网络安全与管理系统设计与架构Word文档下载推荐.docx

网络安全与管理系统设计与架构Word文档下载推荐.docx

《网络安全与管理系统设计与架构Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《网络安全与管理系统设计与架构Word文档下载推荐.docx（46页珍藏版）》请在冰豆网上搜索。

实验成绩

指导教师

廉文娟

1、实验目的

了解SSL是Netscape公司发明的一种用于WEB的安全传输协议。

随着时间的推移由于Netscape失去了市场份额，它将SSL的维护工作移交给因特网工程任务组（IETF）。

第一个后Netscape版本被重新命名为安全传输层协议（TLS），TLS（TransportLayerSecurity:

RFC2246）是基于SSL上研发的，但是与SSLv3.0有细微的差别。

二、实验环境 

Windows下SSL 

VPN的网络拓扑如图3.3.3-1所示，其中：

客户端：

本地主机（Windows 

XP），IP地址172.22.1.X 

服务端：

Windows实验台VPN服务器，IP地址：

172.22.X.X/16，内网IP为172.20.X.X/16 

二、实验步骤 

一、 

根据实验拓扑配置环境 

根据实验环境中的拓扑图，配置服务器（Windows实验台）与客户端（本地主机）的IP地址。

二、 

安装与配置 

这一部分是服务端跟客户端都要做的工作，操作完全相同。

具体如下：

双击 

openvpn-2.0.9.exe进行安装，点击NEXT、I 

Agree、NEXT之后开始选择安装路径，手动修改为C:

\Program 

Files\OpenVPN 

。

点击 

Install 

开始安装，安装过程如图3.3.3-2所示；

安装过程中，弹出硬件安装窗口，点击仍然继续，安装虚拟网卡。

next、Finish 

完成安装。

三、 

VPN服务器初始化配置 

在进行操作之前，首先进行初始化工作：

打开命令提示符：

“开始|运行”，键入cmd，回车，进入命令提示符；

或者“开始|程序|附件|命令提示符”；

进入C:

Files\openvpn\easy-rsa目录下，开始初始化，具体命令如下：

cd 

C:

Files\openvpn\easy-rsa 

init-config 

vars 

clean-all 

如下图：

上面是初始化工作，以后，在进行证书制作工作时，仍旧需要进行初始化，但只需要进入openvpn\easy-rsa目录，运行vars就可以了，不需要上面那些步骤了。

四、 

服务器证书的制作 

（1） 

生成根证书 

输入build-ca.bat，如图所示；

输入build-dh.bat，如图所示。

（2） 

生成服务端密钥 

输入build-key-server 

server，生成服务端密钥；

生成服务端密钥的过程中，所填写的common 

name需要与build-ca中所输入的common 

name名称一致，其余的摁空格选择默认或手动输入皆可；

具体如图所示。

（3） 

生成客户端密钥 

输入build-key 

client1生成第一个VPN客户端密钥，如图所示；

build-key 

client2 

//可以继续配置第二个VPN客户端密钥；

生成的密钥存放于C:

Files\openvpn\easy\rsa\keys目录下。

五、 

配置服务器 

在C:

Files\OpenVPN\easy-rsa\keys目录下，将生成的“ca.crt”、“dh1024.pem”、“server.crt”、“server.key”复制到C:

Files\OPENVPN\KEY目录下（如果没有可以自己创建）,这四个文件是VPN服务端运行所需要的文件。

注：

“ca.crt”“dh1024.pem”“server.crt”“server.key”这四个文件是VPN服务端运行所需要的文件。

“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件 

Files\OpenVPN\config目录下创建server.ovpn，服务器端文件（server.ovpn）示例：

local 

172.22.1.X 

#建立VPN的IP 

port 

443 

#端口号，根据需要，自行修改，如果是用http代理连接，请不要修改 

proto 

tcp-server 

#通过TCP协议连接 

dev 

tap 

#win下必须设为tap 

server 

172.20.0.0 

255.255.0.0 

# 

虚拟局域网网段设置，请根据需要自行修改，不支持和拔号网卡位于同一网段 

push 

"

route 

0.0.0.0 

0.0.0.0"

#表示client通过VPN 

SERVER上网 

keepalive 

20 

180 

ca 

\\Program 

Files\\OPENVPN\\KEY\\ca.crt"

