网络安全综合实训资料.docx
《网络安全综合实训资料.docx》由会员分享,可在线阅读,更多相关《网络安全综合实训资料.docx(62页珍藏版)》请在冰点文库上搜索。
网络安全综合实训资料
实习报告
(课程置换:
网络安全综合实训)
\
摘要
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系和世界范围内的信息共享和业务处理。
在系统处理能力提高的同时,系统的连接能力也在不断的提高。
但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:
网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。
甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。
VPN隧道技术(VPNTunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式,对位于企业局域网端的企业服务器建立连接,对用户端透明,支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接,是非常受欢迎的电信业务。
通过对VPN技术的安全保障以及服务质量保证两个方面详细分析VPN技术的优点。
设计了组建基于VPN的远程办公网络的组网方案,并详细列出了设计步骤、网络拓扑图、网络模拟实验结果等。
目录
摘要I
第1章中文配置校园网(大型企业)出口网关1
1.1组网需求1
1.2网络规划1
1.3操作步骤4
1.3.1配置Eudemon各接口的IP地址并将接口加入安全区域。
4
1.3.2配置域间包过滤及ASPF功能。
5
1.3.3配置NAToutbound。
6
1.3.4配置多条静态路由和两条缺省路由。
7
1.3.5配置NATServer。
8
1.3.6配置DPI控制P2P行为。
8
1.4结果验证9
1.4.1执行命令displaynatal。
9
1.4.2通过在网络中操作,检查业务是否能够正常实现。
10
1.4.3执行命令displaydpistatistic。
12
1.5配置脚本12
第2章不同机构的员工通过不同VPN访问公司内网16
2.1组网需求16
2.2网络规划17
2.3操作步骤19
2.3.1配置分支机构与总部之间的L2TPoverIPSec19
2.3.2配置出差员工与总部之间的SSLVPN25
2.3.3配置合作伙伴与总部之间的IPSec28
2.4结果验证32
2.4.1验证分支机构和总部之间的L2TPoverIPSec配置。
32
2.4.2验证出差员工与总部之间的SSLVPN配置34
2.4.3验证合作伙伴和总部之间的IPSec配置34
2.5配置脚本36
2.5.1Eudemon_A的配置脚本36
2.5.2Eudemon_B的配置脚本39
2.5.3Eudemon_C的配置脚本40
第4章实习总结42
第5章实习日志43
第1章中文配置校园网(大型企业)出口网关
1.1组网需求
l学校有校内用户约500个、提供对外访问的服务器2台。
校内用户主要分布在教学楼和宿舍区,校内2台提供对外访问的服务器分布在图书馆,是该校主页、招生及资源共享等网站。
2学校分别通过两个不同运营商链路连接到Internet,带宽都100Mbit/s。
两个运营商ISP1、ISP2分别为该校分配了5个IP地址。
ISP1分配的IP地址是200.1.1.1~200.1.1.5,ISP2分配的IP地址是202.1.1.1~202.1.1.5。
ISP1提供的接入点为200.1.1.10,ISP2提供的接入点为202.1.1.10。
该学校网络需要实现以下需求:
3校内用户能够通过两个运营商访问Internet,且为了提高访问速度,将需要去往不同运营商的流量分别由连接两个运营商网络的接口转发。
当一条链路出现故障时,能够保证流量及时切换到另一条链路,避免网络长时间中
断。
4校内用户和校外用户都能够访问学校提供对外访问的服务器。
5由于该学校P2P流量较大,对网络影响严重,需要对校内用户进行P2P限流。
6需要保护内部网络不受到SYNFlood、UDPFlood和ICMPFlood攻击。
1.2网络规划
根据校园网络情况和需求,网络规划如下:
l为了实现校园网用户使用有限公网IP地址接入Internet,需要配置NAPT方式的NAT,借助端口将多个私网IP地址转换为有限的公网IP地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网地址。
即创建两个安全区域ISP1和ISP2(安全优先级低于DMZ区域),并分别在Trust—ISP1域间、Trust—ISP2域间配置NAToutbound。
2为了实现去往不同运营商的流量由对应接口转发,需要收集ISP1和ISP2所属网段的信息,并配置到这些网段的静态路由。
使去往ISP1的流量通过连接ISP1的接口转发,去往ISP2的流量通过连接ISP2的接口转发。
为了提高链路可靠性,避免业务中断,需要配置两条缺省路由。
当报文无法匹配静态路由时,通过缺省路由发送给下一跳。
3由于图书馆的服务器部署在内网,其IP地址为私网IP地址。
如果想对校外用户提供服务,就需要将服务器的私网IP地址转换为公网IP地址。
即分别基于ISP1、ISP2区域配置NATServer。
