收藏
下载资源

网络安全课程设计方案

上传人:ni****g 文档编号:501365616 上传时间:2023-07-26 格式:DOCX 页数:7 大小:78.78KB
返回 下载 相关 举报
网络安全课程设计方案_第1页
第1页 / 共7页
网络安全课程设计方案_第2页
第2页 / 共7页
网络安全课程设计方案_第3页
第3页 / 共7页
网络安全课程设计方案_第4页
第4页 / 共7页
网络安全课程设计方案_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《网络安全课程设计方案》由会员分享,可在线阅读,更多相关《网络安全课程设计方案(7页珍藏版)》请在金锄头文库上搜索。

1、网络安全课程设计方案班级:2013 级网络工程组别:第六小组时间:2016年7月4日一、设计目的与要求任务 1.1.按照上述网络拓扑图搭建模拟环境,并通过防火墙严格明确划分出三个不同的 安全域。内网至少要划分出两个不同的网段。2公司内部对外提供WWW、FTP和SMTP服务,而且提供两台WWW的服务器。WWW 服务器 2 对外采用 8080端口。3内网全部采用私有地址,规划和分配内网的IP地址,服务器要求采用固定地 址,客户端进行动态IP地址分配。任务 2:利用防火墙的安全机制为内网用户提供一个安全和可靠的网络环境。4.企业具有202.38.168.100至202.38.168.105六个合法的

2、IP地址。选用 202.38.160.100作为企业对外的IP地址,配置网络地址转换,实现内网用户可 以使用 202.38.168.101至 202.38.168.105中的一个访问互联网,而外部用户 只能使用企业对外的IP地址来访问企业内部的三个服务,其中内网中的一个网 段使用loopback接口 IP地址202.38.160.106做为地址转换后IP地址。5创建访问控制列表实现内外网之间的访问控制。要求创建多种高级ACL,即基 于源、目的IP地址,基于源、目的端口,基于时间,基于流量,的访问控制策 略,具体规则自定义,每一种具体规则不能少于 2 条。注:在自定义规则时,应首先重点考虑如何确

3、保内网的安全性,但同时允 许内个网之间的正常合法的访问。6. 在防火墙上配置一 ASPF 策略,检测通过防火墙的 FTP 和 HTTP 流量。要求:如 果该报文是内部网络用户发起的FTP和HTTP连接的返回报文,则允许其通过防 火墙进入内部网络,其他报文被禁止;并且,此ASPF策略能够过滤掉来自某服 务器X. X. X. X 的 HTTP 报文中的 Java applet 和 ActiveX。7. 利用防火墙的黑名单功能,实现服务器和客户机分别位于防火墙 Trust 区域和 Untrust 区域中,现要在 30 分钟内过滤掉客户机发送的所有报文。8. 服务器和客户机分别位于防火墙 Trust

4、区域和 Untrust 区域中,客户机的 IP 地址为202.169.168.1,对应的MAC地址为00e0-fc00-0100,在防火墙上配置 IP地址与MAC地址的绑定,保证只有符合上述关系对的报文可以通过防火墙。9. 启用防火墙报文统计分析功能,如果外部网络对 DMZ 区域的服务器发起的 TCP 连接数超过了设定的阈值,防火墙将限制外部网络向该服务器发起新连接,直到 连接数降到正常的范围。10使能防火墙对常见的网络攻击的防范。包括ARP Flood攻击防范功能、ARP 反向查询攻击防范功能、ARP欺骗攻击防范功能、IP欺骗攻击防范功能、Land 攻击防范功能、 Smurf 攻击防范功能、

5、 WinNuke 攻击防范功能、 Fraggle 攻击防 范功能、Frag Flood攻击防范功能、SYN Flood攻击防范功能、ICMP Flood攻 击防范功能、UDP Flood攻击防范功能、ICMP重定向报文控制功能、ICMP不可 达报文控制功能、地址扫描攻击防范功能、端口扫描攻击防范功能、带源路由选 项IP报文控制功能、带路由记录选项IP报文控制功能、Tracert报文控制功能、 Ping of Dea th攻击防范功能、Teardrop攻击防范功能、TCP报文合法性检测功 能、IP分片报文检测功能、超大ICMP报文控制功能等。11开启信息中心,配置Trust区域内的日志主机IP地

6、址为X. X. X. X,打 开攻击防范的端口扫描攻击开关,将攻击的源地址加入黑名单,老化时间为10 分钟,并使能黑名单功能,并使能 Trust 域的 IP 出方向报文统计。任务3两个小组合并为一个大组,其中一个小组的网络模拟为企业总部的网络,另 一个小组的网络模拟为分布在远地的企业下属机构的网络,用两台路由器模拟公 网,要求实现企业总部的网络和下属机构的网络通过公网实现远程安全互联。注:即要求对流径公网的数据实现保密性和完整性。任务4针对此网络环境和用户需求,每组撰写一份网络安全解决方案书。二、组内成员 曹顺琴曹顺丽童知婷张芮郭绍文赵连鑫郭松超三、实验拓扑C3EO/O4Q2.15;3 4.

