网络安全和管理实验报告new.doc-道客多多

资源描述

1、网络安全实验指导网络安全和管理实验指导书电子与信息工程系网络工程教研室2011-10-25网络安全实验指导实验一为 WWW 服务配置 SSL一、实验目的1加深并消化授课内容，掌握 SSL 的基本概念；2了解并熟悉万维网服务器的配置；3掌握在万维网服务器上部署 SSL 协议；二、实验要求1掌握 Security Socket Layer 在应用层的作用；2独立完成在万维网服务器上部署 SSL；3实验结束后，用统一的实验报告用纸编写实验报告。三、实验环境Windows 2003 企业版服务器 +IIS 服务，Linux 企业版服务器+Apache 服务四、实验内容1Windows 系统上部署万维

2、网服务，并配置 SSL2Linux 系统上部署万维网服务，并配置 SSL五、实验步骤Windows 系统上部署万维网服务，并配置 SSL（1）颁发证书 1.从“管理工具” 程序组中启动“ 证书颁发机构”工具。 2.展开证书颁发机构，然后选择“挂起的申请”文件夹。 3.选择刚才提交的证书申请。 4.在“操作”菜单中，指向“ 所有任务 ”，然后单击“颁发”。 5.确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。 6.在“详细信息” 选项卡中，单击“ 复制到文件”，将证书保存为 Base-64 编码的 X.509 证书。7.关闭证书的属性窗口。 8.关闭“证书颁发机构” 工具。（2）在 W

3、eb 服务器上安装证书 1. 如果 Internet 信息服务尚未运行，则启动它。 2. 展开服务器名称，选择要安装证书的 Web 站点。 3. 右键单击该 Web 站点，然后单击“属性”。 4. 单击“目录安全性” 选项卡。 5. 单击“服务器证书” 启动 Web 服务器证书向导。 6. 单击“处理挂起的申请并安装证书”，然后单击“ 下一步 ”。 7. 输入包含 CA 响应的文件的路径和文件名，然后单击“下一步”。 8. 检查证书概述，单击“下一步”，然后单击“ 完成”。现在，已在 Web 服务器上安装了证书。网络安全实验指导（3）将资源配置为要求 SSL 访问此过程使用 Intern

4、et 服务管理器，将虚拟目录配置为要求 SSL 访问。为特定的文件、目录或虚拟目录要求使用 SSL。客户端必须使用 HTTPS 协议访问所有这类资源。 1.如果 Internet 信息服务尚未运行，则启动它。 2.展开服务器名称和 Web 站点。（这必须是已安装证书的 Web 站点） 3.右键单击某个虚拟目录，然后单击“属性”。 4.单击“目录安全性” 选项卡。 5. 单击“安全通信” 下的“ 编辑 ”。 6.单击“要求安全通道 (SSL)”。 7. 单击“确定”，然后再次单击“ 确定”关闭“属性”对话框。 8.关闭 Internet 信息服务。 Linux 系统上部署万维网服务，并配置 S

5、SL安装并设置具备 SSL 的 Apache 网站服务器1.创建 rasref 目录，在该目录提取文件。# mkdir rsaref-2.0# cd rsaref-2.0# gzip -d -c /rsaref20.tar.Z | tar xvf -2.配置并构造 OpenSSL 库。# cd rsaref-2.0# cp -rp install/unix local# cd local# make# mv rsaref.a librsaref.a# cd /3.安装 OpenSSL。# cd openssl-0.9.x# ./config -prefix=/usr/local/ssl-Lpw

6、d/rsaref-2.0/local/ rsaref -fPIC4.配置 MOD_SSL 模块，然后用 Apache 配置指定它为一个可装载的模块。# cd mod_ssl-2.5.x-1.3.x# ./configure-with-apache=/apache_1.3.x# cd 可以把更多的 Apache 模块加到 Apache 源代码树中。可选的-enable-shared=ssl 选项使得网络安全实验指导mod_ssl 构造成为一个 DSO“libssl.so”。关于在 Apache 支持 DSO 的更多信息，阅读 Apache 源代码树中的 INSTALL 和 htdocs/manu

7、al/dso.html 文档。# cd apache_1.3.x# SSL_BASE=/openssl-0.9.xRSA_BASE=/rsaref-2.0/local./configure -enable-module=ssl-activate-module=src/modules/php4/libphp4.a-enable-module=php4 -prefix=/usr/local/apache-enable-shared=ssl5.生成 Apache，然后生成证书，并安装# make正确地完成，得到类似于以下的信息：+-+| Before you install the package

