网络安全与管理系统设计与架构培训资料14721.docx

《网络安全与管理系统设计与架构培训资料14721.docx》由会员分享，可在线阅读，更多相关《网络安全与管理系统设计与架构培训资料14721.docx（75页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实验报告告课程名称称：网络络安全与与管理系系统设计计与架构构学院：信信息科学学与工程程学院专业：网网络工程程13 班级：20013级级姓名：林林靖皓学学号：200130010551611620166年7月3日山东科技技大学教务处制实验报告告组别16姓名林靖皓同组实验验者实验项目目名称实验一SSSL实实验实验日期期第8周周周二7,8节教师评语语实验成绩绩指导教师师廉文娟一、 实验目的的 了了解SSSL是NNetsscappe公司司发明的的一种用用于WEEB的安安全传输输协议。 随着着时间的的推移由由于Neetsccapee失去了了市场份份额，它它将SSSL的维维护工作作移交给给因特网网工程任任务

2、组（IIETFF）。第第一个后后Nettscaape版版本被重重新命名名为安全全传输层层协议（TTLS）， TLSS (TTrannspoort Layyer Seccuriity :RFFC 222466)是基基于SSSL上研研发的，但但是与SSSLvv3.00有细微微的差别别。二、实验验环境Winddowss下SSSLVPNN的网络络拓扑如如图3.3.33-1所所示，其其中：客户端端：本地地主机(WinndowwsXP)，IPP地址1172.22.1.XX服务端：Winndowws实验验台VPPN服务务器，IIP地址址：1772.222.XX.X/16，内内网IPP为1772.220.XX

3、.X/16二、实验验步骤一、根根据实验验拓扑配配置环境境根据实验验环境中中的拓扑扑图，配配置服务务器(WWinddowss实验台台)与客客户端(本地主主机)的的IP地地址。二、安装与与配置这一部分分是服务务端跟客客户端都都要做的的工作，操操作完全全相同。具体如如下：双击oopennvpnn-2.0.99.exxe进行行安装，点点击NEEXT、IAgrree、NEXXT之后后开始选选择安装装路径，手手动修改改为C:PrrogrramFillesOpeenVPPN。点击击Insstalll开始安安装，安安装过程程如图33.3.3-22所示；安装过过程中，弹弹出硬件件安装窗窗口，点点击仍然然继续，安

4、安装虚拟拟网卡。点击nexxt、FFiniish完成安安装。三、VVPN服服务器初初始化配配置在进行操操作之前前，首先先进行初初始化工工作：打开命令令提示符符：“开始|运行”，键入入cmdd，回车车，进入入命令提提示符；或者“开始|程序|附件|命令提提示符”；进入C:PrrogrramFillesopeenvppneeasyy-rssa目录录下，开开始初始始化，具具体命令令如下：cdCC:PProggrammFillesopeenvppneeasyy-rssainiit-cconffigvarrscleean-alll如下下图：上面是初初始化工工作，以以后，在在进行证证书制作作工作时时，仍旧旧

5、需要进进行初始始化，但但只需要要进入oopennvpnneaasy-rsaa目录，运运行vaars就就可以了了，不需需要上面面那些步步骤了。四、服服务器证证书的制制作(1)生成根根证书输入buuildd-caa.baat，如如图所示示；输入buuildd-dhh.baat，如如图所示示。(2)生成服服务端密密钥输入buuildd-keey-sservverserrverr，生成成服务端端密钥；生成服服务端密密钥的过过程中，所所填写的的commmonnnamme需要要与buuildd-caa中所输输入的ccommmonnamme名称称一致，其其余的摁摁空格选选择默认认或手动动输入皆皆可；具具体如

6、图图所示。(3)生成客客户端密密钥输入buuildd-keeycliientt1生成成第一个个VPNN客户端端密钥，如如图所示示；builld-kkeycliientt2/可可以继续续配置第第二个VVPN客客户端密密钥；生成的的密钥存存放于CC:PProggrammFillesopeenvppneeasyyrssakkeyss目录下下。五、配配置服务务器在C:ProograamFillesOpeenVPPNeeasyy-rssakkeyss目录下下，将生生成的“ca.crtt”、“dh110244.peem”、“serrverr.crrt”、“serrverr.keey”复制到到C:Proog

