网络安全技术课程设计报告.docx
《网络安全技术课程设计报告.docx》由会员分享,可在线阅读,更多相关《网络安全技术课程设计报告.docx(14页珍藏版)》请在冰点文库上搜索。
网络安全技术课程设计报告
信息工程系
课程设计报告书
2015-2016学年第2学期
系部:
信息工程系
专业:
计算机网络专业
班级:
14计算机网络1班
课程名称:
网络安全技术
姓名学号:
起迄日期:
6月10日-6月24日
课程设计地点:
实验楼C211
指导教师:
庄晓华
下达任务书日期:
2015年06月16日
一、内容要求
独立设计一个小型网络的安全方案,采用的安全技术可以包括以下几种:
加密技术、认证技术、VPN技术、防火墙技术、防病毒系统等局域网核心服务功能。
其中必须用PacketTracer实现的功能为防火墙技术的配置与管理或网络安全隔离。
二、评分标准
(一)网络安全方案评分标准(40分)
网络安全方案及测试报告(40分)
1、网络安全方案2000字(30分)
1)相关概念定义准确。
(10分)
2)安全方案叙述完整清晰。
(10分)
3)设计合理,符合实际应用需求。
(10分)
2、测试报告(10分)
确定测试结果是否符合设计要求,完成测试总结报告。
(二)网络设备系统配置评分标准(60分)
1、系统设计(10分)
1、在PacketTracer中实现,要求:
网络设备选型合理,(5分)
2、网络设备连接,要求:
正确使用连接介质(5分)。
2、网络设备配置(40分)
1、PC机、服务器配置,要求:
能作必要TCP/IP属性设置(10分)
2、网络设备接口配置,要求:
正确配置端口,实现网络连通。
(10分)
3、网络安全配置,要求:
实现设定的网络安全防护(20分)
3、安全防护测试(10分)
使用正确测试方法,步骤完整.(10分)
三、设计要求:
1、所有PC机的默认网关地址中第四个数为学生学号,如“a.b.c.学号”
(注意:
PC机的地址不能与此默认网关地址冲突)。
2、所有网络设备、PC机的名称以学生姓名开头,如“azgSW1”。
四、设计成果形式及要求:
1、提交网络安全方案(.doc文档),文件命名格式:
学号姓名.doc,如01安志国.doc。
2、提交PacketTracer文档(.pkt文档),文件命名格式:
学号姓名.pkt,如01安志国.pkt。
3、抄袭他人设计内容者成绩定为不及格。
4、提交大作业时间:
17周周五。
(企业网、政府网、校园网、电子商务网)网络安全方案(2000字)
防火墙技术的配置与管理
在路由器中配置访问控制列表实现包过滤技术,可以利用PacketTracer5软件完成配置任务。
要求:
1利用PacketTracer5画图并连线;
2配置各主机和设备的IP地址,WEB服务器开启HTTP服务;
3配置路由器各接口地址、默认路由、通过ACL+NAT的配置使得A、B和C主机可以NAT后访问外网主机D,A、B和C可利用内网地址192.168.2.100地址去访问WEB服务器,外部主机D也可以访问WEB服务器但是通过公网地址访问;
④配置ACL功能,仅不允许主机B与主机D进行ICMP通信。
F2/0:
200.1.1.100+x/29
下面为利用PacketTracer5软件画完的网络图。
需要注意的是如图中所示红色的连线说明可能是物理没有连通,经检查发现使用了直通线(CopperStraight-Through),这里要选择交叉铜线(CopperCross-Over)。
2、配置各主机和设备的的IP地址,WEB服务器开启HTTP服务
配置各主机对应的IP及网关地址。
1路由器内网接口F0/0的IP地址为192.168.1.100+x。
2A、B、C对应IP为192.168.1.2-192.168.1.4,掩码都是255.255.255.0,网关都是192.168.1.100+x;
3路由器外网接口F2/0的IP地址为200.1.1.100+x,掩码也是24位,此子网内的主机IP地址为:
200.1.1.1-200.1.1.6。
单击图中的主机,选择Desktop可以对主机配置IP地址网关等信息。
4D主机模拟公网上的主机,IP地址为200.1.1.2,掩码为29位,即255.255.255.0,为了检查到NAT的效果不要配置网关。
5路由器内网接口F1/0的IP地址为192.168.2.100+x。
WEB服务器的配置
3、路由器包过滤及NAT的配置
配置路由器各接口地址、默认路由、通过ACL+NAT的配置使得ABC主机可以NAT后访问外网主机D并可利用内网地址192.168.2.100地址去访问WEB服务器(公网使用200.1.1.3的IP地址),外部主机D可以访问WEB服务器。
对路由器的配置使用showrun命令进行查看,部分关键配置如下,可用于配置的实施参考:
r1#showrun
hostnamer1
interfaceFastEthernet0/0
ipaddress192.168.1.100+x255.255.255.0
ipaccess-group110in
//符合110列表的规则数据包进行F0/0时进行相应的访问控制
ipnatinside
//接口F0/0为NAT地址转换的内部
interfaceFastEthernet1/0
ipaddress192.168.2.100+x255.255.255.0
ipnatinside
//接口F1/0为NAT地址转换的内部
interfaceFastEthernet2/0
ipaddress200.1.1.100+x255.255.255.0
ipnatoutside
//接口F2/0为NAT地址转换的外部
access-list10permit192.168.1.00.0.0.255
//定义NAT的源地址
access-list10permit192.168.2.00.0.0.255
//定义NAT的源地址
ipnatinsidesourcelist10interfaceFastEthernet2/0overload
//对于列表10中定义的源地址进行动态超载NAT(PAT)转换,并都转换为F2/0接口的公网地址200.1.1.100+x:
端口号
ipnatinsidesourcestatic192.168.2.100200.1.1.3
//定义WEB服务器的静态转换
access-list110denyicmphost192.168.1.3host200.1.1.2
//禁止主机B与主机D进行ICMP通信
access-list110permitipanyany
//允许B主机以外的主机进行IP通信
r1#
1、配置路由器三个局域网接口
2、配置NAT/PAT
3、配置包过滤ACL
4、显示运行配置文件
1、对NAT转换的检查与测试
在主机A上Ping主机D,正常为连通状态,但主机D上Ping主机A是不通的(NAT屏蔽了内部主机)。
检查结果如下图所示(截图),说明NAT动态转换是设置正确。
2、对WEB服务器访问的检查与测试
分别在A主机和D主机上访问WEB服务器,A访问WEB服务器的内网IP地址为192.168.2.100,而D主机WEB服务器的外网NAT静态转换后的IP地址为200.1.1.3如下(截图)所示。
说明对WEB服务器的一对一静态NAT转换配置正确。
3、对包过滤ACL功能的检查与测试
分别在主机B和主机A上Ping主机D,检查连通性,配置正确后,B应该无法与D进行基于ICMP协议的通信,而A、C和路由器接口的IP都可以与D进行基于ICMP协议的通信。
升级会员 