实验报告课程名称::网络安安全与管管理系统统设计与与架构学院:信息息科学与与工程学学院专业:网络络工程113 班级:20013级级姓名:林靖靖皓学号:20013001055161162016年年7月3日山东科技大大学教务处制实验报告组别16姓名林靖皓同组实验者者实验项目名名称实验一SSSL实验验实验日期第8周周二二7,88节教师评语实验成绩指导教师廉文娟一、 实验目的 了解解SSLL是Neetsccapee公司发发明的一一种用于于WEBB的安全全传输协协议 随着时时间的推推移由于于Nettscaape失失去了市市场份额额,它将将SSLL的维护护工作移移交给因因特网工工程任务务组(IIETFF)第第一个后后Nettscaape版版本被重重新命名名为安全全传输层层协议(TTLS), TLSS (TTrannspoort Layyer Seccuriity :RFFC 222466)是基基于SSSL上研研发的,但但是与SSSLvv3.00有细微微的差别别二、实验环环境 Windoows下下SSLL VPNN的网络络拓扑如如图3..3.33-1所所示,其其中: 客户端端:本地地主机((Winndowws XP)),IPP地址1172..22..1.XX 服务端:WWinddowss实验台台VPNN服务器器,IPP地址::1722.222.X..X/116,内内网IPP为1772.220.XX.X//16 二、实验步步骤 一、 根据据实验拓拓扑配置置环境 根据实验环环境中的的拓扑图图,配置置服务器器(Wiindoows实实验台))与客户户端(本本地主机机)的IIP地址址。
二、 安安装与配配置 这一部分是是服务端端跟客户户端都要要做的工工作,操操作完全全相同具具体如下下: 双击 oppenvvpn--2.00.9..exee进行安安装,点点击NEEXT、II Agrree、NNEXTT之后开开始选择择安装路路径,手手动修改改为C::\Prrogrram Filles\\OpeenVPPN 点击击 Insstalll 开始安安装,安安装过程程如图33.3..3-22所示;;安装过过程中,弹弹出硬件件安装窗窗口,点点击仍然然继续,安安装虚拟拟网卡点点击 nexxt、FFiniish 完成安安装 三、 VPPN服务务器初始始化配置置 在进行操作作之前,首首先进行行初始化化工作::打开命令提提示符::“开始||运行”,键入入cmdd,回车车,进入入命令提提示符;;或者“开始||程序||附件||命令提提示符”; 进入C:\\Proograam Filles\\opeenvppn\eeasyy-rssa目录录下,开开始初始始化,具具体命令令如下:: cd C::\Prrogrram Filles\\opeenvppn\eeasyy-rssa iniit-cconffig varrs cleean--alll 如下下图: 上面是初始始化工作作,以后后,在进进行证书书制作工工作时,仍仍旧需要要进行初初始化,但但只需要要进入oopennvpnn\eaasy--rsaa目录,运运行vaars就就可以了了,不需需要上面面那些步步骤了。
四、 服务务器证书书的制作作 (1)) 生成根根证书 输入buiild--ca..batt,如图图所示;; 输入buiild--dh..batt,如图图所示2) 生生成服务务端密钥钥 输入buiild--keyy-seerveer serrverr,生成成服务端端密钥;;生成服服务端密密钥的过过程中,所所填写的的commmonn namme需要要与buuildd-caa中所输输入的ccommmon namme名称称一致,其其余的摁摁空格选选择默认认或手动动输入皆皆可;具具体如图图所示 (3) 生生成客户户端密钥钥 输入buiild--keyy cliientt1生成成第一个个VPNN客户端端密钥,如如图所示示; buildd-keey cliientt2 //可可以继续续配置第第二个VVPN客客户端密密钥; 生成的的密钥存存放于CC:\PProggramm Filles\\opeenvppn\eeasyy\rssa\kkeyss目录下下 五、 配置置服务器器 在C:\PProggramm Filles\\OpeenVPPN\eeasyy-rssa\kkeyss目录下下,将生生成的“ca..crtt”、“dh110244.peem”、“serrverr.crrt”、“serrverr.keey”复制到到C:\\Proograam Filles\\OPEENVPPN\KKEY目目录下(如如果没有有可以自自己创建建),这这四个文文件是VVPN服服务端运运行所需需要的文文件。