7、raamFillesOPEENVPPNKKEY目目录下（如如果没有有可以自自己创建建）,这这四个文文件是VVPN服服务端运运行所需需要的文文件。注：“cca.ccrt”“dhh10224.ppem”“seerveer.ccrt”“seerveer.kkey”这四个个文件是是VPNN服务端端运行所所需要的的文件。“ca.crtt”“clliennt.ccrt”“clliennt.kkey”是VPPN客户户端所需需要的文文件在C:ProograamFillesOpeenVPPNcconffig目目录下创创建seerveer.oovpnn，服务务器端文文件(sservver.ovppn)示示例：lo

8、caal1722.222.1.X#建立立VPNN的IPPportt4433#端口口号，根根据需要要，自行行修改，如如果是用用htttp代理理连接，请请不要修修改proototcpp-seerveer#通过过TCPP协议连连接devvtapp#wiin下必必须设为为tappservver1722.200.0.02555.2555.00.0#虚拟局局域网网网段设置置，请根根据需要要自行修修改，不不支持和和拔号网网卡位于于同一网网段pushhrooutee0.00.0.00.00.0.0#表示示cliientt通过VVPNSERRVERR上网keeepallivee201800caC:Prrogrr

9、amFillesOPPENVVPNKEEYca.crtt#CAA证书存存放位置置，请根根据实际际情况自自行修改改certtC:PProggrammFillesOPPENVVPNKEEYserrverr.crrt#服务务器证书书存放位位置，请请根据实实际情况况自行修修改keyC:PProggrammFillesOPPENVVPNKEEYserrverr.keey#服务务器密钥钥存放位位置，请请根据实实际情况况自行修修改dhC:PrrogrramFillesOPPENVVPNKEEYdh110244.peem#dhh10224.ppem存存放位置置，请根根据实际际情况自自行修改改pushhreed

10、irrectt-gaatewwaydeff1pushhdhhcp-opttionnDNSS2199.1441.1140.10#DNNS，请请根据实实际情况况自行修修改moddeserrverrtlss-seerveerstattusC:PProggrammFillesOPPENVVPNloogopeenvppn-sstattus.logg#LOOG记录录文件存存放位置置，请根根据实际际情况自自行修改改compp-lzzoverrb4六、配配置客户户端“ca.crtt”“clliennt.ccrt”“clliennt.kkey”是VPPN客户户端所需需要的文文件，复复制到客客户端CC:PProg

11、grammFillesOPEENVPPNKKEY目目录下（如如果没有有可以自自己创建建）。在客户端端安装完完成之后后，需要要将ca.crttcliientt1.ccrtcliientt1.kkey这三个个文件拷拷贝到CC:PProggrammFillesopeenvppnkkey目目录下，这这三个文文件由服服务端生生成，所所以，连连接谁的的服务器器，就需需要跟谁谁索取这这三个文文件。然后，编编辑一个个cliientt.ovvpn的的配置文文件存放放到C:PrrogrramFillesopeenvppncconffig目目录下，客客户端就就可以进进行连接接了；客客户端文文件(cclieent.o

12、vppn)示示例：七、VVPN服服务端命命令行启启动:Opennvpnn.exxeC:PrrogrramFillesOpeenVPPNcconffigserrverr.ovvpn/启启动VPPN到4443端端口八、VPNN客户端端命令行行连接:Opennvpnn.exxeC:PrrogrramFillesOpeenVPPNcconffigcliientt.ovvpn九、VPNN安全性性验证上面的配配置拔号号成功后后，VPPNSERRVERR的IPP为1772.220.11.Y，VVPNcliientt的IPP为1772.220.11.Y。(1)在VPPNcliientt上piingVPNNSE

13、RRVERR；(2)分别抓抓取真实实网卡与与虚拟网网卡的数数据包作作对比。具体结结果如下下：(1)真实网网卡：抓抓取的为为加密sssl数数据包(图3.3.33-8为为实际环环境举例例)。三、 实验总结结 需需要多练练多问多多百度实验报告告组别16姓名林靖皓同组实验验者实验项目目名称实验二 Linnux防防火墙实验日期期第9周周周二7,8节教师评语语实验成绩绩指导教师师廉文娟一、实验验目的1、了解解防火墙墙的主要要类型2、了解解和用CCLI配配置 CCBACC (IIOS 有状态态的包检检查)3、了解解和用CCLI和和SDMM配置区区域（ZZonee-Baasedd）策略略防火墙墙二、实验验环境