4由于运营商提供给该学校的带宽为2x100M,为了保证其他业务不受影响,将P2P流量限制在30M。
5在Eudemon上启用攻击防范功能,保护校园网内部网络。
网络规划后的组网图如图1-1和表1.1所示。
图1-1网络规划后组网图
表1.1
项目
数据
说明
(1)
接口号:
GigabitEthernet0/0/3
IP地址:
10.1.1.1/16
安全区域:
Trust
GigabitEthernet0/0/3是连
接内网汇聚交换机的接口。
校内用户分配到网段为
10.1.0.0255.255.0.0的私网地址,部署在Trust区域。
(2)
接口号:
GigabitEthernet0/0/1
IP地址:
192.168.1.1/24
安全区域:
DMZ
GigabitEthernet0/0/1是连
接图书馆服务器的接口。
图书馆区部署在DMZ区域。
(3)
接口号:
GigabitEthernet0/0/2
IP地址:
200.1.1.1/24
安全区域:
ISP1
安全优先级:
15
GigabitEthernet0/0/2是连
接ISP1的接口,去往ISP1
所属网段的数据通过
GigabitEthernet0/0/2转发。
ISP1接入点的IP地址为200.1.1.10。
(4)
接口号:
GigabitEthernet0/0/4
IP地址:
202.1.1.1/24
安全区域:
ISP2
安全优先级:
20
GigabitEthernet0/0/4是连
接ISP2的接口。
去往ISP2
所属网段的数据通过
GigabitEthernet0/0/4转发。
ISP2接入点的IP地址为202.1.1.10。
Web服务器
内网IP:
192.168.1.5
转换成的ISP1的公网IP:
200.1.1.4
转换成的ISP2的公网IP:
202.1.1.4
对于ISP1所属网段的外部用户,Web服务器的IP地址为200.1.1.4。
对于ISP2所属网段的外部用户,Web服务器的IP地址为202.1.1.4。
FTP服务器
内网IP:
192.168.1.10
转换成的ISP1的公网IP:
200.1.1.5
转换成的ISP2的公网IP:
202.1.1.5
对于ISP2所属网段的外部用户,FTP服务器的IP地址为200.1.1.5。
对于ISP2所属网段的外部用户,FTP服务器的IP地址为202.1.1.5。
ISP1分配给学校的IP地址
200.1.1.1~200.1.1.5
其中200.1.1.1用作
Eudemon的出接口地址,
200.1.1.2和200.1.1.3用作Trust—ISP1域间NAT地址池1的地址。
SP2分配给学校的IP地址
202.1.1.1~202.1.1.5
其中202.1.1.1用作
Eudemon的出接口地址,
202.1.1.2和202.1.1.3用作Trust—ISP2域间的NAT地址池2的地址。
1.3操作步骤
1.3.1配置Eudemon各接口的IP地址并将接口加入安全区域。
#配置Eudemon各接口的IP地址。
system-view
[Eudemon]intEudemon-GigabitEthernet0/0/3]ipaddress10.1.1.116
[Eudemon-GigabitEthernet0/0/3]quit
[Eudemon]interfaceGigabitEthernet0/0/1
[Eudemon-GigabitEthernet0/0/1]ipaddress192.168.1.124
[Eudemon-GigabitEthernet0/0/1]quit
[Eudemon]interfaceGigabitEthernet0/0/2
[Eudemon-GigabitEthernet0/0/2]ipaddress200.1.1.124
[Eudemon-GigabitEthernet0/0/2]quit
[Eudemon]interfaceGigabitEthernet0/0/4
[Eudemon-GigabitEthernet0/0/4]ipaddress202.1.1.124
[Eudemon-GigabitEthernet0/0/4]quit
#将GigabitEthernet0/0/3接口加入Trust安全区域。
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceGigabitEthernet0/0/3
[Eudemon-zone-trust]quit
#将GigabitEthernet0/0/1接口加入DMZ安全区域。
[Eudemon]firewallzonedmz
[Eudemon-zone-dmz]addinterfaceGigabitEthernet0/0/1
[Eudemon-zone-dmz]quit
#创建安全区域ISP1,并将GigabitEthernet0/0/2接口加入ISP1。
[Eudemon]firewallzonenameisp1
[Eudemon-zone-isp1]setpriority15
[Eudemon-zone-isp1]addinterfaceGigabitEthernet0/0/2
[Eudemon-zone-isp1]quit
#创建安全区域ISP2,并将GigabitEthernet0/0/4接口加入ISP2。
[Eudemon]firewallzonenameisp2