注:“caa.crrt”“dhh10224.ppem”“seerveer.ccrt”“seerveer.kkey”这四个个文件是是VPNN服务端端运行所所需要的的文件ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件 在C:\PProggramm Filles\\OpeenVPPN\cconffig目目录下创创建seerveer.oovpnn,服务务器端文文件(sservver..ovppn)示示例: locall 1722.222.1..X #建立立VPNN的IPP port 4433 #端口口号,根根据需要要,自行行修改,如如果是用用htttp代理理连接,请请不要修修改 prooto tcpp-seerveer #通过过TCPP协议连连接 devv tapp #wiin下必必须设为为tapp serveer 1722.200.0..0 2555.2555.00.0 # 虚拟局局域网网网段设置置,请根根据需要要自行修修改,不不支持和和拔号网网卡位于于同一网网段 push "rooutee 0.00.0..0 0.00.0..0" #表示示cliientt通过VVPN SERRVERR上网 keeepallivee 20 1800 ca "CC:\\\Proograam Filles\\\OPPENVVPN\\\KEEY\\\ca..crtt" #CAA证书存存放位置置,请根根据实际际情况自自行修改改 cert "C::\\PProggramm Filles\\\OPPENVVPN\\\KEEY\\\serrverr.crrt" #服务务器证书书存放位位置,请请根据实实际情况况自行修修改 key ""C:\\\Prrogrram Filles\\\OPPENVVPN\\\KEEY\\\serrverr.keey" #服务务器密钥钥存放位位置,请请根据实实际情况况自行修修改 dh "CC:\\\Proograam Filles\\\OPPENVVPN\\\KEEY\\\dh110244.peem" #dhh10224.ppem存存放位置置,请根根据实际际情况自自行修改改 push "reedirrectt-gaatewway deff1" push "dhhcp--opttionn DNSS 2199.1441.1140..10"" #DNNS,请请根据实实际情况况自行修修改 modde serrverr tlss-seerveer statuus "C::\\PProggramm Filles\\\OPPENVVPN\\\loog\\\opeenvppn-sstattus..logg" #LOOG记录录文件存存放位置置,请根根据实际际情况自自行修改改 comp--lzoo verrb 4 六、 配置置客户端端 “ca.ccrt”“clliennt.ccrt”“clliennt.kkey”是VPPN客户户端所需需要的文文件,复复制到客客户端CC:\PProggramm Filles\\OPEENVPPN\KKEY目目录下(如如果没有有可以自自己创建建)。
在客户端安安装完成成之后,需需要将 ca..crtt cliientt1.ccrt cliientt1.kkey 这三个个文件拷拷贝到CC:\PProggramm Filles\\opeenvppn\kkey目目录下,这这三个文文件由服服务端生生成,所所以,连连接谁的的服务器器,就需需要跟谁谁索取这这三个文文件 然后,编辑辑一个 cliientt.ovvpn的的配置文文件存放放到C::\Prrogrram Filles\\opeenvppn\cconffig目目录下,客客户端就就可以进进行连接接了;客客户端文文件(cclieent..ovppn)示示例: 七、 VPPN服务务端命令令行启动动: Openvvpn..exee "C::\Prrogrram Filles\\OpeenVPPN\cconffig\\serrverr.ovvpn"" //启启动VPPN到4443端端口 八、 VPNN客户端端命令行行连接:: Openvvpn..exee "C::\Prrogrram Filles\\OpeenVPPN\cconffig\\cliientt.ovvpn"" 九、 VPNN安全性性验证 上面的配置置拔号成成功后,VVPN SERRVERR的IPP为1772.220.11.Y,VVPN cliientt的IPP为1772.220.11.Y。
(1) 在在VPNN cliientt上piing VPNN SERRVERR; (2) 分分别抓取取真实网网卡与虚虚拟网卡卡的数据据包作对对比 具体结结果如下下: (1) 真真实网卡卡:抓取取的为加加密sssl数据据包(图图3.33.3--8为实实际环境境举例)) 三、 实验总结 需要要多练多多问多百百度实验报告组别16姓名林靖皓同组实验者者实验项目名名称实验二 LLinuux防火火墙实验日期第9周周二二7,88节教师评语实验成绩指导教师廉文娟一、实验目目的1、了解防防火墙的的主要类类型2、了解和和用CLLI配置置 CBBAC (IOOS 有有状态的的包检查查)3、了解和和用CLLI和SSDM配配置区域域(Zoone--Bassed)策策略防火火墙二、实验环环境1 网络络中包括括两个子子网A和和B子子网A的的网络地地址为1192..1688.1..0/224网关为为hosstAHHosttA有两个接口口ethh0和eeth11Etth0连连接子网网AIP地地址为1192..1688.1..1eeth11连接外外部网络络Ip地址为为10..0.00.111子网网B的网网络地址址为1992.1168..10..0/224网关为为hosstB。
