网络安全三级项目.docx
《网络安全三级项目.docx》由会员分享,可在线阅读,更多相关《网络安全三级项目.docx(34页珍藏版)》请在冰点文库上搜索。
网络安全三级项目
目录
一、设备安全2
1.1实验:
防止终端登陆路由器篡改路由器配置,设置登陆密码。
2
1.2实验:
防止远程登陆telnet访问路由器篡改路由器配置,设置登陆密码。
2
1.实验拓扑:
2
2.实验步骤:
2
3.实验结果:
3
二、系统加固层面的安全(必须包含Linux操作系统)3
2.1实验:
密码安全3
2.2实验:
登陆超时的设置5
2.3实验:
系统关闭ping服务5
三、访问列表6
2.1实验:
标准ACL6
2.2实验:
基于时间ACL8
2.3实验:
单臂路由实现VLAN间路由10
四、IPv6概述12
4.1IPv6优点12
4.2IPv6地址12
4.3IPv6路由14
4.3.1实验:
IPv6静态路由14
4.3.2实验:
IPv6RIPng18
4.3.3实验:
OSPFv322
4.4.4实验2:
IPv6EIGRP26
一、设备安全
1.1实验:
防止终端登陆路由器篡改路由器配置,设置登陆密码。
1.2实验:
防止远程登陆telnet访问路由器篡改路由器配置,设置登陆密码。
1.实验拓扑:
图1-1实验2拓扑
2.实验步骤:
(1)步骤1:
配置路由器以太网接口IP地址
Router>enable
Router#configureterminal
Router(config)#interfaceg0/0
Router(config-if)#ipaddress172.16.0.2255.255.0.0
Router(config-if)#noshutdown
Router(config-if)#end
(2)步骤2:
配置路由器密码
Router#confterminalRouter(config)#linevty04
Router(config-line)#password123
Router(config-line)#login
Router(config-line)#exit
Router(config)#enablepassword456
Router(config)#end
(3)步骤3:
通过telnet访问路由器
在计算机上配置网卡的IP地址为172.16.0.2/255.255.0.0,并打开DOS命令行窗口。
首先测试计算机和路由器的IP连通性,再进行telnet远程登录。
3.实验结果:
输入vty的密码123、输入enable的密码456,能正常进入路由器的特权模式,否则不能登陆。
俩实验结果如下:
二、系统加固层面的安全(必须包含Linux操作系统)
2.1实验:
密码安全
#section1密码要求密码长度大于8,口令90天过期
/etc/login.defs
#-----------------------------------------------
#---------------------------------------------------------------------
echo"cp/etc/login.defsto/etc/login.defs.bak_%date"
echo"#-------------------------------------"
cp/etc/login.defs/etc/login.defs.bak_$date
#echo"检查密码的配置"
echo"Checktheconfigureforuser'spassword."
echo"#-------------------------------------"
foriinPASS_MAX_DAYSPASS_MIN_LENPASS_MIN_DAYSPASS_WARN_AGE
do
cat/etc/login.defs|grep$i|grep-v\#
done
#setpasswordminlength8
echo"#-------------------------------------"
echo"Setuser'spasswordminlengthis8"
sed -i'/PASS_MIN_LEN/s/5/8/g'/etc/login.defs
echo"#-------------------------------------"
#setpasswordmaxday90
#echo"setpasswordexpired90day"
#sed -i'/PASS_MAX_DAYS/s/99999/90/g'/etc/login.defs
更改密码最低位数为8位,口令有效期为90天
2.2实验:
登陆超时的设置
#登录超时设置防止遍历暴力破解
#检查/etc/pam.d/system-auth文件是否存在
accountrequired/lib/security/pam_tally.sodeny=的相关设置
#建议设置为authrequiredpam_tally.soonerr=faildeny=6unlock_time=300
2.3实验:
系统关闭ping服务
三、访问列表
2.1实验:
标准ACL
1.实验目的
本实验拒绝PC2所在网段访问路由器R2,同时只允许主机PC3访问路由器R2的TELNET
服务。
整个网络配置EIGRP保证IP的连通性。