[Eudemon-zone-isp2]setpriority20
[Eudemon-zone-isp2]addinterfaceGigabitEthernet0/0/4
[Eudemon-zone-isp2]quit
1.3.2配置域间包过滤及ASPF功能,对校内外数据流进行访问控制。
#配置Trust—ISP1的域间包过滤,允许校内用户访问ISP1。
[Eudemon]policyinterzonetrustisp1outbound
[Eudemon-policy-interzone-trust-isp1-outbound]policy1
[Eudemon-policy-interzone-trust-isp1-outbound-1]policysource10.1.0.00.0.255.255
[Eudemon-policy-interzone-trust-isp1-outbound-1]actionpermit
[Eudemon-policy-interzone-trust-isp1-outbound-1]quit
[Eudemon-policy-interzone-trust-isp1-outbound]quit
#配置Trust—ISP2的域间包过滤,允许校内用户访问ISP2。
[Eudemon]policyinterzonetrustisp2outbound
[Eudemon-policy-interzone-trust-isp2-outbound]policy1
[Eudemon-policy-interzone-trust-isp2-outbound-1]policysource10.1.0.00.0.255.255
[Eudemon-policy-interzone-trust-isp2-outbound-1]actionpermit
[Eudemon-policy-interzone-trust-isp2-outbound-1]quit
[Eudemon-policy-interzone-trust-isp2-outbound]quit
#配置ISP1—DMZ的域间包过滤,允许校外用户访问DMZ区域的服务器(注意Policy配置目的地址为服务器的内网地址)。
[Eudemon]policyinterzonedmzisp1inbound
[Eudemon-policy-interzone-dmz-isp1-inbound]policy1
[Eudemon-policy-interzone-dmz-isp1-inbound-1]policydestination192.168.1.50[Eudemon-policy-interzone-dmz-isp1-inbound-1]Policydestination192.168.1.100
[Eudemon-policy-interzone-dmz-isp1-inbound-1]actionpermit
[Eudemon-policy-interzone-dmz-isp1-inbound-1]quit
[Eudemon-policy-interzone-dmz-isp1-inbound]quit
#配置ISP2—DMZ的域间包过滤,允许校外用户访问DMZ区域的服务器(注意Policy配置目的地址为服务器的内网地址)。
[Eudemon]policyinterzonedmzisp2inbound
[Eudemon-policy-interzone-dmz-isp2-inbound]policy1
[Eudemon-policy-interzone-dmz-isp2-inbound-1]policydestination192.168.1.50
[Eudemon-policy-interzone-dmz-isp2-inbound-1]policydestination192.168.1.100
[Eudemon-policy-interzone-dmz-isp2-inbound-1]actionpermit
[Eudemon-policy-interzone-dmz-isp2-inbound-1]quit
[Eudemon-policy-interzone-dmz-isp2-inbound]quit
#配置Trust—DMZ的域间包过滤,允许校内用户访问服务器。
[Eudemon]policyinterzonetrustdmzoutbound
[Eudemon-policy-interzone-trust-dmz-outbound]policy1
[Eudemon-policy-interzone-trust-dmz-outbound-1]policysource10.1.0.00.0.255.255
[Eudemon-policy-interzone-trust-dmz-outbound-1]policydestination192.168.1.50
[Eudemon-policy-interzone-trust-dmz-outbound-1]policydestination192.168.1.100
[Eudemon-policy-interzone-trust-dmz-outbound-1]actionpermit
[Eudemon-policy-interzone-trust-dmz-outbound-1]quit