HHosttB有两两个网络接口ethh0和eeth11etth0连连接子网网B,IIP地址址为1992.1168..10..1eeth11连接外外部网络络IP地址为100.0..0.1101hhosttA和HHosttB构成成子网CC,网络络地址是是10..0.00.0//24通过集集线器连连接到hosttC然后通通过hoostCC连接IInteerneetHHosttC的内内部网络络接口为为ethh0IP地地址为110.00.0..1 2 在hhosttA、hhosttB和hhosttC上都都已经安安装好LLinuux系统统并且在在hosstC上上已经设设置好了了Squidd代理服服务器 三、 实验内容开始配置(1)查看看本机关关于IPPTABBLESS的设置置情况[roott@tpp ~]]# iiptaablees --L --n可以看出我我在安装装linnux时时,选择择了有防防火墙,,并且开开放了222,880,225端口口.如果你在安安装liinuxx时没有有选择启启动防火火墙,是是这样的的[roott@tpp ~]]# iiptaablees --L --n(2)清除除原有规规则.不管你在安安装liinuxx时是否否启动了了防火墙墙,如果果你想配配置属于于自己的的防火墙墙,那就就清除现现在fiilteer的所所有规则则.[roott@tpp ~]]# iiptaablees --F 清除预预设表ffiltter中中的所有有规则链链的规则则[roott@tpp ~]]# iiptaablees --X 清除预预设表ffiltter中中使用者者自定链链中的规规则[roott@tpp ~]]# //etcc/rcc.d//iniit.dd/ipptabbless saave这样就可以以写到//etcc/syyscoonfiig/iiptaablees文件件里了..写入后后记得把把防火墙墙重起一一下,才才能起作作用.[roott@tpp ~]]# sservvicee ipptabbless reestaart现在IPTTABLLES配配置表里里什么配配置都没没有了,,那我们们开始我我们的配配置吧(3)设定定预设规规则[roott@tpp ~]]# iiptaablees --p IINPUUT DDROPP[roott@tpp ~]]# iiptaablees --p OOUTPPUT ACCCEPTT[roott@tpp ~]]# iiptaablees --p FFORWWARDD DRROP上面的意思思是,当当超出了了IPTTABLLES里里fillterr表里的的两个链链规则((INPPUT,,FORRWARRD)时时,不在在这两个个规则里里的数据据包怎么么处理呢呢,那就就是DRROP((放弃)).应该该说这样样配置是是很安全全的.我我们要控控制流入入数据包包而对于OUUTPUUT链,,也就是是流出的的包我们们不用做做太多限限制,而而是采取取ACCCEPTT,也就就是说,,不在着着个规则则里的包包怎么办办呢,那那就是通通过.可以看出IINPUUT,FFORWWARDD两个链链采用的的是允许许什么包包通过,,而OUUTPUUT链采采用的是是不允许许什么包包通过..(4)添加加规则..首先添加IINPUUT链,,INPPUT链链的默认认规则是是DROOP,所所以我们们就写需需要ACCCETTP(通通过)的的链为了能采用用远程SSSH登登陆,我我们要开开启222端口..[roott@tpp ~]]# iiptaablees --A IINPUUT --p ttcp --ddporrt 222 --j AACCEEPT[roott@tpp ~]]# iiptaablees --A OOUTPPUT -p tcpp ---spoort 22 -j ACCCEPTT (注注:这个个规则,,如果你你把OUUTPUUT 设设置成DDROPP的就要要写上这这一部,,好多人人都是望望了写这这一部规规则导致致,始终终无法SSSH..在远程程一下,,是不是是好了..其他的端口口也一样样,如果果开启了了webb服务器器,OUUTPUUT设置置成DRROP的的话,同同样也要要添加一一条链::[roott@tpp ~]]# iiptaablees --A OOUTPPUT -p tcpp ---spoort 80 -j ACCCEPTT ,其其他同理理.)如果做了WWEB服服务器,,开启880端口口.[roott@tpp ~]]# iiptaablees --A IINPUUT --p ttcp --ddporrt 880 --j AACCEEPT如果做了邮邮件服务务器,开开启255,1110端口口.[roott@tpp ~]]# iiptaablees --A IINPUUT --p ttcp --ddporrt 1110 -j ACCCEPTT[roott@tpp ~]]# iiptaablees --A IINPUUT --p ttcp --ddporrt 225 --j AACCEEPT如果做了FFTP服服务器,,开启221端口口[roott@tpp ~]]# iiptaablees --A IINPUUT --p ttcp --ddporrt 221 --j AACCEEPT[roott@tpp ~]]# iiptaablees --A IINPUUT --p ttcp --ddporrt 220 --j AACCEEPT如果做了DDNS服服务器,,开启553端口口[roott@tpp ~]]# iiptaablees --A IINPUUT --p ttcp --ddporrt 553 --j AACCEEPT如果你还做做了其他他的服务务器,需需要开启启哪个端端口,照照写就行行了.