《网络安全》课程设计方案
班级:2013级网络工程
组别:第六小组
时间:2016年7月4日
一、设计目的与要求
任务1.
1. 按照上述网络拓扑图搭建模拟环境,并通过防火墙严格明确划分出三个不同的安全域。内网至少要划分出两个不同的网段。
2. 公司内部对外提供WWW 、FTP 和SMTP 服务,而且提供两台WWW 的服务器。WWW 服务器2对外采用8080端口。
3. 内网全部采用私有地址,规划和分配内网的IP 地址,服务器要求采用固定地址,客户端进行动态IP 地址分配。
任务2:
利用防火墙的安全机制为内网用户提供一个安全和可靠的网络环境。
4. 企业具有202.38.168.100至 202.38.168.105六个合法的IP 地址。选用202.38.160.100作为企业对外的IP 地址,配置网络地址转换,实现内网用户可以使用202.38.168.101至 202.38.168.105中的一个访问互联网,而外部用户只能使用企业对外的IP 地址来访问企业内部的三个服务,其中内网中的一个网段使用loopback 接口IP 地址202.38.160.106做为地址转换后IP 地址。
5. 创建访问控制列表实现内外网之间的访问控制。要求创建多种高级ACL ,即基于源、目的IP 地址,基于源、目的端口,基于时间,基于流量,的访问控制策略,具体规则自定义,每一种具体规则不能少于2条。
注:在自定义规则时,应首先重点考虑如何确保内网的安全性,但同时允许内个网之间的正常合法的访问。
6. 在防火墙上配置一ASPF 策略,检测通过防火墙的FTP 和HTTP 流量。要求:如果该报文是内部网络用户发起的FTP 和HTTP 连接的返回报文,则允许其通过防火墙进入内部网络,其他报文被禁止;并且,此ASPF 策略能够过滤掉来自某服务器×. ×. ×. ×的HTTP 报文中的Java applet和ActiveX 。
7. 利用防火墙的黑名单功能,实现服务器和客户机分别位于防火墙Trust 区域和Untrust 区域中,现要在30分钟内过滤掉客户机发送的所有报文。
8. 服务器和客户机分别位于防火墙Trust 区域和Untrust 区域中,客户机的IP 地址为202.169.168.1,对应的MAC 地址为00e0-fc00-0100,在防火墙上配置IP 地址与MAC 地址的绑定,保证只有符合上述关系对的报文可以通过防火墙。
9. 启用防火墙报文统计分析功能,如果外部网络对DMZ 区域的服务器发起的TCP 连接数超过了设定的阈值,防火墙将限制外部网络向该服务器发起新连接,直到连接数降到正常的范围。
10. 使能防火墙对常见的网络攻击的防范。包括ARP Flood攻击防范功能、ARP 反向查询攻击防范功能、ARP 欺骗攻击防范功能、IP 欺骗攻击防范功能、Land 攻击防范功能、Smurf 攻击防范功能、WinNuke 攻击防范功能、Fraggle 攻击防范功能、Frag Flood攻击防范功能、SYN Flood攻击防范功能、ICMP Flood攻击防范功能、UDP Flood攻击防范功能、ICMP 重定向报文控制功能、ICMP 不可达报文控制功能、地址扫描攻击防范功能、端口扫描攻击防范功能、带源路由选项IP 报文控制功能、带路由记录选项IP 报文控制功能、Tracert 报文控制功能、Ping of Death攻击防范功能、Teardrop 攻击防范功能、TCP 报文合法性检测功能、IP 分片报文检测功能、超大ICMP 报文控制功能等。
11. 开启信息中心,配置Trust 区域内的日志主机IP 地址为×. ×. ×. ×,打开攻击防范的端口扫描攻击开关,将攻击的源地址加入黑名单,老化时间为10分钟,并使能黑名单功能,并使能Trust 域的IP 出方向报文统计。 任务3
两个小组合并为一个大组,其中一个小组的网络模拟为企业总部的网络,另一个小组的网络模拟为分布在远地的企业下属机构的网络,用两台路由器模拟公网,要求实现企业总部的网络和下属机构的网络通过公网实现远程安全互联。
注:即要求对流径公网的数据实现保密性和完整性。
任务4
针对此网络环境和用户需求,每组撰写一份网络安全解决方案书。
二、组内成员
曹顺琴曹顺丽童知婷张芮郭绍文赵连鑫郭松超
三、实验拓扑
四、实验过程及代码实现
1. 区域划分、vlan 规划和地址分配
Trust 区域:
vlan2: 192.168.10.0 /24
vlan3: 192.168.20.0/24
vlan4: 192.168.30.0/24
vlan5: 192.168.40.0/24
192.168.50.0/24 用于接入路由器与防火墙
Dmz 区域:
192.168.60.0/24 服务器
Untrust 区域:
202.38.160.100-202.38.160.106 公网注册ip
