1、第二次网络安全实验企业典型网络安全架构部署实验【实验内容】学习配置防火墙的典型连接模式配置防火墙的IP地址及vpn网络功能企业典型网络安全架构部署实验【实验原理】SmoothWall 是免费开放源代码网络防火墙。SmoothWall同时支持ISDN,ASDL/Cable和多网卡等网络设备,基于web界面的SmoothWall防火墙软件有着非常丰富的选项。您可以将它配置成一个代理服务器,或者DHCP服务器,或者为绿色区域服务的某些特别端口的包转发服务器等等。作为一个代理服务器,你可以设置一些高级选项,比如用户端认证和延迟池等等。这些功能对小公司或者家庭用户来说还是很有用的,但是对于大型企业来说,
2、它们都是有自己特定的代理服务器。您可以为你的DHCP服务器配置地址范围、WINS服务器和静态IP地址。你也可以选择动态DNS,提供远程连接服务的SSH程序和时间服务器。SmoothWall通过第三方插件,可以扩展入侵检测、防病毒等其它功能,目前在开源社区以及开发了几十个插件,通过这些插件使得SmoothWall防火墙甚至达到了UTM的功能。说明:典型网络分为Green、Red及Orange三个区域,其中Green区域为内网,Red区域为外网,Orange区域为DMZ区。实验中,学生根据实际网络情况,自行配置网卡地址用以完成实验。系统管理员root 密码为:123456Web管理员admin 密
3、码为:123456默认Web管理页面的访问端口为 81端口更多详细信息及开发,可以参考网站:http:/www.smoothwall.org/企业典型网络安全架构部署实验【实验环境】一、 典型实验环境典型实验环境如图5.2.11所示,注意主机只能拥有内网地址。图5.2.11二、 VPN网络环境VPN网络实验环境如图5.2.12所示,注意主机只能拥有内网地址。图5.2.12【实验步骤】一、 安装VMware Player从工具箱中下载企业典型网络安全架构部署实验-VMPlayerNetCfg.rar、企业典型网络安全架构部署实验-VMware-player-3_1_4-385536.rar、企业
4、典型网络安全架构部署实验-Smoothwall3.rar到本地主机。解压企业典型网络安全架构部署实验-VMware-player-3_1_4-385536.rar,双击VMware-player-3.1.4-385536.exe安装VMware Player,默认安装即可,安装后重启。解压企业典型网络安全架构部署实验-VMPlayerNetCfg.rar,将解压出的文件复制到VMware Player安装目录,覆盖原有文件。然后启动复制过去的vmnetcfg.exe,设置虚拟机绑定的网卡(设置VMnet0桥接的物理网卡),点击“Apply”再点击“OK”。图5.2.13解压企业典型网络安全架构
5、部署实验-Smoothwall3.rar到本地主机,然后启动VMwarePlayer,打开smoothwall3虚拟机。图5.2.14图5.2.15二、 设置典型网络(一) 网卡配置Smoothwall工作不同模式时,需要对虚拟机添加网卡。(1) 进入配置菜单输入“setup”,选择网络设置,选择分别对网络工作类型,网卡分配,IP地址及DNS设置,如图5.2.17所示。图5.2.16图5.2.17(2) 分配网卡注意:现有虚拟机如果已设定无须再做这一步网络工作类型选择GREEN+ORANGE+RED,然后在Driver and card assignments中将现有物理网卡分配给Green,
6、Orange,Red区域(按顺序为eth0,eth1,eth2,配置时直接按顺序选择即可)。图5.2.18选择工作类型图5.2.19选择Probe图5.2.110网卡分配选择(3) 设置各网卡IP地址对现用网卡进行IP地址设置,如图5.2.111所示,需要按照实验环境设置IP地址,注意不要使用冲突的IP地址。注意:设置完成后选择Done。图5.2.111(二) 防火墙网络区域的配置防火墙的网络连接分为三个区域,三个区域分别为GREEN,RED,ORANGE,如图5.2.112所示。图5.2.112(1) 本地主机IP地址为192.168.2.43(根据实际情况设置,在GREEN区域即192.1
7、68.2.0/24网段)设置本地网卡地址为192.168.2.43,网关配置为192.168.2.222,即防火墙内部接口地址,具体如图5.2.113所示。图5.2.113(2) 打开管理页面(http:/虚拟机IP:81)输入用户名密码,选择“Networking|Interface”配置网卡,如图5.2.114所示。图5.2.114(3) 页面上会列出该防火墙所有的网卡设备,管理员可对IP地址进行设置,IP详细设置如:Green区域IP地址如图5.2.115所示,表示防火墙的内部网络接口地址。图5.2.115Orange区域IP地址如图5.2.116所示,表示防火墙的DMZ网络接口地址。图
8、5.2.116Red区域IP地址如图5.2.117所示,表示防火墙的外部网络接口地址。并可设置外部接口的Dns和网关地址。图5.2.117网络连接如图5.2.112所示。(三) Snort启动设置点击services-IDS 进入IDS配置界面如图5.2.118所示。图5.2.118Snort功能开启,选中snort后的选框,点击“SAVE”即可开启入侵检测功能,如图5.2.119所示。图5.2.119(四) 检测设置设置规则生效时间,即为在定义的时间内,入侵检测系统是停止工作的,如图5.2.120所示。图5.2.120(五) 排除列表用户可通过输入每条snort规则对应的sid和gid号,对
9、相应的规则进行屏蔽。即在Guardian Ignore SIDs中sid对应的规则的网络行为发生时,系统并不会产生日志,如图5.2.121所示。图5.2.121同时也可添加排除主机,即在Guardian Ignore IP中定义的IP,不再入侵检测IP范围内,同时也不会产生关于该Ip地址的入侵检测日志,如图5.2.122所示。图5.2.122(六) 规则检索点击如图5.2.123中的Oinkmaster Snort Configuration Tools连接,即可配置检索snort相应的规则。如图5.2.124所示,在search按钮上方的输入框输入snort规则的sid号,网页上则会列出所有
10、号码为前缀的所有规则。图5.2.123图5.2.124(七) 定制规则在local.rules Editing Box中可以手动输入IDS规则,规则格式为snort规则格式,并点击“save”进行保存,如图5.2.125所示。重新启动snort,则新添加的snort规则生效。图5.2.125(八) 查看日志点击logs ids可以查看snort所记录的入侵检测日志,如图5.2.126所示。日志中包括该条规则的报警信息,数据包流向,触发时间等信息。图5.2.126三、 设置vpn网络本实验两人一组,组成如实验环境中说明的拓扑结构对网络进行配置,具体拓扑图如图5.2.127所示。图5.2.127(
11、1) A网关IPSecvpn 配置如图5.2.128所示。图5.2.128填写A网关外部地址,left。填写A网关下一条目标地址,Right。填写A网关内部子网,Left subnet。填写A网关下一条目标网络,Right Subnet。A和B填写相同的secret。(2) B网关IPSecVPN配置如图5.2.129所示。图5.2.129填写A网关外部地址,left。填写A网关下一条目标地址,Right。填写A网关内部子网,Left Subnet。填写A网关下一条目标网络,Right Subnet。A和B填写相同的secret。(3) 如图5.2.130所示,添加连接。图5.2.130(4) 连接成功如图5.2.131所示。图5.2.131当前连接可用时,则会显示open表示连接成功。企业典型网络安全架构部署实验【实验思考】 如何通过snort检测内部DDOS对外网攻击添加多个连接,同时开启,看vpn网关能否正常工作。
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2