二,配置一一个NAAT表放放火墙1,查看本本机关于于NATT的设置置情况[roott@tpp rcc.d]]# iiptaablees --t nnat -LChainn PRREROOUTIING (pooliccy AACCEEPT))targeet pprott oppt ssourrce deestiinattionn Chainn POOSTRROUTTINGG (ppoliicy ACCCEPTT)targeet pprott oppt ssourrce deestiinattionn SNAT aall -- 1922.1668.00.0//24 aanywwherre to::2111.1001.446.2235Chainn OUUTPUUT ((pollicyy ACCCEPPT)targeet pprott oppt ssourrce deestiinattionn 我的NATT已经配配置好了了的(只只是提供供最简单单的代理理上网功功能,还还没有添添加防火火墙规则则).关关于怎么么配置NNAT,,参考我我的另一一篇文章章当然你如果果还没有有配置NNAT的的话,你你也不用用清除规规则,因因为NAAT在默默认情况况下是什什么都没没有的如果你想清清除,命命令是[roott@tpp ~]]# iiptaablees --F --t nnat[roott@tpp ~]]# iiptaablees --X --t nnat[roott@tpp ~]]# iiptaablees --Z --t nnat2,添加规规则添加基本的的NATT地址转转换,((关于如如何配置置NATT可以看看我的另另一篇文文章),,添加规则,,我们只只添加DDROPP链.因因为默认认链全是是ACCCEPTT.防止外网用用内网IIP欺骗骗[roott@tpp syyscoonfiig]## ipptabbless -tt naat --A PPRERROUTTINGG -ii etth0 -s 10..0.00.0//8 --j DDROPP[roott@tpp syyscoonfiig]## ipptabbless -tt naat --A PPRERROUTTINGG -ii etth0 -s 1722.166.0..0/112 --j DDROPP[roott@tpp syyscoonfiig]## ipptabbless -tt naat --A PPRERROUTTINGG -ii etth0 -s 1922.1668.00.0//16 -j DROOP如果我们想想,比如如阻止MMSN,,,,BT等等的话,,需要找找到它们们所用的的端口或或者IPP,(个个人认为为没有太太大必要要)例:禁止与2111.1101..46..2533的所有有连接[roott@tpp ~]]# iiptaablees --t nnat -A PREEROUUTINNG --d 2211..1011.466.2553 --j DDROPP禁用FTPP(211)端口口[roott@tpp ~]]# iiptaablees --t nnat -A PREEROUUTINNG --p ttcp --ddporrt 221 --j DDROPP这样写范围围太大了了,我们们可以更更精确的的定义..[roott@tpp ~]]# iiptaablees --t nnat -A PREEROUUTINNG --p ttcp --ddporrt 221 --d 2211..1011.466.2553 --j DDROPP这样只禁用用2111.1001.446.2253地地址的FFTP连连接,其其他连接接还可以以.如wweb((80端端口)连连接.按照我写的的,你只只要找到到,,MSNN等其他他软件的的IP地地址,和和端口,,以及基基于什么么协议,,只要照照着写就就行了..最后:drop非非法连接接[roott@tpp ~]]# iiptaablees --A IINPUUT -m staate --sstatte IINVAALIDD -jj DRROP[roott@tpp ~]]# iiptaablees --A OOUTPPUT -m staate --sstatte IINVAALIDD -jj DRROP[roott@tpp ~]]# iiptaablees-AA FOORWAARD -m staate --sstatte IINVAALIDD -jj DRROP允许所有已已经建立立的和相相关的连连接[roott@tpp ~]]# iiptaablees-AA INNPUTT -mm sttatee ---staate ESTTABLLISHHED,,RELLATEED --j AACCEEPT[roott@tpp ~]]# iiptaablees-AA OUUTPUUT --m sstatte ---sttatee ESSTABBLISSHEDD,REELATTED -j ACCCEPTT[roott@tpp ~]]# //etcc/rcc.d//iniit.dd/ipptabbless saave这样就可以以写到//etcc/syyscoonfiig/iiptaablees文件件里了把把防火墙墙重起一一下,起起作用。