10.1.1.0/24 模拟外网网段
2. 协议规划
本次实验所有三层设备均用rip 路由协议实现全网互通,主要命令如下:
rip
networkx.x.x.x mask x.x.x.x
3.Dhcp
依照任务书中的要求,trust 区域所用的私有ip 均为dhcp 自动分配。主要代码如下:
dhcp 动态分配
dhcp enable
ip pool 10
network x.x.x.x mask x.x.x.x
dns-list x.x.x.x
gateway-list x.x.x.x
lease day 9
quit
interface vlan x
ip address (=gateway-list)
dhcp select global
quit
4. 域间策略
本次实验我们主要分为如上所属三个区域进行域间通信。域间策略截图如下:
5.Nat
本次实验我们实现trust 区域访问untrust 区域主要用到的nat 技术为源nat 。实现方式用到了地址池、Napt 以及esay-ip 。代码展示如下:
创建地址池:
nat address-group 1 202.38.160.101 202.38.160.105
实现napt:
nat-policyinterzone trust untrust outbound
policy 1
action source-nat
policy source 192.168.10.0 0.0.0.255
policy source 192.168.20.0 0.0.0.255
address-group 1
实现easy-ip:
policy 2
action source-nat
policy source 192.168.30.0 0.0.0.255
easy-ip GigabitEthernet0/0/0
后来我们为实现dmz 区域与untrust 区域之间的通信,用到了nat server 技术,以保证外网能访问内部的公开服务器。主要代码如下:
nat server 0 protocol tcp global 202.38.160.100 9980 inside 192.168.60.2 www nat server 1 protocol tcp global 202.38.160.100 9981 inside 192.168.60.2 ftp
policyinterzonedmzuntrust inbound
policy 1
action permit
policy service service-set http
policy service service-set ftp
policy destination 192.168.60.2 0
结果截图如下:
6. 安全策略
(1) Acl
本次实验我们在dmz 区域交换机上实现了acl 功能,限制了vlan3对内部ip 为192.168.60.2 /24的服务器的访问。代码如下:
acl number 3000
rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.60.2 0
rule permit ip source any destination any
interface Eth0/0/1
traffic-filter inbound acl 3000
结果截图如下:
(2) Aspf
aspf(application specific packet filter) 是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf 能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。本次实验中我们运用aspf 实现了ftp 、Java applet和ActiveX 的过滤。代码如下:
firewallinterzone trust untrust
detect ftp
detect java-blocking
detectactivex-blocking
(3) 黑名单
防火墙中启用黑名单功能是根据报文的源ip 地址实现过滤。代码如下: Firewall blacklist item x.x.x.x x
Firewall blacklist enable
Firewall blacklist filter-type x
(4) 攻击防御
防火墙中启用攻击防御功能实现对各类攻击的防御,以保证所保护区域的安全。代码如下:
Firewall defend x(攻击类型) enable
(5) 地址绑定
五、心得
《网络安全》课程设计方案
班级:2013级网络工程
组别:第六小组
时间:2016年7月4日
一、设计目的与要求
任务1.