7、0/2-1 vlanj3C= U.TATDJQPJCUEHT1CuEhiTIcGUENT1Iittwrvt 曲 *2152. 1S . 1. e.24 vlanZ1S2 168.59 6/24 viand0-U:hlT4192.168.26.e/!4 vLanSCUETSDLENT15GUEXT5cuENra四、实验过程及代码实现1区域划分、vlan规划和地址分配Trust 区域:vlan2: 192.168.10.0 /24vlan3: 192.168.20.0/24vlan4: 192.168.30.0/24vlan5: 192.168.40.0/24192.168.50.0/24 用于接

8、入路由器与防火墙Dmz 区域:192.168.60.0/24 服务器Untrust 区域:202.38.160.100-202.38.160.106 公网注册 ip10.1.1.0/24 模拟外网网段2.协议规划本次实验所有三层设备均用 rip 路由协议实现全网互通,主要命令如下 ripnetworkx.x.x.x mask x.x.x.x 3.Dhcp依照任务书中的要求,trust区域所用的私有ip均为dhcp自动分配。主要代 码如下:dhcp 动态分配dhcp enableip pool 10network x.x.x.x mask x.x.x.xdns-list x.x.x.xgatew

9、ay-list x.x.x.xlease day 9quitinterface vlan xip address (=gateway-list)dhcp select globalquit4.域间策略 本次实验我们主要分为如上所属三个区域进行域间通信。域间策略截图如下:policy interzone trust untrust inbound policy 1netion p已rmitpolicy source 20216勺1 0#policy int已工eo已 trust untrust outboundpolicy 1actio口 permitpolicy source 152.1E8.

10、0.0 0.0255.255#policy interzone dmz untrust inbound policy 1action pirmitpolicy service service-set httppolicy service service-set ftppolicy ci已stination 192 168 602 0#nat-policy interzone trust untrust outbound policy 1action source-natpolicy source 132100 000255policy sourc已 1号2168200 000255 addre

11、ss-group 15.Nat本次实验我们实现trust区域访问untrust区域主要用到的nat技术为源nat。实现 方式用到了地址池、Napt以及esay-ip。代码展示如下:创建地址池:nat address-group 1 202.38.160.101 202.38.160.105实现 napt:nat-policyinterzone trust untrust outboundpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255policy source 192.168.20.0 0.0.0.255address-

12、group 1实现 easy-ip:policy 2action source-natpolicy source 192.168.30.0 0.0.0.255easy-ip GigabitEthernet0/0/0后来我们为实现dmz区域与untrust区域之间的通信,用到了 nat server技术,以保证外网能访问内部的公开服务器。主要代码如下:nat server 0 protocol tcp global 202.38.160.100 9980 inside 192.168.60.2 wwwnat server 1 protocol tcp global 202.38.160.100

13、9981 inside 192.168.60.2 ftp policyinterzonedmzuntrust inbound policy 1action permitpolicy service service-set http policy service service-set ftppolicy destination 192.168.60.2 0结果截图如下: I-l Xaaiszn|岳户湍洁更曰志|兰用6.安全策略(1) Acl 本次实验我们在 dmz 区域交换机上实现了 acl 功能,限制了 vlan3 对内部 ip为 192.168.60.2 /24 的服务器的访问。代码如下

14、:acl number 3000rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.60.2 0rule permit ip source any destination anyinterface Eth0/0/1traffic-filter inbound acl 3000结果截图如下:POping 192 -16S 6D.2Ping 192 1石日 60.2; 32 data bytes. Press Ctrl_C 七口 break Request timeoiut!Reqijest timeout Reqpjest

15、 timeout IRequest timeout !Request timeout E19 2.1GS.6C.2 pi ng s tat i 日 t-i cs5 packet (a) trama in i_t t;ud0 packet- (s) received100.00% packet loss(2) Aspfaspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文 过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf 能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿 过。本次实验中我们运用 aspf 实现了 ftp、Java applet 和 ActiveX 的过滤。代 码如下:firewallinterzone trust untrustdetect ftpdetect java-blockingdetectactivex-blocking(3)

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号