#CA证书存放位置，请根据实际情况自行修改 

cert 

Files\\OPENVPN\\KEY\\server.crt"

#服务器证书存放位置，请根据实际情况自行修改 

key 

Files\\OPENVPN\\KEY\\server.key"

#服务器密钥存放位置，请根据实际情况自行修改 

dh 

Files\\OPENVPN\\KEY\\dh1024.pem"

#dh1024.pem存放位置，请根据实际情况自行修改 

redirect-gateway 

def1"

dhcp-option 

DNS 

219.141.140.10"

#DNS，请根据实际情况自行修改 

mode 

tls-server 

status 

Files\\OPENVPN\\log\\openvpn-status.log"

#LOG记录文件存放位置，请根据实际情况自行修改 

comp-lzo 

verb 

4 

六、 

配置客户端 

“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件，复制到客户端C:

Files\OPENVPN\KEY目录下（如果没有可以自己创建）。

在客户端安装完成之后，需要将 

ca.crt 

client1.crt 

client1.key 

这三个文件拷贝到C:

Files\openvpn\key目录下，这三个文件由服务端生成，所以，连接谁的服务器，就需要跟谁索取这三个文件。

然后，编辑一个 

client.ovpn的配置文件存放到C:

Files\openvpn\config目录下，客户端就可以进行连接了；

客户端文件（client.ovpn）示例：

七、 

VPN服务端命令行启动:

Openvpn.exe 

Files\OpenVPN\config\server.ovpn"

//启动VPN到443端口 

八、 

VPN客户端命令行连接:

Files\OpenVPN\config\client.ovpn"

九、 

VPN安全性验证 

上面的配置拔号成功后，VPN 

SERVER的IP为172.20.1.Y，VPN 

client的IP为172.20.1.Y。

在VPN 

client上ping 

VPN 

SERVER；

分别抓取真实网卡与虚拟网卡的数据包作对比。

具体结果如下：

真实网卡：

抓取的为加密ssl数据包（图3.3.3-8为实际环境举例） 

3、实验总结

需要多练多问多XX

实验二Linux防火墙

第9周周二7,8节

一、实验目的

1、了解防火墙的主要类型

2、了解和用CLI配置CBAC（IOS有状态的包检查）

3、了解和用CLI和SDM配置区域（Zone-Based）策略防火墙

二、实验环境

1网络中包括两个子网A和B。

子网A的网络地址为192.168.1.0/24网关为hostA。

HostA

有两个接口eth0和eth1。

Eth0连接子网AIP地址为192.168.1.1。

eth1连接外部网络

Ip地址为10.0.0.11。

子网B的网络地址为192.168.10.0/24网关为hostB。

HostB有两个

网络接口eth0和eth1。

eth0连接子网B,IP地址为192.168.10.1。

eth1连接外部网络IP

地址为10.0.0.101。

hostA和HostB构成子网C,网络地址是10.0.0.0/24通过集线器连接

到hostC然后通过hostC连接Internet。

HostC的内部网络接口为eth0IP地址为10.0.0.1。

2在hostA、hostB和hostC上都已经安装好Linux系统并且在hostC上已经设置好了

Squid代理服务器。

3、实验内容

开始配置

（1）查看本机关于IPTABLES的设置情况

[root@tp~]#iptables-L-n

可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.

如果你在安装linux时没有选择启动防火墙,是这样的

（2）清除原有规则.

不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.

[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则

[root@tp~]#iptables-X清除预设表filter中使用者自定链中的规则

[root@tp~]#/etc/rc.d/init.d/iptablessave

这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.

[root@tp~]#serviceiptablesrestart

现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧

（3）设定预设规则

[root@tp~]#iptables-pINPUTDROP

[root@tp~]#iptables-pOUTPUTACCEPT

[root@tp~]#iptables-pFORWARDDROP

上面的意思是,当超出了IPTABLES里filter表里的两个链规则（INPUT,FORWARD）时,不在这两个规则里的数据包怎么处理呢,那就是DROP（放弃）.应该说这样配置是很安全的.我们要控制流入数据包

而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.

可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.

（4）添加规则.

首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP（通过）的链

为了能