14、1 网网络中包包括两个个子网AA和B。子网AA的网络络地址为为1922.1668.11.0/24网关为为hosstA。HosstA有两个接接口ethh0和eeth11。Etth0连连接子网网AIP地地址为1192.1688.1.1。eeth11连接外外部网络络Ip地址址为100.0.0.111。子子网B的的网络地地址为1192.1688.100.0/24网关为为hosstB。HosstB有有两个网络接口口ethh0和eeth11。etth0连连接子网网B,IIP地址址为1992.1168.10.1。eeth11连接外外部网络络IP地址为110.00.0.1011。hoostAA和HoostBB

15、构成子子网C,网络地地址是110.00.0.0/224通过集集线器连连接到hosstC然后通通过hoostCC连接IInteerneet。HHosttC的内内部网络络接口为为ethh0IP地地址为110.00.0.1。 2 在在hosstA、hosstB和和hosstC上上都已经经安装好好Linnux系系统并且在在hosstC上上已经设设置好了了Squiid代理理服务器器。 三、 实验内容容开始配置置(1)查查看本机机关于IIPTAABLEES的设设置情况况roootttp # ipttablles -L -n可以看出出我在安安装liinuxx时,选选择了有有防火墙墙,并且且开放了了22,80

16、,25端端口.如果你在在安装llinuux时没没有选择择启动防防火墙,是这样样的roootttp # ipttablles -L -n(2)清清除原有有规则.不管你在在安装llinuux时是是否启动动了防火火墙,如如果你想想配置属属于自己己的防火火墙,那那就清除除现在ffiltter的的所有规规则.roootttp # ipttablles -F 清除除预设表表fillterr中的所所有规则则链的规规则roootttp # ipttablles -X 清除除预设表表fillterr中使用用者自定定链中的的规则roootttp # /ettc/rrc.dd/innit.d/iiptaablees

17、 ssavee这样就可可以写到到/ettc/ssyscconffig/ipttablles文文件里了了.写入入后记得得把防火火墙重起起一下,才能起起作用.roootttp # serrvicce iiptaablees rresttartt现在IPPTABBLESS配置表表里什么么配置都都没有了了,那我我们开始始我们的的配置吧吧(3)设设定预设设规则roootttp # ipttablles -p INPPUT DROOProootttp # ipttablles -p OUTTPUTT ACCCEPPTroootttp # ipttablles -p FORRWARRD DDROPP上面的意

18、意思是,当超出出了IPPTABBLESS里fiilteer表里里的两个个链规则则(INNPUTT,FOORWAARD)时,不不在这两两个规则则里的数数据包怎怎么处理理呢,那那就是DDROPP(放弃弃).应应该说这这样配置置是很安安全的.我们要要控制流流入数据据包而对于OOUTPPUT链链,也就就是流出出的包我我们不用用做太多多限制,而是采采取ACCCEPPT,也也就是说说,不在在着个规规则里的的包怎么么办呢,那就是是通过.可以看出出INPPUT,FORRWARRD两个个链采用用的是允允许什么么包通过过,而OOUTPPUT链链采用的的是不允允许什么么包通过过.(4)添添加规则则.首先添加加INP

19、PUT链链,INNPUTT链的默默认规则则是DRROP,所以我我们就写写需要AACCEETP(通过)的链为了能采采用远程程SSHH登陆,我们要要开启222端口口.roootttp # ipttablles -A INPPUT -p tcpp -dpoort 22 -j ACCCEPTTroootttp # ipttablles -A OUTTPUTT -pp tccp -spportt 222 -jj ACCCEPPT (注:这这个规则则,如果果你把OOUTPPUT 设置成成DROOP的就就要写上上这一部部,好多多人都是是望了写写这一部部规则导导致,始始终无法法SSHH.在远远程一下下,是不不