1. 按照上述网络拓扑图搭建模拟环境,并通过防火墙严格明确划分出三个不同的安全域。内网至少要划分出两个不同的网段。
2. 公司内部对外提供WWW 、FTP 和SMTP 服务,而且提供两台WWW 的服务器。WWW 服务器2对外采用8080端口。
3. 内网全部采用私有地址,规划和分配内网的IP 地址,服务器要求采用固定地址,客户端进行动态IP 地址分配。
任务2:
利用防火墙的安全机制为内网用户提供一个安全和可靠的网络环境。
4. 企业具有202.38.168.100至 202.38.168.105六个合法的IP 地址。选用202.38.160.100作为企业对外的IP 地址,配置网络地址转换,实现内网用户可以使用202.38.168.101至 202.38.168.105中的一个访问互联网,而外部用户只能使用企业对外的IP 地址来访问企业内部的三个服务,其中内网中的一个网段使用loopback 接口IP 地址202.38.160.106做为地址转换后IP 地址。
5. 创建访问控制列表实现内外网之间的访问控制。要求创建多种高级ACL ,即基于源、目的IP 地址,基于源、目的端口,基于时间,基于流量,的访问控制策略,具体规则自定义,每一种具体规则不能少于2条。
注:在自定义规则时,应首先重点考虑如何确保内网的安全性,但同时允许内个网之间的正常合法的访问。
6. 在防火墙上配置一ASPF 策略,检测通过防火墙的FTP 和HTTP 流量。要求:如果该报文是内部网络用户发起的FTP 和HTTP 连接的返回报文,则允许其通过防火墙进入内部网络,其他报文被禁止;并且,此ASPF 策略能够过滤掉来自某服务器×. ×. ×. ×的HTTP 报文中的Java applet和ActiveX 。
7. 利用防火墙的黑名单功能,实现服务器和客户机分别位于防火墙Trust 区域和Untrust 区域中,现要在30分钟内过滤掉客户机发送的所有报文。
8. 服务器和客户机分别位于防火墙Trust 区域和Untrust 区域中,客户机的IP 地址为202.169.168.1,对应的MAC 地址为00e0-fc00-0100,在防火墙上配置IP 地址与MAC 地址的绑定,保证只有符合上述关系对的报文可以通过防火墙。
9. 启用防火墙报文统计分析功能,如果外部网络对DMZ 区域的服务器发起的TCP 连接数超过了设定的阈值,防火墙将限制外部网络向该服务器发起新连接,直到连接数降到正常的范围。
10. 使能防火墙对常见的网络攻击的防范。包括ARP Flood攻击防范功能、ARP 反向查询攻击防范功能、ARP 欺骗攻击防范功能、IP 欺骗攻击防范功能、Land 攻击防范功能、Smurf 攻击防范功能、WinNuke 攻击防范功能、Fraggle 攻击防范功能、Frag Flood攻击防范功能、SYN Flood攻击防范功能、ICMP Flood攻击防范功能、UDP Flood攻击防范功能、ICMP 重定向报文控制功能、ICMP 不可达报文控制功能、地址扫描攻击防范功能、端口扫描攻击防范功能、带源路由选项IP 报文控制功能、带路由记录选项IP 报文控制功能、Tracert 报文控制功能、Ping of Death攻击防范功能、Teardrop 攻击防范功能、TCP 报文合法性检测功能、IP 分片报文检测功能、超大ICMP 报文控制功能等。
11. 开启信息中心,配置Trust 区域内的日志主机IP 地址为×. ×. ×. ×,打开攻击防范的端口扫描攻击开关,将攻击的源地址加入黑名单,老化时间为10分钟,并使能黑名单功能,并使能Trust 域的IP 出方向报文统计。 任务3
两个小组合并为一个大组,其中一个小组的网络模拟为企业总部的网络,另一个小组的网络模拟为分布在远地的企业下属机构的网络,用两台路由器模拟公网,要求实现企业总部的网络和下属机构的网络通过公网实现远程安全互联。
注:即要求对流径公网的数据实现保密性和完整性。
任务4
针对此网络环境和用户需求,每组撰写一份网络安全解决方案书。
二、组内成员
曹顺琴曹顺丽童知婷张芮郭绍文赵连鑫郭松超
三、实验拓扑
四、实验过程及代码实现
1. 区域划分、vlan 规划和地址分配
Trust 区域:
vlan2: 192.168.10.0 /24
vlan3: 192.168.20.0/24
vlan4: 192.168.30.0/24
vlan5: 192.168.40.0/24
192.168.50.0/24 用于接入路由器与防火墙
Dmz 区域:
192.168.60.0/24 服务器
Untrust 区域:
202.38.160.100-202.38.160.106 公网注册ip
