网络安全课程设计方案.docx

1、 网络安全课程设计 方案 班级： 2013 级网络工程 组别：第六小组 时间： 2016 年 7 月 4 日 一、 设计目的与要求 任务 1. 1.按照上述网络 拓扑图搭建模拟环境，并通过防火墙严格明确划分出三个不同的安全域。内网至少要划分出两个不同的网段。 2.公司内部对外提供 WWW、 FTP 和 SMTP 服务，而且提供两台 WWW 的服务器。 WWW服务器 2对外采用 8080 端口。 3.内网全部采用私有地址，规划和分配内网的 IP 地址，服务器要求采用固定地址，客户端进行动态 IP 地址分配。 任务 2： 利用防火墙的安全机制为内网用户提供一个安全和可靠的网络环境 。 4.企业 具

2、有 202.38.168.100 至 202.38.168.105 六 个合法的 IP 地址。选用202.38.160.100 作为 企业 对外的 IP 地址， 配置网络地址转换，实现内网用户可以使用 202.38.168.101至 202.38.168.105 中的一个访问互联网，而外部用户只能使用企业 对外的 IP 地址 来访问企业内部的三个服务，其中内网中的一个网段使用 loopback 接口 IP地址 202.38.160.106 做为地址转换后 IP地址。 5.创建访问控制列表实现内外网之间的访问控制。要求创建多种高级 ACL，即基于源、目的 IP 地址，基于源、目的端口，基于时间，

3、基于流量，的访问控制策略，具体规则自定义，每一种具体规则不能少于 2条。 注：在自定义规则时，应首先重点考虑如何确保内网的安全性，但同时允许内个网之间的正常合法的访问 。 6.在防火墙上配置一 ASPF 策略，检测通过防火墙的 FTP 和 HTTP 流量。要求：如果该报文是内部网络用户发起的 FTP 和 HTTP 连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止；并且，此 ASPF 策略能够过滤掉来自 某 服务器 . . . 的 HTTP 报文中的 Java applet 和 ActiveX。 7.利用防火墙的黑名单功能，实现服务器和客户机分别位于防火墙 Trust 区域和Unt

4、rust 区域中，现要在 30 分钟内过滤掉客户机发送的所有报文。 8.服务器和客户机分别位于防火墙 Trust 区域和 Untrust 区域中，客户机的 IP地址为 202.169.168.1，对应的 MAC 地址为 00e0-fc00-0100，在防火墙上配置IP地址 与 MAC 地址的 绑定，保证只有符合上述关系对的报文可以通过防火墙。 9.启用 防火墙报文统计分析功能 ， 如果外部网络对 DMZ 区域的服务器发起的 TCP连接数超过了设定的阈值，防火墙将限制外部网络向该服务器发起新连接，直到连接数降到正常的范围。 10.使能 防火墙 对常见的网络攻击的防范。 包括 ARP Flood

5、攻击防范功能、 ARP反向查询攻击防范功能、 ARP 欺骗攻击防范功能、 IP 欺骗攻击防范功能、 Land攻击防范功能、 Smurf 攻击防范功能、 WinNuke 攻击防范功能、 Fraggle 攻击防范功能、 Frag Flood 攻击防范功能、 SYN Flood 攻击防范功能、 ICMP Flood 攻击防范功能、 UDP Flood 攻击防范功能、 ICMP 重定向报文控制功能、 ICMP 不可达报文控制功能、地址扫描攻击防范功能、端口扫描攻击防范功能、带源路由选项 IP 报文控制功能、带路由记录选项 IP 报文控制功能、 Tracert 报文控制功能、Ping of Death

6、攻击防范功能、 Teardrop 攻击防范功能、 TCP 报文合法性检测功能、 IP 分片报文检测功能、超大 ICMP 报文控制功能等。 11.开启信息中心，配置 Trust 区域内的日志主机 IP 地址为 . . . ，打开攻击防范的端口扫描攻击开关，将攻击的源地址加入黑名单，老化时间为 10分钟，并使能黑名单功能，并使能 Trust 域的 IP 出方向报文统计。 任务 3 两个小组合并为一个大组，其中一个小组的网络模拟为企业总部的 网络，另一个小组的网络模拟为分布在远地的企业下属机构的网络，用两台 路由器模拟公网，要求实现企业总部的网络和下属机构的网络通过公网实现远程安全互联。 注：即要求