四、 实验总结 通通过此次次防火墙墙的实验验,模拟拟进行了了简单的的防火墙墙的工作作,对防防火墙的的基本工工作原理理有了认认识,加加深了对对网络传传输协议议体系的的理解,也也学习到到了对LLinuux内核核扩展的的方法实验报告组别16姓名林靖皓同组实验者者实验项目名名称实验三思科科防火墙墙配置与与入侵检检测技术术实验日期第10周周周二7,,8节教师评语实验成绩指导教师廉文娟一、 实验验目的 通过该实验验了解PPIX防防火墙的的软硬件件组成结结构,掌掌握PIIX防火火墙的工工作模式式,熟悉悉PIXX防火墙墙的6条条基本指指令,掌掌握PIIX防火火墙的动动态、静静态地址址映射技技术,掌掌握PIIX防火火墙的管管道配置置,熟悉悉PIXX防火墙墙在小型型局域网网中的应应用 二、 实验验任务 l 观察PPIX防防火墙的的硬件结结构,掌掌握硬件件连线方方法 ll 查看看PIXX防火墙墙的软件件信息,掌掌握软件件的配置置模式 l 了解PPIX防防火墙的的6条基基本指令令,实现现内网主主机访问问外网主主机 三、 实验验设备 PIX5001防火火墙一台台,CIISCOO 29550交换换机两台台,控制制线一根根,网络络连接线线若干,PPC机若若干 四、 实验验拓扑图图及内容容 图中DMZZ区域没没有配置置,只是是配置了了内网RR1和外外网R44,外网R4:: R4#coonf t Enterr connfigguraatioon commmannds,, onee perr linne. Ennd witth CNTTL/ZZ. R4((connfigg)#iint f0//0 R4(coonfiig-iif)##ip addd 1922.1668.11.2 2555.2555.2255..0 R4(coonfiig-iif)##no shuut R4(coonfiig-iif)##exiit *Mar 1 00::02::56..0599: %LIINK--3-UUPDOOWN:: Intterffacee FasstEttherrnett0/00, chaangeed staate to up *Mar 1 00::02::57..0599: %LIINEPPROTTO-55-UPPDOWWN: Linne prootoccol on Intterffacee FasstEttherrnett0/00, chaangeed staate to up R4(coonfiig)##ip rouute 0.00.0..0 0.00.0..0 1922.1668.11.3 R4(coonfiig)## 内网R1:: R1#coonf t Enterr connfigguraatioon commmannds,, onee perr linne. Ennd witth CNTTL/ZZ. R1((connfigg)#iint f0//0 R1(coonfiig-iif)##ip addd 10..1.11.2 2555.2555.2255..0 R1(coonfiig-iif)##no shuut R1((connfigg-iff)# *Mar 1 00::01::32..1155: %LIINK--3-UUPDOOWN:: Intterffacee FasstEttherrnett0/00, chaangeed staate to up *Maar 1 00::01::33..1155: %LIINEPPROTTO-55-UPPDOWWN: Linne prootoccol on Intterffacee FasstEttherrnett0/00, chaangeed staate to upR1(coonfiig-iif)##exiit R1(coonfiig)##ip rouute 0.00.0..0 0.00.0..0 10..1.11.3 R1(coonfiig)##exiit R1# *Mar 1 00::53::05..2877: %SYYS-55-COONFIIG_II: Connfiggureed froom connsolle by connsolle R1# 防火墙上的的配置:: pixfiirewwalll# connf t pixfiirewwalll(coonfiig)## hosstnaame pixx pix(cconffig))# pixx(coonfiig)## pix(cconffig))# intt e0 pix(cconffig--if))# ip addd 10..1.11.3 2555.2555.2255..0 pix(cconffig--if))# nammeiff inssidee INFO:: Seccuriity levvel forr "innsidde" sett to 1000 by deffaullt. pix(cconffig--if))# no shuut pix(cconffig--if))# exiit pix(cconffig))# intt e1 pix(cconffig--if))# nammeiff outtsidde INFO:: Seccuriity levvel forr "ouutsiide"" sett to 0 by deffaullt. pix(cconffig--if))# ip addd 1922.1668.11.3 pix(cconffig--if))# ip addd 1922.1668.11.3 2555.2555.2255..0 