20、是好了了.其他的端端口也一一样,如如果开启启了weeb服务务器,OOUTPPUT设设置成DDROPP的话,同样也也要添加加一条链链:roootttp # ipttablles -A OUTTPUTT -pp tccp -spportt 800 -jj ACCCEPPT ,其他同同理.)如果做了了WEBB服务器器,开启启80端端口.roootttp # ipttablles -A INPPUT -p tcpp -dpoort 80 -j ACCCEPTT如果做了了邮件服服务器,开启225,1110端端口.roootttp # ipttablles -A INPPUT -p tcpp -dpoor

21、t 1100 -jj ACCCEPPTroootttp # ipttablles -A INPPUT -p tcpp -dpoort 25 -j ACCCEPTT如果做了了FTPP服务器器,开启启21端端口roootttp # ipttablles -A INPPUT -p tcpp -dpoort 21 -j ACCCEPTTroootttp # ipttablles -A INPPUT -p tcpp -dpoort 20 -j ACCCEPTT如果做了了DNSS服务器器,开启启53端端口roootttp # ipttablles -A INPPUT -p tcpp -dpoort 53

22、-j ACCCEPTT如果你还还做了其其他的服服务器,需要开开启哪个个端口,照写就就行了.二,配置置一个NNAT表表放火墙墙1,查看看本机关关于NAAT的设设置情况况roootttp rrc.dd# ipttablles -t natt -LLChaiin PPRERROUTTINGG (ppoliicy ACCCEPTT)targget proot oopt souurcee ddesttinaatioon Chaiin PPOSTTROUUTINNG (pollicyy ACCCEPPT)targget proot oopt souurcee ddesttinaatioon SNATT a

23、lll - 1992.1168.0.00/244 anyywheere too:2111.1101.46.2355Chaiin OOUTPPUT (pooliccy AACCEEPT)targget proot oopt souurcee ddesttinaatioon 我的NAAT已经经配置好好了的(只是提提供最简简单的代代理上网网功能,还没有有添加防防火墙规规则).关于怎怎么配置置NATT,参考考我的另另一篇文文章当然你如如果还没没有配置置NATT的话,你也不不用清除除规则,因为NNAT在在默认情情况下是是什么都都没有的的如果你想想清除,命令是是roootttp # ipttablles

24、-F -t nattroootttp # ipttablles -X -t nattroootttp # ipttablles -Z -t natt2,添加加规则添加基本本的NAAT地址址转换,(关于于如何配配置NAAT可以以看我的的另一篇篇文章),添加规则则,我们们只添加加DROOP链.因为默默认链全全是ACCCEPPT.防止外网网用内网网IP欺欺骗roootttp ssyscconffig# iiptaablees -t nnat -A PREEROUUTINNG -i eeth00 -ss 100.0.0.00/8 -j DROOProootttp ssyscconffig# iipta

25、ablees -t nnat -A PREEROUUTINNG -i eeth00 -ss 1772.116.00.0/12 -j DROOProootttp ssyscconffig# iiptaablees -t nnat -A PREEROUUTINNG -i eeth00 -ss 1992.1168.0.00/166 -jj DRROP如果我们们想,比比如阻止止MSNN,QQQ,BTT等的话话,需要要找到它它们所用用的端口口或者IIP,(个人认认为没有有太大必必要)例：禁止与2211.1011.466.2553的所所有连接接roootttp # ipttablles -t natt -

26、AA PRREROOUTIING -d 2111.1001.446.2253 -j DROOP禁用FTTP(221)端端口roootttp # ipttablles -t natt -AA PRREROOUTIING -p tcpp -dpoort 21 -j DROOP这样写范范围太大大了,我我们可以以更精确确的定义义.roootttp # ipttablles -t natt -AA PRREROOUTIING -p tcpp -dpoort 21 -d 2111.1001.446.2253 -j DROOP这样只禁禁用2111.1101.46.2533地址的的FTPP连接,其他连连接还可

27、可以.如如webb(800端口)连接.按照我写写的,你你只要找找到QQQ,MSSN等其其他软件件的IPP地址,和端口口,以及及基于什什么协议议,只要要照着写写就行了了.最后：dropp非法连连接roootttp # ipttablles -A INPPUT -mm sttatee -staate INVVALIID -j DDROPProootttp # ipttablles -A OUTTPUTT -mm sttatee -staate INVVALIID -j DDROPProootttp # ipttablles-A FFORWWARDD -mm sttatee -staate INVV

