第二次网络安全实验.docx

1、第二次网络安全实验企业典型网络安全架构部署实验【实验内容】学习配置防火墙的典型连接模式配置防火墙的IP地址及vpn网络功能企业典型网络安全架构部署实验【实验原理】SmoothWall 是免费开放源代码网络防火墙。SmoothWall同时支持ISDN,ASDL/Cable和多网卡等网络设备，基于web界面的SmoothWall防火墙软件有着非常丰富的选项。您可以将它配置成一个代理服务器，或者DHCP服务器，或者为绿色区域服务的某些特别端口的包转发服务器等等。作为一个代理服务器，你可以设置一些高级选项，比如用户端认证和延迟池等等。这些功能对小公司或者家庭用户来说还是很有用的，但是对于大型企业来说，

2、它们都是有自己特定的代理服务器。您可以为你的DHCP服务器配置地址范围、WINS服务器和静态IP地址。你也可以选择动态DNS，提供远程连接服务的SSH程序和时间服务器。SmoothWall通过第三方插件，可以扩展入侵检测、防病毒等其它功能，目前在开源社区以及开发了几十个插件，通过这些插件使得SmoothWall防火墙甚至达到了UTM的功能。说明：典型网络分为Green、Red及Orange三个区域，其中Green区域为内网，Red区域为外网，Orange区域为DMZ区。实验中，学生根据实际网络情况，自行配置网卡地址用以完成实验。系统管理员root 密码为：123456Web管理员admin 密

3、码为：123456默认Web管理页面的访问端口为 81端口更多详细信息及开发，可以参考网站：http:/www.smoothwall.org/企业典型网络安全架构部署实验【实验环境】一、 典型实验环境典型实验环境如图5.2.11所示，注意主机只能拥有内网地址。图5.2.11二、 VPN网络环境VPN网络实验环境如图5.2.12所示，注意主机只能拥有内网地址。图5.2.12【实验步骤】一、 安装VMware Player从工具箱中下载企业典型网络安全架构部署实验-VMPlayerNetCfg.rar、企业典型网络安全架构部署实验-VMware-player-3_1_4-385536.rar、企业

4、典型网络安全架构部署实验-Smoothwall3.rar到本地主机。解压企业典型网络安全架构部署实验-VMware-player-3_1_4-385536.rar，双击VMware-player-3.1.4-385536.exe安装VMware Player，默认安装即可，安装后重启。解压企业典型网络安全架构部署实验-VMPlayerNetCfg.rar，将解压出的文件复制到VMware Player安装目录，覆盖原有文件。然后启动复制过去的vmnetcfg.exe，设置虚拟机绑定的网卡（设置VMnet0桥接的物理网卡），点击“Apply”再点击“OK”。图5.2.13解压企业典型网络安全架构

5、部署实验-Smoothwall3.rar到本地主机，然后启动VMwarePlayer，打开smoothwall3虚拟机。图5.2.14图5.2.15二、 设置典型网络(一) 网卡配置Smoothwall工作不同模式时，需要对虚拟机添加网卡。(1) 进入配置菜单输入“setup”，选择网络设置，选择分别对网络工作类型，网卡分配，IP地址及DNS设置，如图5.2.17所示。图5.2.16图5.2.17(2) 分配网卡注意：现有虚拟机如果已设定无须再做这一步网络工作类型选择GREEN+ORANGE+RED，然后在Driver and card assignments中将现有物理网卡分配给Green，

6、Orange，Red区域（按顺序为eth0，eth1，eth2，配置时直接按顺序选择即可）。图5.2.18选择工作类型图5.2.19选择Probe图5.2.110网卡分配选择(3) 设置各网卡IP地址对现用网卡进行IP地址设置，如图5.2.111所示，需要按照实验环境设置IP地址，注意不要使用冲突的IP地址。注意：设置完成后选择Done。图5.2.111(二) 防火墙网络区域的配置防火墙的网络连接分为三个区域，三个区域分别为GREEN，RED，ORANGE，如图5.2.112所示。图5.2.112(1) 本地主机IP地址为192.168.2.43（根据实际情况设置，在GREEN区域即192.1

7、68.2.0/24网段）设置本地网卡地址为192.168.2.43，网关配置为192.168.2.222，即防火墙内部接口地址，具体如图5.2.113所示。图5.2.113(2) 打开管理页面（http:/虚拟机IP:81）输入用户名密码，选择“Networking|Interface”配置网卡，如图5.2.114所示。图5.2.114(3) 页面上会列出该防火墙所有的网卡设备，管理员可对IP地址进行设置，IP详细设置如：Green区域IP地址如图5.2.115所示，表示防火墙的内部网络接口地址。图5.2.115Orange区域IP地址如图5.2.116所示，表示防火墙的DMZ网络接口地址。图

8、5.2.116Red区域IP地址如图5.2.117所示，表示防火墙的外部网络接口地址。并可设置外部接口的Dns和网关地址。图5.2.117网络连接如图5.2.112所示。(三) Snort启动设置点击services-IDS 进入IDS配置界面如图5.2.118所示。图5.2.118Snort功能开启，选中snort后的选框，点击“SAVE”即可开启入侵检测功能，如图5.2.119所示。图5.2.119(四) 检测设置设置规则生效时间，即为在定义的时间内，入侵检测系统是停止工作的，如图5.2.120所示。图5.2.120(五) 排除列表用户可通过输入每条snort规则对应的sid和gid号，对

9、相应的规则进行屏蔽。即在Guardian Ignore SIDs中sid对应的规则的网络行为发生时，系统并不会产生日志，如图5.2.121所示。图5.2.121同时也可添加排除主机，即在Guardian Ignore IP中定义的IP，不再入侵检测IP范围内，同时也不会产生关于该Ip地址的入侵检测日志，如图5.2.122所示。图5.2.122(六) 规则检索点击如图5.2.123中的Oinkmaster Snort Configuration Tools连接，即可配置检索snort相应的规则。如图5.2.124所示，在search按钮上方的输入框输入snort规则的sid号，网页上则会列出所有

10、号码为前缀的所有规则。图5.2.123图5.2.124(七) 定制规则在local.rules Editing Box中可以手动输入IDS规则，规则格式为snort规则格式，并点击“save”进行保存，如图5.2.125所示。重新启动snort，则新添加的snort规则生效。图5.2.125(八) 查看日志点击logs ids可以查看snort所记录的入侵检测日志，如图5.2.126所示。日志中包括该条规则的报警信息，数据包流向，触发时间等信息。图5.2.126三、 设置vpn网络本实验两人一组，组成如实验环境中说明的拓扑结构对网络进行配置，具体拓扑图如图5.2.127所示。图5.2.127(

11、1) A网关IPSecvpn 配置如图5.2.128所示。图5.2.128填写A网关外部地址，left。填写A网关下一条目标地址，Right。填写A网关内部子网，Left subnet。填写A网关下一条目标网络，Right Subnet。A和B填写相同的secret。(2) B网关IPSecVPN配置如图5.2.129所示。图5.2.129填写A网关外部地址，left。填写A网关下一条目标地址，Right。填写A网关内部子网，Left Subnet。填写A网关下一条目标网络，Right Subnet。A和B填写相同的secret。(3) 如图5.2.130所示，添加连接。图5.2.130(4) 连接成功如图5.2.131所示。图5.2.131当前连接可用时，则会显示open表示连接成功。企业典型网络安全架构部署实验【实验思考】 如何通过snort检测内部DDOS对外网攻击添加多个连接，同时开启，看vpn网关能否正常工作。