8、you now should prepare the SSL | certificate system by running the “make certificate“ command. | For different situations the following variants are provided: | | % make certificate TYPE=dummy (dummy self-signed Snake Oil cert) | % make certificate TYPE=test (test cert signed by Snake Oil CA) | % ma

9、ke certificate TYPE=custom (custom cert signed by own CA) | % make certificate TYPE=existing (existing cert) | CRT=/path/to/your.crt KEY=/path/to/your.key | | Use TYPE=dummy when youre a vendor package maintainer, | the TYPE=test when youre an admin but want to do tests only, | the TYPE=custom when

10、youre an admin willing to run a real server | and TYPE=existing when youre an admin who upgrades a server. | (The default is TYPE=test) | | Additionally add ALGO=RSA (default) or ALGO=DSA to select | the signature algorithm used for the generated certificate. | | Use “make certificate VIEW=1“ to dis

11、play the generated data. | || Thanks for using Apache & mod_ssl. Ralf S. Engelschall | |网络安全实验指导| |+-+网络安全实验指导实验二 NAT 地址转换一、实验目的1加深并消化授课内容，理解 NAT 的作用；2掌握 NAT 网络地址转换的方法；3掌握 NAT 服务在网络设备上的配置方法。二、实验要求1掌握 NAT 的网络地址转换的原理；2熟悉在路由器上使用 NAT 服务；3熟悉 Windows 服务器上使用 NAT 服务三、实验环境Cisco 路由器；Windows 2003 企业版服务器四、实验内

12、容1静态地址转换2动态地址转换3复用动态地址转换。4Windows 2000 Server 的网络地址翻译五、实验步骤1静态地址转换（1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入： Ip nat inside source static 内部本地地址内部合法地址（2）、指定连接网络的内部端口在端口设置状态下输入： ip nat inside （3）、指定连接外部网络的外部端口在端口设置状态下输入： ip nat outside2动态地址转换（1）、在全局设置模式下，定义内部合法地址池 ip nat pool 地址池名称起始 IP 地址终止 I

13、P 地址子网掩码其中地址池名称可以任意设定。（2）、在全局设置模式下，定义一个标准的 access-list 规则以允许哪些内部地址可以进行动态地址转换。Access-list 标号 permit 源地址通配符其中标号为 1-99 之间的整数。（3）、在全局设置模式下，将由 access-list 指定的内部本地地址与指定的内部合法地址池进行地址转换。 ip nat inside source list 访问列表标号 pool 内部合法地址池名字网络安全实验指导（4）、指定与内部网络相连的内部端口在端口设置状态下：ip nat inside （5）、指定与外部网络相连的外部端

14、口Ip nat outside 3复用动态地址转换。（1）、在全局设置模式下，定义内部合地址池ip nat pool 地址池名字起始 IP 地址终止 IP 地址子网掩码其中地址池名字可以任意设定。（2）、在全局设置模式下，定义一个标准的 access-list 规则以允许哪些内部本地地址可以进行动态地址转换。access-list 标号 permit 源地址通配符其中标号为 199 之间的整数。（3）、在全局设置模式下，设置在内部的本地地址与内部合法 IP 地址间建立复用动态地址转换。 ip nat inside source list 访问列表标号 pool 内部合法地址池名

15、字 overload（4）、在端口设置状态下，指定与内部网络相连的内部端口ip nat inside（5）、在端口设置状态下，指定与外部网络相连的外部端口ip nat outside 4Windows 2000 Server 的网络地址翻译（1）、连接 Internet 网卡的 IP 由 ISP 提供。（2）、连接内部网网卡的 IP 地址需要以下配置：IP 地址：192.168.0.1 子网掩码：255.255.255.0 默认网关：无（3）、客户机的 IP 地址的配置为：IP 地址：192.168.0.x(可设为同一网段内的任一独立的 IP)子网掩码：255.255.255.0默认