pix(cconffig--if))# no shuut pix(cconffig--if))# exiit pix(cconffig))# staaticc (innsidde,ooutssidee) 1922.1668.11.4 10..1.11.4 nettmassk 2555.2555.2255..2555 pix(cconffig))# acccesss-liist 1000 perrmitt icmmp anyy anyy pix(cconffig))# acccesss-grr pix(cconffig))# acccesss-grroupp 1000 in intt pix(cconffig))# acccesss-grroupp 1000 in intterffacee outtsidde pix(cconffig))# exiit pixx# 五、实验结结果 内网pinng外网网: 外网pinng内网网:五、实验总总结:ppix防防火墙默默认情况况下,从从高安全全级别到到低安全全级别的的流量是是被允许许的,从从低安全全级别访访问高安安全级别别的流量量默认是是被禁止止的。
要要使流量量可以从从低安全全级别访访问高安安全级别别,需要要使用访访问列表表实验报告组别16姓名林靖皓同组实验者者实验项目名名称实验四VPPN配置置实验日期第11周周周二7,,8节教师评语实验成绩指导教师廉文娟一、实验目目的: 1) 掌握IKKE阶段段1和阶阶段2的的协商过过程2) 在cissco路路由器上上配置IIPSeec VPNN二、实验步步骤: 实验拓扑扑图:1)R1配配置 en coonf t hoss r1 intt fa00/0 ip add 1000.0..0.11 2555.2555.2255..2522 no sh intt fa11/0 ip add 10..0.00.1 2555.2555.2255..0 no sh exiit ip rooutee 0.00.0..0 0.00.0..0 1000.0..0.22 //阶阶段1配配置 //交换IISAKKMP//IKEE传输集集 cryptto isaakmpp pollicyy 1 //建立IISAKKMP//IKEE的管理理连接策策略encryyptiion 3dees //指定管管理连接接的最后后两个报报文(用用于身份份验证)采采用3ddes加加密算法法 hash md55 //指定验验证过程程采用HHMACC(散列列消息验验证码)功功能 grroupp 2 //指定DDH密钥钥组,生生成对称称的密钥钥DH算算法 autheentiicattionn pree-shharee //指定设设备验证证的类型型为:预预共享密密钥 lifettimee secconddes 864400 //配置管管理连接接的生存存周期 exiit //通过DDH算法法实现密密钥交换换 cryptto isaakmpp keyy 6 bennet adddresss 2000.0..0.11 //阶阶段2配配置 //配置 cryyptoo ACLL(定义义触发VVPN流流量的AACL) accesss-llistt 1000 perrmitt ip 10..0.00.0 0.00.0..2555 11..0.00.0 0.00.0..2555 //定定义阶段段2的传传输集 cryptto ipssec traansfformm-seet r1rr2 ah--shaa-hmmac espp-aees exiit //配置ccryppto mapp cryptto mapp r1rr2maap 1 ipssec--isaakmpp mattch adddesss 1000 sett peeer 2000.0..0.11 sett traansfformm-seet r1rr2 intt fa00/0 //将crryptto mpaa 应用到到接口 cryyptoo mapp r1rr2maap 2)R2配配置 en coonf t hoss r2 intt fa00/0 ip add 1000.0..0.22 2555.2555.2255..2522 no sh intt fa11/0 ip add 2000.0..0.22 2555.2555.2255..2522 no sh exiit 3)R3配配置 en coonf t hoss r3 intt fa00/0 ip add 11..0.00.1 2555.2555.2255..0 no shint ffa1//0 ip add 2000.0..0.11 2555.2555.2255..2522 no sh exiit ip rooutee 0.00.0..0 0.00.0..0 2000.0..0.22 //阶阶段1配配置 //交换IISAKKMP//IKEE传输集集 cryyptoo isaakmpp pollicyy 1 enccrypptioon 3dees hassh md55 //设备身身份验证证 autheentiicattionn pree-shharee grooup 2 exiit //通过DDH算法法实现密密钥交换换 cryptto isaakmpp keyy 6 bennet adddresss 1000.0..0.11 //阶段22配置 //配置 