Control,CBAC)組合來實施過濾。對E-mail和HTTP應該建立審查機制。內部路由器也使用CBAC，允許從外部返回的流量並審查SMTP流量。 5、在邊界路由器上通過Websense伺服器對Web流量實施過濾。 6、在邊界路由器上需要碑誌地址轉換，對DMZ裝置需要靜態轉換，對所有其他要訪問Internet的內部裝置實施動態轉換。對×××連線，應該關閉地址轉換。 7、由於子網數目很少，應該使用靜態路由作路由選擇，使用逆向路徑轉發（Reverse-path forwarding，RPF）來防止某種型別的欺騙***。 8、在公司總部和分支機構的邊界路由器上實施IDS，用於提供增強的保護。任何***都被記錄在系統日誌伺服器上，對TCP連線***使用TCO復位。 9、使用CBAC來組織一連線***，包括TCP SYN洪水***。 10、由於Internet訪問限制ICMP和UDP的使用，公司關注使用這些協議的DoS***，因此決定通過NBAR來實施速率限制。 11、使用NTP來同步裝置的時間。內部系統日誌伺服器也用作主NTP時間源，認證被用來嚴整裝置的身份。所有三個路由器都使用時間戳將日誌訊息記錄到日誌伺服器。對分支機構的路由器C，這些訊息應該被加密。 12、使用戰到戰的IPSec ×××來保護分支機構和公司總部之間的流量。所有的分佈流量必須通過該連線，包括最終Internet的流量。裝置的認證採用預共享祕匙完成。 13、實施Easy×××來處理遠端接入使用者。有三個組的使用者：admin、accounting和user。Admin組包括網路管理員。accounting組包括遠端接入的財務人員，對這些人員要實施適當的限制。User組包括其他所有的員工。這些使用者如果要訪問Inetrnet，則需要安裝軟體放火牆；所有公司傳送到公司總部的流量都應該被保護。