28、ALIID -j DDROPP允许所有有已经建建立的和和相关的的连接roootttp # ipttablles-A IINPUUT -m sstatte -sttatee ESSTABBLISSHEDD,REELATTED -j ACCCEPTTroootttp # ipttablles-A OOUTPPUT -m staate -sstatte EESTAABLIISHEED,RRELAATEDD -jj ACCCEPPTroootttp # /ettc/rrc.dd/innit.d/iiptaablees ssavee这样就可可以写到到/ettc/ssyscconffig/ipttabll

29、es文文件里了了把防火火墙重起起一下，起起作用。四、 实验总结结 通过此此次防火火墙的实实验，模模拟进行行了简单单的防火火墙的工工作，对对防火墙墙的基本本工作原原理有了了认识，加加深了对对网络传传输协议议体系的的理解，也也学习到到了对LLinuux内核核扩展的的方法。实验报告告组别16姓名林靖皓同组实验验者实验项目目名称实验三思思科防火火墙配置置与入侵侵检测技技术实验日期期第10周周周二77,8节节教师评语语实验成绩绩指导教师师廉文娟一、实实验目的的通过该实实验了解解PIXX防火墙墙的软硬硬件组成成结构，掌掌握PIIX防火火墙的工工作模式式，熟悉悉PIXX防火墙墙的6条条基本指指令，掌掌握PI

30、IX防火火墙的动动态、静静态地址址映射技技术，掌掌握PIIX防火火墙的管管道配置置，熟悉悉PIXX防火墙墙在小型型局域网网中的应应用。二、实实验任务务l观察察PIXX防火墙墙的硬件件结构，掌掌握硬件件连线方方法ll查看看PIXX防火墙墙的软件件信息，掌掌握软件件的配置置模式l了解解PIXX防火墙墙的6条条基本指指令，实实现内网网主机访访问外网网主机三、实实验设备备PIX5501防防火墙一一台，CCISCCO29550交换换机两台台，控制制线一根根，网络络连接线线若干，PPC机若若干四、实实验拓扑扑图及内内容图中DMMZ区域域没有配配置，只只是配置置了内网网R1和和外网RR4，外网R44：R4#

31、cconfftEnteerconnfigguraatiooncommmannds,oneeperrlinne.EnndwitthCNTTL/ZZ.R4(connfigg)#iintf0/0R4(cconffig-if)#ippaddd1922.1668.11.22555.2555.2255.0R4(cconffig-if)#nooshuutR4(cconffig-if)#exxit*Marr100:02:56.0599:%LIINK-3-UUPDOOWN:IntterffaceeFasstEttherrnett0/00,chaangeedstaatetoup*Marr100:02:57.059

32、9:%LIINEPPROTTO-55-UPPDOWWN:LinneprootoccolonIntterffaceeFasstEttherrnett0/00,chaangeedstaatetoupR4(cconffig)#ipprouute0.00.0.00.00.0.01922.1668.11.3R4(cconffig)#内网R11：R1#cconfftEnteerconnfigguraatiooncommmannds,oneeperrlinne.EnndwitthCNTTL/ZZ.R1(connfigg)#iintf0/0R1(cconffig-if)#ippaddd10.1.11.2255

33、5.2555.2255.0R1(cconffig-if)#nooshuutR1(connfigg-iff)#*Marr100:01:32.1155:%LIINK-3-UUPDOOWN:IntterffaceeFasstEttherrnett0/00,chaangeedstaatetoup*Maar100:01:33.1155:%LIINEPPROTTO-55-UPPDOWWN:LinneprootoccolonIntterffaceeFasstEttherrnett0/00,chaangeedstaatetoupR1(cconffig-if)#exxitR1(cconffig)#ipprouu

34、te0.00.0.00.00.0.010.1.11.3R1(cconffig)#exxitR1#*Marr100:53:05.2877:%SYYS-55-COONFIIG_II:ConnfiggureedfroomconnsollebyconnsolleR1#防火墙上上的配置置：pixffireewalll#connftpixffireewalll(cconffig)#hosstnaamepixxpix(connfigg)#pixx(coonfiig)#pix(connfigg)#intte0pix(connfigg-iff)#ipaddd10.1.11.32555.2555.2255.0pi