16、网关：192.168.0.1（4）、在“路由和远程访问” 控制台中，用鼠标右键单击域服务器，从弹出的快捷菜单中选择“配置并启用路由和远程访问”选项，打开“ 路由和远程访问服务器安装向导 ”对话框。（5）、在路由和远程访问服务器安装向导中，选择用于“Internet 连接服务器”的选项，以及用来安装带有网络地址转换(NAT)路由协议的路由器的选项。（6）、接下来要定义好哪块网卡连接 Internet。网络安全实验指导（7）、至此所有配置工作已经全部完成，下面需要测试能不能连接内网和外网。网络安全实验指导实验三 IPSec 的配置一、实验目的1加深并消化授课内容，理解 VPN 的作用；2掌

17、握在 VPN 中部署 IPSec 的方法；3掌握 IPSec 在网络设备上的配置方法。二、实验要求1掌握虚拟专用网的原理；2熟悉在路由器上使用 VPN 服务；3熟悉使用 IPSec 的虚拟专用网的接入方式三、实验环境路由器 2 台四、实验内容假设你是公司的网络管理员，公司因业务的扩大，建立了一个分公司，因为公司的业务数据重要，公司的总部与分公司传输数据时需要加密，采用 IPSec VPN 技术对数据进行加密。五、实验步骤1路由器基本配置。R1 (config)# R1 (config)#interface fastEthernet 0/0 R1 (config-if)#ip address 1

18、01.1.1.1 255.255.255.252 R1 (config-if)#no shutdown R1 (config-if)#exit R1 (config)#interface Loopback 0 R1 (config-if)#ip address 10.1.1.1 255.255.255.0 R1 (config-if)#no shutdown R1 (config-if)#exit R2 (config)#interface fastEthernet 0/0 R2 (config-if)#ip address101.1.1.2 255.255.255.252 R2 (confi

19、g-if)#no shutdown R2 (config-if)#exit R2 (config)#interface Loopback 0 R2 (config-if)#ip address 10.1.2.1 255.255.255.0 R2 (config-if)#no sh R2 (config-if)#end 2配置默认路由。R1 (config)#ip route 0.0.0.0 0.0.0.0 101.1.1.2 网络安全实验指导R2 (config)# ip route 0.0.0.0 0.0.0.0 101.1.1.1 3配置 IPSec VPN。R1 (config)# cr

20、ypto isakmp policy 10 R1 (isakmp-policy)#authentication pre-share R1 (isakmp-policy)#hash md5 R1 (isakmp-policy)#group 2 R1 (isakmp-policy)#exit R1 (config)#crypto isakmp key 0 ruijie address 101.1.1.2 R1 (config)#crypto ipsec transform-set vpn ah-md5-hmac esp-des esp-md5-hmac R1 (cfg-crypto-trans)#

21、mode tunel R1 (config)#crypto map vpnmap 10 ipsec-isakmp R1 (config-crypto-map)#set peer 101.1.1.2 R1 (config-crypto-map)#set transform-set vpn R1 (config-crypto-map)#match address 110 R1 (config)#crypto map vpnmap1 10 ipsec-isakmp R2 (config)#crypto isakmp policy 10 R2 (isakmp-policy)#authenticatio

22、n pre-share R2 (isakmp-policy)#hash md5 R2 (isakmp-policy)#group 2 R2 (config)#crypto isakmp key 0 ruijie address 101.1.1.2 R2 (config)#crypto ipsec transform-set vpn ah-md5-hmac esp-des esp-md5-hmac R2 (cfg-crypto-trans)#mode tunel R2 (config)#crypto map vpnmap 10 ipsec-isakmp R2 (config-crypto-map

23、)# set peer 101.1.1.1 R2 (config-crypto-map)# set transform-set vpn R2 (config-crypto-map)# match address 110 4定义感兴趣数据流及应用 VPN。R1 (config)#access-list extended 110 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 R1 (config)#interface FastEthernet 0/0 R1 (config-if)#crypto map vpnmap R2 (config)#acce

24、ss-list extended 110 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 R2 (config)#interface FastEthernet 0/0 R2 (config-if)#crypto map vpnmap 5验证测试。R1#ping Protocol ip: 网络安全实验指导Target IP address: 10.1.2.1 Repeat count 5: Datagram size 100: Timeout in seconds 2: Extended commands n: y Source address:1

25、0.1.1.1 Time to Live 1, 64: Type of service 0, 31: Data Pattern 0xABCD:0xabcd Sending 5, 100-byte ICMP Echoes to 10.1.2.1, timeout is 2 seconds: .! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms R1#show crypto ipsec sa Interface: FastEthernet 0/0 Crypto map tag:vpnmap, local add