cryyptoo ACLL(定义义触发VVPN流流量的AACL) accesss-llistt 1000 perrmitt ip 11..0.00.0 0.00.0..2555 10..0.00.0 0.00.0..2555 //定定义阶段段2的传传输集 cryptto ipssec traansffromm-seet r2rr1 ah--shaa-hmmac espp-aees exit //配置ccryppto mapp cryptto mapp r2rr1maap 1 ipssec--isaakmpp set ppeerr 1000.0..0.11 set ttrannsfoorm--sett r2rr1 matchh adddresss 1000 int ffa1//0 //将crryptto mpaa 应用到到接口 cryptto mapp r2rr1maap endd 1)验证 1.在R11上采用用扩展ppingg 11..0.00.1 souurcee 10..0.00.1 来触发发VPNN流量,使使用shhow cryyptoo isaakmpp pollicyy 查看策策略是否否匹配!! 2.使用sshoww cryyptoo is keyy 查看密密钥是否否一至 3.使用sshoww cryyptoo isaakmpp sa 查看是是否建立立管理连连接,如如图所示示:已建建立管理理连接,4.使用sshoww cryyptoo ipssec sa 查看第第二阶段段的数据据连接是是否已建建立,如如图所示示:已建建立数据据连接,且且数据已已被加密密。
三、 实验总结由于所选择择的VPPN的IIP地址址无效,所所以不能能通过其其正常上上网但但是基本本上步骤骤都已明明白,并并清楚了了解配置置VPNN连接的的基本步步骤实验报告组别16姓名林靖皓同组实验者者实验项目名名称实验五保护护局域网网(二层层安全)实验日期第12周周周二7,,8节教师评语实验成绩指导教师廉文娟一、实验目目的:AP通过二二层交换换机和AAC相连连,使用用AP自自动上线线的方式式,并与与PC相相通二、实验内内容:配置思路 (1)配置置接入交交换机和和AC,实实现APP和ACC互通;; (2)配置置AC的的基本功功能,包包括配置置AC运运营商标标识和IID、AAC与AAP之间间通信的的源接口口,实现现AC作作为DHHCP Serrverr给STTA和AAP分配配IP地地址; (3)配置置AP上上线的认认证方式式,并把把AP加加入APP域中,实实现APP正常工工作; (4))配置VVAP,下下发WLLAN业业务,实实现STTA访问问WLAAN网络络功能;; (5)配置置AP对对应的WWMM模模板、射射频模板板,并在在射频口口下绑定定射频模模板,实实现STTA与AAP之间间的无线线通信参参数配置置; (6)配置置WLAAN-EESS接接口,并并在服务务集下绑绑定该接接口,实实现无线线侧报文文到达AAC后能能够送至至WLAAN业务务处理模模块处理理; (7)配置置AP对对应的服服务集、安安全模板板和流量量模板,并并在服务务集下绑绑定安全全模板、流流量模板板、WLLAN--ESSS接口,实实现STTA接入入网络安安全策略略及QooS控制制; (8)配配置VAAP并下下发,实实现STTA访问问WLAAN网络络功能。
AC代码为: 配置AC上上接口,透透传管理理和业务务VLAAN 独立的安全全调研公公司 @@staake [9]] 最近近对 CCiscco CCataalysst 229500 、 Cattalyyst 35550 、 Cattalyyst 45000 和和 Caatallystt 65500 系列交交换机上上采用的的虚拟 LANN ( VLAAN )技技术进行行了一次次安全检检查 [[1] 虽然然此次检检查没有有暴露出出严重的的安全漏漏洞,但但必须指指出的是是,如果果交换机机的配置置不正确确或不适适当,则则很有可可能引发发意外行行为或发发生安全全问题去年,思科科系统公公司一直直致力于于在若干干文档中中制定安安全网络络配置的的最佳实实践准则则,例如如《 SSAFEE 蓝图图》 [[2] 或《 Cattalyyst 45000 、 50000 和和 65500 系列交交换机最最佳实践践经验》 [3]] 但但是,迄迄今为止止,思科科还没有有提供一一本全面面介绍与与 VLLAN 相关的的所有最最佳实践践经验、可可方便客客户和现现场工程程师参考考的文档档本文的目的的是全面面介绍思思科工程程师多年年积累的的丰富经经验和建建议,帮帮助客户户和现场场工程师师正确地地在思科科交换机机上配置置 VLLAN 。
除此此以外,本本文还将将通过要要点说明明解释 @sttakee 测试试的主要要结果,阐阐述解决决安全问问题的方方法基本安全准准则要想创建安安全的交交换网,必必须先熟熟悉基本本安全准准则需需要特别别注意的的是, SAFFE 最最佳实践践 [22] 中中强调的的基本准准则是设设计任何何安全交交换网的的基石如果用户不不希望任任何设备备受损,则则必须严严格控制制对该设设备的访访问不不仅如此此,所有有网络管管理员都都应该使使用思科科平台上上提供的的所有实实用安全全工具,包包括系统统密码的的基本配配置、 IP 准入过过滤器和和登陆检检查,以以及 RRADIIUS 、 TTACAACS++ 、 Kerrberros 、 SSSH 、 SSNMPPv3 、 IIDS 等更先先进的工工具(详详情参见见 [33] )必须使所有有基本安安全准则则得到满满足之后后,再关关注更先先进的安安全细节节在下下面的章章节中,我我们将说说明与 VLAAN 相相关的问问题虚拟 LAAN第二层( L2 )交换换机指能能够将若若干端口口组成虚虚拟广播播域,且且各虚拟拟广播域域之间相相互隔离离的设备备这些些域一般般称为虚虚拟 LLAN ( VVLANN )。