35、x(connfigg-iff)#nammeiffinssideeINFOO:Seccuriitylevvelforrinnsiddesettto1000bydeffaullt.pix(connfigg-iff)#noshuutpix(connfigg-iff)#exiitpix(connfigg)#intte1pix(connfigg-iff)#nammeiffouttsiddeINFOO:Seccuriitylevvelforrouutsiidesettto0bydeffaullt.pix(connfigg-iff)#ipaddd1922.1668.11.3pix(connfigg-iff)

36、#ipaddd1922.1668.11.32555.2555.2255.0pix(connfigg-iff)#noshuutpix(connfigg-iff)#exiitpix(connfigg)#staaticc(innsidde,ooutssidee)1922.1668.11.410.1.11.4nettmassk2555.2555.2255.2555pix(connfigg)#acccesss-liist1000perrmitticmmpanyyanyypix(connfigg)#acccesss-grrpix(connfigg)#acccesss-grroupp1000ininttpi

37、x(connfigg)#acccesss-grroupp1000inintterffaceeouttsiddepix(connfigg)#exiitpixx#五、实验验结果内网piing外外网：外网piing内内网：五、实验验总结：pixx防火墙墙默认情情况下，从从高安全全级别到到低安全全级别的的流量是是被允许许的，从从低安全全级别访访问高安安全级别别的流量量默认是是被禁止止的。要要使流量量可以从从低安全全级别访访问高安安全级别别，需要要使用访访问列表表。实验报告告组别16姓名林靖皓同组实验验者实验项目目名称实验四VVPN配配置实验日期期第11周周周二77,8节节教师评语语实验成绩绩指导教师师

38、廉文娟一、实验验目的：1） 掌握IIKE阶阶段1和和阶段22的协商商过程2） 在ciiscoo路由器器上配置置IPSSecVPNN二、实验验步骤：实验拓拓扑图：1）R11配置encconffthossr1inttfa00/0ipaad1000.0.0.112555.2555.2255.2522noshinttfa11/0ipaad10.0.00.12555.2555.2255.0noshexiitiprroutte0.00.0.00.00.0.01000.0.0.22/阶阶段1配配置/交换换ISAAKMPP/IKKE传输输集crypptoisaakmpppollicyy1/建立立ISAAKMP

39、P/IKKE的管管理连接接策略encrrypttionn3dees/指定定管理连连接的最最后两个个报文（用用于身份份验证）采采用3ddes加加密算法法hashhmd55/指定定验证过过程采用用HMAAC（散散列消息息验证码码）功能能grooup2/指定定DH密密钥组，生生成对称称的密钥钥DH算算法authhentticaatioonpree-shharee/指定定设备验验证的类类型为：预共享享密钥lifeetimmesecconddes864400/配置置管理连连接的生生存周期期exiit/通过过DH算算法实现现密钥交交换crypptoisaakmppkeyy6bennetadddresss2

40、000.0.0.11/阶阶段2配配置/配置置cryyptooACLL（定义义触发VVPN流流量的AACL）acceess-lisst1000perrmittip10.0.00.00.00.0.255511.0.00.00.00.0.2555/定定义阶段段2的传传输集crypptoipssectraansfformm-seetr1rr2ah-shaa-hmmacespp-aeesexiit/配置置cryyptoomappcrypptomappr1rr2maap1ipssec-isaakmppmattchadddesss1000settpeeer2000.0.0.11setttraansfform

41、m-seetr1rr2inttfa00/0/将ccrypptompaa应用到到接口cryyptoomappr1rr2maap2）R22配置encconffthossr2inttfa00/0ipaad1000.0.0.222555.2555.2255.2522noshinttfa11/0ipaad2000.0.0.222555.2555.2255.2522noshexiit3）R33配置encconffthossr3inttfa00/0ipaad11.0.00.12555.2555.2255.0noshintfa11/0ipaad2000.0.0.112555.2555.2255.2522noshexiitiprroutte0.00.0.00.00.0.02000.0.0.22/阶阶段1配配置/交换换ISAAKMPP/IKKE传输输集cryyptooisaakmpppollicyy1enccrypptioon3deeshasshmd55/设备备身份验验证authhentticaatioonpree-shhareegrooup