26、r 101.1.1.1 media mtu 1500 = item type:static, seqno:10, id=32 local ident (addr/mask/prot/port): (10.1.1.0/0.0.0.255/0/0) remote ident (addr/mask/prot/port): (10.1.2.0/0.0.0.255/0/0) PERMIT #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 8 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 8 #send err

27、ors 0, #recv errors 0 Inbound esp sas: spi:0x36328b56 (909282134) transform: esp-des esp-md5-hmac in use settings=Tunnel, crypto map vpnmap 10 sa timing: remaining key lifetime (k/sec): (4606998/3594) IV size: 8 bytes Replay detection support:Y Inbound ah sas: spi:0x75aa844e (1974109262) transform:

28、ah-null ah-md5-hmac 网络安全实验指导in use settings=Tunnel, crypto map vpnmap 10 sa timing: remaining key lifetime (k/sec): (4606998/3594) IV size: 0 bytes Replay detection support:Y Outbound esp sas: spi:0x4c96e9f2 (1284958706) transform: esp-des esp-md5-hmac in use settings=Tunnel, crypto map vpnmap 10 sa

29、 timing: remaining key lifetime (k/sec): (4606998/3594) IV size: 8 bytes Replay detection support:Y Outbound ah sas: spi:0x2c25e472 (740680818) transform: ah-null ah-md5-hmac in use settings=Tunnel, crypto map vpnmap 10 sa timing: remaining key lifetime (k/sec): (4606998/3594) IV size: 0 bytes Repla

30、y detection support:Y R1#show crypto isakmp sa destination source state conn-id lifetime(second) 101.1.1.2 101.1.1.1 QM_IDLE 33 86317 6c1ac77522d07d2b e0062c53799fc5ec网络安全实验指导实验四访问控制列表一、实验目的1掌握路由配置方法2掌握访问控制列表的配置；二、实验要求1ACL 能正常工作的前提是所有主机都能 ping 通。（采用 RIP 路由协议）2路由器的基本配置: 1)设置路由器接口 IP 地址。2) 配置 RIP 路由

31、3不允许 R1 访问 R4 及其内部网络4不允许 R2 ping R45不允许 10.2.2.0 网段访问 R4 及其内部网络6使用 OSPF 动态路由协议三、实验环境1、Windows XP ， Cisco Packet Tracer四、实验内容拓扑图五、实验步骤1基本配置及密码设置R1、R2、R3 、R4 启动后，首先进行如下配置Router(config)#no ip domain lookRouter (config)#line conRouter (config)#line console 0Router (config-line)#exec-Router (config-line)

32、#exec-timeout 0 0Router (config-line)#exitRouter (config)#enable password ciscoRouter (config)#line vty 0 4Router (config-line)#password ciscovtyRouter (config-line)#login网络安全实验指导Router (config-line)#exitRouter (config)#hostname RX /4 台路由器分别命名为 R1、R2、R3 、R42配置 R1、R2、R3 、R4 接口地址（将配置代码附下）（1）配置路由器 R1R1

33、(config)#int s1/0R1(config-if)#ip add 192.168.13.1 255.255.255.0R1(config-if)#no shut%LINK-5-CHANGED: Interface Serial1/0, changed state to downR1(config-if)#int lo0%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up

34、R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no sh（2）配置路由器 R2R2(config)#int lo0%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to upR2(config-if)#R2(config-if)#ip add 10.2.2.2 255.255.255.0R2(config-if)#no

35、shutR2(config-if)#int s1/1R2(config-if)#ip add 192.168.23.1 255.255.255.0R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial1/1, changed state to down（3）配置路由器 R3R3(config)#int lo0%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, ch

36、anged state to upR3(config-if)#R3(config-if)#ip add 10.3.3.3 255.255.255.0R3(config-if)#no shutR3(config-if)#int s1/0R3(config-if)#ip add 192.168.13.2 255.255.255.0R3(config-if)#clock rate 64000R3(config-if)#no shut%LINK-5-CHANGED: Interface Serial1/0, changed state to up网络安全实验指导%LINEPROTO-5-UPDOWN:

37、 Line protocol on Interface Serial1/0, changed state to upR3(config-if)#int s1/1R3(config-if)#ip add 192.168.23.2 255.255.255.0R3(config-if)#clock rate 64000R3(config-if)#no shut%LINK-5-CHANGED: Interface Serial1/1, changed state to upR3(config-if)#R3(config-if)#int s1/2%LINEPROTO-5-UPDOWN: Line pro