[Eudemon-policy-interzone-trust-dmz-outbound]quit
#在域间开启ASPF功能,防止多通道协议无法建立连接。
[Eudemon]firewallinterzonetrustisp1
[Eudemon-interzone-trust-isp1]detectftp
[Eudemon-interzone-trust-isp1]detectqq
[Eudemon-interzone-trust-isp1]detectmsn
[Eudemon-interzone-trust-isp1]quit
[Eudemon]firewallinterzonetrustisp2
[Eudemon-interzone-trust-isp2]detectftp
[Eudemon-interzone-trust-isp2]detectqq
[Eudemon-interzone-trust-isp2]detectmsn
[Eudemon-interzone-trust-isp2]quit
[Eudemon]firewallinterzonedmzisp1
[Eudemon-interzone-dmz-isp1]detectftp
[Eudemon-interzone-dmz-isp1]quit
[Eudemon]firewallinterzonedmzisp2
[Eudemon-interzone-dmz-isp2]detectftp
[Eudemon-interzone-dmz-isp2]quit
[Eudemon]firewallinterzonetrustdmz
[Eudemon-interzone-trust-dmz]detectftp
[Eudemon-interzone-trust-dmz]quit
1.3.3配置NAToutbound,使内网用户通过转换后的公网IP地址访Internet。
#配置应用于Trust—ISP1域间的NAT地址池1。
地址池1包括ISP1提供的两个IP地址200.1.1.2和200.1.1.3。
[Eudemon]nataddress-group1200.1.1.2200.1.1.3
#配置应用于Trust—ISP2域间的NAT地址池2。
地址池2包括ISP2提供的两个IP地址202.1.1.2和202.1.1.3。
[Eudemon]nataddress-group2202.1.1.2202.1.1.3
#在Trust—ISP1域间配置NAToutbound,将校内用户的私网IP地址转换为ISP1提供的公网IP地址。
[Eudemon]nat-policyinterzonetrustisp1outbound
[Eudemon-nat-policy-interzone-trust-isp1-outbound]policy1
[Eudemon-nat-policy-interzone-trust-isp1-outbound-1]policysource10.1.0.00.0.255.255
[Eudemon-nat-policy-interzone-trust-isp1-outbound-1]actionsource-nat
[Eudemon-nat-policy-interzone-trust-isp1-outbound-1]address-group1
[Eudemon-nat-policy-interzone-trust-isp1-outbound-1]quit
[Eudemon-nat-policy-interzone-trust-isp1-outbound]quit
#在Trust—ISP2域间配置NAToutbound,将校内用户的私网IP地址转换为ISP2提供的公网IP地址。
[Eudemon]nat-policyinterzonetrustisp2outbound
[Eudemon-nat-policy-interzone-trust-isp2-outbound]policy1
[Eudemon-nat-policy-interzone-trust-isp2-outbound-1]policysource10.1.0.00.0.255.255
[Eudemon-nat-policy-interzone-trust-isp2-outbound-1]actionsource-nat
[Eudemon-nat-policy-interzone-trust-isp2-outbound-1]address-group2
[Eudemon-nat-policy-interzone-trust-isp2-outbound-1]quit
[Eudemon-nat-policy-interzone-trust-isp2-outbound]quit
1.3.4配置多条静态路由和两条缺省路由,实现网络的双出口特性和链路的可靠性。
#为特定目的IP地址的报文指定出接口,目的地址为IPS1的指定出接口为GigabitEthernet0/0/2、目的地址为ISP2的指定出接口为GigabitEthernet0/0/4。
[Eudemon]iproute-static200.1.2.324GigabitEthernet0/0/2200.1.1.10
[Eudemon]iproute-static200.2.2.124GigabitEthernet0/0/2200.1.1.10
[Eudemon]iproute-static20
升级会员 