VLAN 的概念念与网络络领域中中的其它它概念相相似,流流量由标标记或标标签标识识标识识对第二二层设备备非常重重要,只只有标识识正确,才才能隔离离端口并并正确转转发接收收到的流流量正正如后面面章节中中将要介介绍的那那样,缺缺乏标识识有时是是引发安安全问题题的原因因,因而而需要避避免如果设备中中的所有有分组与与相应 VLAAN 标标记紧密密结合,则则能够可可靠区分分不同域域的流量量这就就是 VVLANN 交换换体系结结构的基基本前提提此时,我们们可以得得出这样样的结论论:如果果从源节节点发送送出去之之后,分分组的 VLAAN 标标识不能能被修改改,即保保持端到到端不变变,则 VLAAN 的的可靠性性应等价价于物理理安全性性关于这个问问题,我我们还将将在下面面详细讨讨论控制面板恶意用户特特别希望望能够访访问网络络设备的的管理控控制台,因因为一旦旦成功,就就能够容容易地根根据他们们的需要要修改网网络配置置在基于 VVLANN 的交交换机中中,除与与带外端端口直接接连接外外,管理理 CPPU 还还可以使使用一个个或多个个 VLLAN 执行带带内管理理另外外,它还还可以使使用一个个或多个个 VLLAN 与其它它网络设设备交换换协议流流量。
基本物理安安全准则则要求网网络设备备位于可可控(锁锁定)空空间,主主要 VVLANN 安全全准则则则要求将将带内管管理和协协议流量量限制在在可控环环境中这这个要求求可以通通过以下下工具和和最佳实实践经验验实现::• 流量量和协议议 ACCL 或或过滤器器• QooS 标标记和优优先级划划分(控控制协议议由相应应的服务务等级或或 DSSCP 值区分分)• 有选选择地关关闭不可可信端口口上的第第二层协协议(例例如关闭闭接入端端口上的的 DTTP )• 只在在专用 VLAAN 上上配置带带内管理理端口• 避免免使用 VLAAN 11 传输输任何数数据流量量命令示例::Catallystt 操作作系统( CattOS )软件件 Ciiscoo IOOS òò 软件件使用 VLLAN 1 需注意意的事项项VLAN 1 成成为特殊殊 VLLAN 的原因因是,需需要第二二层设备备才能由由默认 VLAAN 分分配其端端口,包包括其管管理端口口另外外, CCDP 、 PPAgPP 和 VTPP 等许许多第二二层协议议都需要要发送到到干线链链路上的的特定 VLAAN 基基于这三三个原因因,最后后选中了了 VLLAN 1 。
为挽回 VVLANN 1 的声誉誉,可实实施一个个简单的的通用安安全准则则:作为为一项安安全规定定,网络络管理员员应该将将任何 VLAAN ,尤尤其是 VLAAN 11 与并并非绝对对需要此此 VLLAN 的所有有端口隔隔离开因此,对于于 VLLAN 1 ,上上述准则则可以转转换成以以下建议议:• 不使使用 VVLANN 1 传输带带内管理理流量,使使用另一一专用 VLAAN ,将将管理流流量与用用户数据据和协议议流量隔隔离开;;• 撤销销 VLLAN 1 中中所有不不需要的的干线和和接入端端口(包包括未连连接端口口和关闭闭端口)同样,上述述规则也也适用于于管理 VLAAN 读读操作::• 不在在不需要要的任何何干线或或接入端端口上配配置管理理 VLLAN (包括括未连接接端口和和关闭端端口);;实验报告组别16姓名林靖皓同组实验者者实验项目名名称实验六网络络攻击实验日期第13周周周二7,,8节教师评语实验成绩指导教师张重庆一、实验目目的:了解并掌握握攻击的的的防御御及攻击击二、实验内内容:1. 使用用网络安安全漏洞洞扫描程程序发现现网络安安全漏洞洞 a) 使用用Rettinaa Sassserr 扫描程程序发现现震荡波波漏洞。
b) 使用用震荡波波攻击程程序(ssassser..exee)攻击击主机命命令的语语法是:: sasseer <操作作系统类类型> <目标标IP地地址> <端口口号> c) 使用用sassserr.exxe攻击击目标.. d) 使用用tellnett命令连连接到目目标机命命令为:: telneet <目标标ip 地址>> <端口口号> e) 安安装远程程管理工工具RAA或木马马程序 1. 使用用tfttp 命令下下载程序序到目标标机. 使用ttftpp命令需需安装ttftpp服务器器软件. 2. 在目目标机上上运行ttftpp 命令下下载RAA服务器器端.命命令是:: tftp –i geet sllavee.exxe3. 安装装RA((运行sslavve.eexe)) f) 使用用RA控控制目标标机(密密码为ttriaal)G)使用PPEExxploorerr对PEE文件进进行查看看PE病病毒的实实现实验报告组别16姓名林靖皓同组实验者者实验项目名名称实验七Wiindoows安安全防御御实验日期第14周周周二7,,8节教师评语实验成绩指导教师张重庆一、实验目目的 掌握winndowws的安安全设置置,加固固操作系系统安全全 二、实验内内容。