38、tocol on Interface Serial1/1, changed state to upR3(config-if)#ip add 192.168.34.1 255.255.255.0R3(config-if)#clock rate 64000R3(config-if)#no shut%LINK-5-CHANGED: Interface Serial1/2, changed state to down（4）配置路由器 R4R4(config)#int lo0%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPRO

39、TO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to upR4(config-if)#R4(config-if)#ip add 10.4.4.4 255.255.255.0R4(config-if)#no shutR4(config-if)#int s1/2R4(config-if)#ip add 192.168.34.2 255.255.255.0R4(config-if)#no shut%LINK-5-CHANGED: Interface Serial1/2, changed state to upR4(co

40、nfig-if)#R4(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/2, changed state to up3设置 OSPF 路由协议（1）配置路由器 R1R1(config)#route ospf 1R1(config-router)#net 192.168.13.0 0.0.0.255 area 0R1(config-router)#net 10.1.1.0 0.0.0.255 area 0R1(config-router)#end（2）配置路由器 R2R2(config)#route ospf

41、1R2(config-router)#net 192.168.23.0 0.0.0.255 area 0网络安全实验指导R2(config-router)#net 10.2.2.0 0.0.0.255 area 0R2(config-router)#end（3）配置路由器 R3R3(config)#route ospf 1R3(config-router)#net 192.168.13.0 0.0.0.255 area 0R3(config-router)#00:32:17: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.1.1 on Serial1/0 from L

42、OADING to FULL, Loading DoneR3(config-router)#net 192.168.23.0 0.0.0.255 area 0R3(config-router)#net 192.168.34.0 0.0.0.255 area 000:32:49: %OSPF-5-ADJCHG: Process 1, Nbr 10.2.2.2 on Serial1/1 from LOADING to FULL, Loading DoneR3(config-router)#net 192.168.34.0 0.0.0.255 area 0R3(config-router)#net

43、10.3.3.0 0.0.0.255 area 0R3(config-router)#end（4）配置路由器 R4R4(config)#route ospf 1R4(config-router)#net 192.168.34.0 0.0.0.255 area 000:33:57: %OSPF-5-ADJCHG: Process 1, Nbr 10.3.3.3 on Serial1/2 from LOADING to FULL, Loading DoneR4(config-router)#net 10.4.4.0 0.0.0.255 area 0R4(config-router)#end4查看各

44、路由器学到的路由（以 R3 为例）R3# show ip route / 将显示信息附下R3#sh ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external

45、type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set10.0.0.0/8 is variably subnetted, 4 subnets, 2 masksO 10.1.1.1/32 110/782 via 192.168.1

46、3.1, 00:04:45, Serial1/0网络安全实验指导O 10.2.2.2/32 110/782 via 192.168.23.1, 00:04:09, Serial1/1C 10.3.3.0/24 is directly connected, Loopback0O 10.4.4.4/32 110/782 via 192.168.34.2, 00:02:46, Serial1/2C 192.168.13.0/24 is directly connected, Serial1/0C 192.168.23.0/24 is directly connected, Serial1/1C 19

47、2.168.34.0/24 is directly connected, Serial1/25设置标准的 ACL，禁止 R1 和 10.2.2.2/24 访问 R4 及其内部网络提示：该标准 ACL 应用到 R4 的 S1/2 端口入口方向R4(config)#access-list 1 deny 192.168.13.0 0.0.0.255R4(config)#access-list 1 deny 10.2.2.0 0.0.0.255R4(config)#access-list 1 permit anyR4(config)#int s1/2R4(config-if)#ip access-gr

48、oup 1 inR4(config-if)#end6设置扩展 ACL，禁止 R2 ping R4，禁止 10.1.1.0/24 网段 ping 或者 telnet R4 及 10.4.4.0/24 网段提示：该标准 ACL 应用到 R3 的 S1/2 端口出口方向R3(config)#access-list 1 deny 192.168.23.0 0.0.0.255R3(config)#access-list 1 permit anyR3(config)#int s1/2R3(config-if)#ip access-group 1 outR3(config-if)#end7验证效果（将显示结果附在各命令的下面） R1ping R4R1#ping 192.168.34.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.34.2, timeout is 2 seconds:.Success rate is 0 percent (0/5)R1#ping 10.4.4.4Type escape sequence to abort.网络安全实验指导Sending

展开阅读全文