7、对流径公网的数据实现保密性和完整性。 任务 4 针对此网络环境和用户需求， 每组撰写一份网络安全解决方案书。 二、 组内成员 曹顺琴 曹顺丽 童知婷 张芮 郭绍文 赵连鑫 郭松超 三、 实验拓扑 四、 实验过程及 代码 实现 1.区域划分、 vlan 规划 和地址分配 Trust 区域： vlan2: 192.168.10.0 /24 vlan3: 192.168.20.0/24 vlan4: 192.168.30.0/24 vlan5: 192.168.40.0/24 192.168.50.0/24 用于接入路由器与防火墙 Dmz 区域： 192.168.60.0/24 服务器 Untrus

8、t 区域： 202.38.160.100-202.38.160.106 公网注册 ip 10.1.1.0/24 模拟外网网段 2.协议规划 本次实验所有三层设备均用 rip 路由协议实现全网互通，主要命令如下： rip network x.x.x.x mask x.x.x.x 3.Dhcp 依照任务书中的要求， trust 区域 所用的私有 ip 均为 dhcp 自动分配。主要代码如下： dhcp 动态分配 dhcp enable ip pool 10 network x.x.x.x mask x.x.x.x dns-list x.x.x.x gateway-list x.x.x.x leas

9、e day 9 quit interface vlan x ip address （ =gateway-list） dhcp select global quit 4.域间策略 本次实验我们主要分为如上所属三个区域进行域间通信。域间策略截图如下： 5.Nat 本次实验我们实现 trust 区域访问 untrust 区域主要用到的 nat 技术为源 nat。实现方式用到了地址池、 Napt 以及 esay-ip 。 代码展示如下： 创建地址池： nat address-group 1 202.38.160.101 202.38.160.105 实现 napt: nat-policy interz

10、one trust untrust outbound policy 1 action source-nat policy source 192.168.10.0 0.0.0.255 policy source 192.168.20.0 0.0.0.255 address-group 1 实现 easy-ip: policy 2 action source-nat policy source 192.168.30.0 0.0.0.255 easy-ip GigabitEthernet0/0/0 后来我们为实现 dmz区域与 untrust 区域之间的通信，用到了 nat server 技术，以保

11、证外网能访问内部的公开服务器。主要代码如下： nat server 0 protocol tcp global 202.38.160.100 9980 inside 192.168.60.2 www nat server 1 protocol tcp global 202.38.160.100 9981 inside 192.168.60.2 ftp policy interzone dmz untrust inbound policy 1 action permit policy service service-set http policy service service-set ftp

12、policy destination 192.168.60.2 0 结果截图如下： 6.安全策略 （ 1） Acl 本次实验我们在 dmz区域交换机上实现了 acl功能，限制了 vlan3 对内部 ip为 192.168.60.2 /24 的服务器的访问。代码如下 : acl number 3000 rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.60.2 0 rule permit ip source any destination any interface Eth0/0/1 traffic-filter inb

13、ound acl 3000 结果截图如下 : （ 2） Aspf aspf(application specific packet filter)是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。 本次实验中我们运用 aspf实现了 ftp、 Java applet 和 ActiveX 的过滤。代码如下： firewall interzone trust untrust detect ftp detect java-blocking detect activex-blocking （ 3） 黑名单 防火墙中启用黑名单功能是根据报文的源 ip 地址实现过滤。代码如下： Firewall blacklist item x.x.x.x x Firewall blacklist enable Firewall blacklist filter-type x （ 4） 攻击防御 防火墙中启用攻击防御功能实现 对各类攻击的防御，以保证所保护区域的安全。代码如下： Firewall defend x(攻击类型 ) enable （ 5） 地址绑定 五 、 心得