10.1.1.0/24 模拟外网网段
2. 协议规划
本次实验所有三层设备均用rip 路由协议实现全网互通,主要命令如下:
rip
networkx.x.x.x mask x.x.x.x
3.Dhcp
依照任务书中的要求,trust 区域所用的私有ip 均为dhcp 自动分配。主要代码如下:
dhcp 动态分配
dhcp enable
ip pool 10
network x.x.x.x mask x.x.x.x
dns-list x.x.x.x
gateway-list x.x.x.x
lease day 9
quit
interface vlan x
ip address (=gateway-list)
dhcp select global
quit
4. 域间策略
本次实验我们主要分为如上所属三个区域进行域间通信。域间策略截图如下:
5.Nat
本次实验我们实现trust 区域访问untrust 区域主要用到的nat 技术为源nat 。实现方式用到了地址池、Napt 以及esay-ip 。代码展示如下:
创建地址池:
nat address-group 1 202.38.160.101 202.38.160.105
实现napt:
nat-policyinterzone trust untrust outbound
policy 1
action source-nat
policy source 192.168.10.0 0.0.0.255
policy source 192.168.20.0 0.0.0.255
address-group 1
实现easy-ip:
policy 2
action source-nat
policy source 192.168.30.0 0.0.0.255
easy-ip GigabitEthernet0/0/0
后来我们为实现dmz 区域与untrust 区域之间的通信,用到了nat server 技术,以保证外网能访问内部的公开服务器。主要代码如下:
nat server 0 protocol tcp global 202.38.160.100 9980 inside 192.168.60.2 www nat server 1 protocol tcp global 202.38.160.100 9981 inside 192.168.60.2 ftp
policyinterzonedmzuntrust inbound
policy 1
action permit
policy service service-set http
policy service service-set ftp
policy destination 192.168.60.2 0
结果截图如下:
6. 安全策略
(1) Acl
本次实验我们在dmz 区域交换机上实现了acl 功能,限制了vlan3对内部ip 为192.168.60.2 /24的服务器的访问。代码如下:
acl number 3000
rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.60.2 0
rule permit ip source any destination any
interface Eth0/0/1
traffic-filter inbound acl 3000
结果截图如下:
(2) Aspf
aspf(application specific packet filter) 是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf 能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。本次实验中我们运用aspf 实现了ftp 、Java applet和ActiveX 的过滤。代码如下:
firewallinterzone trust untrust
detect ftp
detect java-blocking
detectactivex-blocking
(3) 黑名单
防火墙中启用黑名单功能是根据报文的源ip 地址实现过滤。代码如下: Firewall blacklist item x.x.x.x x
Firewall blacklist enable
Firewall blacklist filter-type x
(4) 攻击防御
防火墙中启用攻击防御功能实现对各类攻击的防御,以保证所保护区域的安全。代码如下:
Firewall defend x(攻击类型) enable
(5) 地址绑定
五、心得