2.拓扑结构
图2-1所示。
3.实验步骤
(1)步骤1:
配置路由器R1
R1(config)#routereigrp1
R1(config-router)#network10.1.1.00.0.0.255
R1(config-router)#network172.16.1.00.0.0.255
R1(config-router)#network192.168.12.0
R1(config-router)#noauto-summary
(2)步骤2:
配置路由器R2
R2(config)#routereigrp1
R2(config-router)#network2.2.2.00.0.0.255
R2(config-router)#network192.168.12.0
R2(config-router)#network192.168.23.0
R2(config-router)#noauto-summary
R2(config)#access-list1deny172.16.1.00.0.0.255
R2(config)#access-list1permitany
R2(config)#interfaceSerial0/0/0
R2(config-if)#ipaccess-group1in
R2(config)#access-list2permit172.16.3.1
R2(config-if)#linevty04
R2(config-line)#access-class2in
R2(config-line)#password123
R2(config-line)#login
(3)步骤3:
配置路由器R3
R3(config)#routereigrp1
R3(config-router)#network172.16.3.00.0.0.255
R3(config-router)#network192.168.23.0
R3(config-router)#noauto-summary
4.实验调试
在PC1网络所在的主机上ping2.2.2.2,应该通,在PC2网络所在的主机上ping
2.2.2.2,应该不通,在主机PC3上TELNET2.2.2.2,应该成功。
2.2实验:
基于时间ACL
1.实验目的
通过本实验可以掌握:
本实验要求只允许PC3主机在周一到周五的每天的8:
00-18:
00访问路由器R2的TELNET服务。
2.拓扑结构
3.实验步骤
R3(config)#time-rangetime
R3(config-time-range)#periodicweekdays8:
00to18:
00
R3(config)#access-list111permittcphost172.16.3.1host2.2.2.2eqtelnet
time-rangetime
R3(config)#access-list111permittcphost172.16.3.1host192.168.12.2eq
telnettime-rangetime
R3(config)#access-list111permittcphost172.16.3.1host192.168.23.2eq
telnettime-rangetime
R3(config)#interfaceg0/0
R3(config-if)#ipaccess-group111in
4.实验调试
(1)用“clock”命令将系统时间调整到周一至周五的8:
00-18:
00范围内,然后在PC3
上TELNET路由器R2,此时可以成功,然后查看访问控制列表111:
R3#showaccess-lists
ExtendedIPaccesslist111
10permittcphost172.16.3.1host2.2.2.2eqtelnettime-rangetime(active)(15matches)
20permittcphost172.16.3.1host192.168.12.2eqtelnettime-rangetime(active)
30permittcphost172.16.3.1host192.168.23.2eqtelnettime-rangetime(active)
(2)用“clock”命令将系统时间调整到8:
00-18:
00范围之外,然后在PC3上TELNET
路由器R2,此时不可以成功,然后查看访问控制列表111:
R3#showaccess-lists
ExtendedIPaccesslist111
10permittcphost172.16.3.1host2.2.2.2eqtelnettime-rangetime(inactive)(45
matches)
20permittcphost172.16.3.1host192.168.12.2eqtelnettime-rangetime(inactive)
30permittcphost172.16.3.1host192.168.23.2eqtelnettime-rangetime(inactive)
(3)showtime-range
该命令用来查看定义的时间范围。
R3#showtime-range
time-rangeentry:
time(active)
periodicweekdays8:
00to18:
00
usedin:
IPACLentry
usedin:
IPACLentry
usedin:
IPACLentry
以上输出表示在3条ACL中调用了该time-range。
2.3实验:
单臂路由实现VLAN间路由
1.实验目的
(1)路由器以太网接口上的子接口
(2)单臂路由实现VLAN间路由的配置
2.实验拓扑
实验:
拓扑图
3.实验步骤
我们要用R1来实现分别处于VLAN1和VLAN2的PC1和PC2间的通信。
(1)步骤1:
在S1上划分VLAN
S1(config)#vlan2
S1(config-vlan)#exit
S1(config)#intf0/5
S1(config-if)#switchportmodeaccess
S1(config-if)#switchportaccessvlan1
S1(config-if)#intf0/6
S1(config-if)#switchportmodeaccess
S1(config-if)#switchportaccessvlan2
(2)步骤2:
要先把交换机上的以太网接口配置成Trunk接口
S1(config)#intf0/1
S1(config-if)#switchtrunkencapdot1q
S1(config-if)#switchmodetrunk
(3)在路由器的物理以太网接口下创建子接口,并定义封装类型
R1(config)#intg0/0
R1(config-if)#noshutdown
R1(config)#intg0/0.1
R1(config-subif)#encapturedot1q1native
//以上是定义该子接口承载哪个VLAN流量,由于交换机上的nativevlan是VLAN1,所以
我们这里也要指明该VLAN就是nativevlan。
实际上默认时nativevlan就是vlan1。
R1(config-subif)#ipaddress172.16.1.254255.255.255.0
//在子接口上配置IP地址,这个地址就是VLAN1的网关了
R1(config)#intg0/0.2
R1(config-subif)#encapturedot1q2
R1(config-subif)#ipaddress172.16.2.254255.255.255.0
4.实验调试
在PC1和PC2上配置IP地址和网关,PC1的网关指向:
17.16.1.254,PC1的网关指向:
17.16.2.254。
测试PC1和PC2的通信
四、IPv6概述
4.1IPv6优点
IPv4的设计思想成功地造就了目前的国际互联网,其核心价值体现在简单、灵活和开
放性。
但随着新应用的不断涌现,传统的IPv4协议已经难以支持互联网的进一步扩张和新
业务的特性,比如实时应用和服务质量保证等。
IPv6能够解决IPv4存在的许多问题,如地
址短缺、服务质量保证等。
同时,IPv6还对IPv4作了大量的改进,包括路由和网络自动配
置等。
IPv6和IPv4将在过渡期内共存几年,并由IPv6渐渐取代IPv4。
IPv6的特点如下:
1.128比特的地址方案,为将来数十年提供了足够的地址空间;
2.充足的地址空间将极大地满足那些伴随着网络智能设备的出现而对地址增长的需
求,例如个人数据助理、移动电话、家庭网络接入设备等;
3.多等级编址层次有助于路由聚合,提高了路由选择的效率和可扩展性;
4.自动配置使得在Internet上大规模布置新设备成为可能;
5.ARP广播被本地链路多播代替;
6.IPv6对数据包头作了简化,以减少处理器开销并节省网络带宽;
7.IPv6中流标签字段可以提供流量区分;
8.IPv6的组播可以区分永久性与临时性地址,更有利于组播功能的实现;
9.IPv6地址本身的分层体系更加支持了域名解析体系中的地址集聚和地址更改;
10.IPv6协议内置安全机制,并已经标准化;
11.IPv6协议更好地支持移动性;
12.IPv6提供了更加优秀的QOS保障;
13.IPv6中没有广播地址,它的功能正在被组播地址所代替。
4.2IPv6地址
IPv4地址表示为点分十进制格式,而IPv6采用冒号分十六进制格式。
例如:
2007:
00D3:
0000:
2F3B:
02BB:
00FF:
FE28:
2000是一个完整的IPv6地址。
提示:
1.IPv6地址中每个16位分组中的前导零位可以去除做简化表示;
2.可以将冒号十六进制格式中相邻的连续零位合并,用双冒号“:
:
”表示;
3.要在一个URL中使用文本IPv6地址,文本地址应该用符号“[”和“]”来封闭。
IPv6地址有三种类型:
单播、任意播和组播,在每种地址中又有一种或者多种类型的
地址,如单播有本地链路地址、本地站点地址、可聚合全球地址、回环地址和未指定地址;
任意播有本地链路地址、本地站点地址和可聚合全球地址;多播有指定地址和请求节点地址。
下面主要介绍几个常用地址类型:
1.本地链路地址
当在一个节点上启用IPv6协议栈,启动时节点的每个接口自动配置一个本地链路地址,
前缀为FE80:
:
/10。
2.本地站点地址
本地站点地址与RFC1918所定义的私有IPv4地址空间类似,因此本地站点地址不能在
全球IPv6因特网上路由,前缀为FEC0:
:
/10。
3.可聚合全球单播地址
IANA分配IPv6寻址空间中的一个IPv6地址前缀作为可聚合全球单播地址。
4.IPv4兼容地址
IPv4兼容的IPv6地址是由过渡机制使用的特殊单播IPv6地址,目的是在主机和路由
器上自动创建IPv4隧道以在IPv4网络上传送IPv6数据包。
5.回环地址
单播地址0:
0:
0:
0:
0:
0:
0:
1称为回环地址。
节点用它来向自身发送IPv6包。
它不能分
配给任何物理接口。
6.不确定地址
单播地址0:
0:
0:
0:
0:
0:
0:
0称为不确定地址。
它不能分配给任何节点。
7.多播指定地址
RFC2373在多播范围内为IPv6协议的操作定义和保留了几个IPv6地址,这些保留地址
称为多播指定地址。
8.请求节点地址
对于节点或路由器的接口上配置的每个单播和任意播地址,都自动启动一个对应的被请
求节点地址。
被请求节点地址受限于本地链路。
4.3IPv6路由
4.3.1实验:
IPv6静态路由
1.实验目的
通过本实验可以掌握
(1)启用IPv6流量转发
(2)配置IPv6地址
(3)IPv6静态路由配置和调试
(4)IPv6默认路由配置和调试
2.拓扑结构
图4-2IPv6静态路由
3.实验步骤
(1)步骤1:
配置路由器R1
R1(config)#ipv6unicast-routing//启用IPv6流量转发
R1(config)#interfaceLoopback0
R1(config-if)#ipv6address2006:
AAAA:
:
1/64//配置IPv6地址
R1(config)#interfaceLoopback1
R1(config-if)#ipv6address2006:
BBBB:
:
1/64
R1(config)#interfaceSerial0/0/0
R1(config-if)#ipv6address2007:
CCCC:
:
1/64
R1(config-if)#noshutdown
R1(config)#ipv6route2008:
DDDD:
:
/64Serial0/0/0//配置IPv6静态路由
(2)步骤2:
配置路由器R2
R2(config)#ipv6unicast-routing
R2(config)#interfaceLoopback0
R2(config-if)#ipv6address2008:
DDDD:
:
2/64
R2(config)#interfaceSerial0/0/0
R2(config-if)#ipv6address2007:
CCCC:
:
2/64
R2(config-if)#clockrate128000
R2(config-if)#noshutdown
R2(config)#ipv6route:
:
/0Serial0/0/0//配置IPv6默认路由
4.实验调试
(1)showipv6interface
该命令用来查看IPv6的接口信息。
R1#showipv6interfaces0/0/0
Serial0/0/0isup,lineprotocolisup
IPv6isenabled,link-localaddressisFE80:
:
C800:
BFF:
FE80:
0
//本接口启用IPv6,本地链路地址自动配置
Globalunicastaddress(es):
2007:
CCCC:
:
1,subnetis2007:
CCCC:
:
/64
//全球聚合地址
Joinedgroupaddress(es):
FF02:
:
1
//表示本地链路上的所有节点和路由器
FF02:
:
2
//表示本地链路上的所有路由器
FF02:
:
1:
FF00:
1
//用于替换ARP机制的被请求节点的多播地址
FF02:
:
1:
FF80:
0
//与单播地址2007:
CCCC:
:
1相关的被请求节点多播地址
MTUis1500bytes
ICMPerrormessageslimitedtooneevery100milliseconds
ICMPredirectsareenabled
//启用ICMP重定向NDDADisenabled,numberofDADattempts:
1
//邻居发现和重复地址检测启动
NDreachabletimeis30000milliseconds
//ND可达时间
Hostsusestatelessautoconfigforaddresses.
//使用无状态自动配置地址
(2)showipv6route
该命令用来查看IPv6路由表。
R1#showipv6route
IPv6RoutingTable-9entries
Codes:
C-Connected,L-Local,S-Static,R-RIP,B-BGP
U-Per-userStaticroute,M-MIPv6
I1-ISISL1,I2-ISISL2,IA-ISISinterarea,IS-ISISsummary
O-OSPFintra,OI-OSPFinter,OE1-OSPFext1,OE2-OSPFext2
ON1-OSPFNSSAext1,ON2-OSPFNSSAext2
D-EIGRP,EX-EIGRPexternal
C2006:
AAAA:
:
/64[0/0]
via:
:
Loopback0
L2006:
AAAA:
:
1/128[0/0]
via:
:
Loopback0
C2006:
BBBB:
:
/64[0/0]
via:
:
Loopback1
L2006:
BBBB:
:
1/128[0/0]
v