网络安全与管理系统设计与架构.docx
- 文档编号:2943009
- 上传时间:2022-11-16
- 格式:DOCX
- 页数:46
- 大小:4.03MB
网络安全与管理系统设计与架构.docx
《网络安全与管理系统设计与架构.docx》由会员分享,可在线阅读,更多相关《网络安全与管理系统设计与架构.docx(46页珍藏版)》请在冰豆网上搜索。
网络安全与管理系统设计与架构
网络安全与管理系统设计与架构
实验报告
课程名称:
网络安全与管理系统设计与架构
学院:
信息科学与工程学院
专业:
网络工程13班级:
2013级
姓名:
林靖皓学号:
201301051616
2016年7月3日
山东科技大学教务处制
实验报告
组别
16
姓名
林靖皓
同组实验者
实验项目名称
实验一SSL实验
实验日期
第8周周二7,8节
教师评语
实验成绩
指导教师
廉文娟
1、实验目的
了解SSL是Netscape公司发明的一种用于WEB的安全传输协议。
随着时间的推移由于Netscape失去了市场份额,它将SSL的维护工作移交给因特网工程任务组(IETF)。
第一个后Netscape版本被重新命名为安全传输层协议(TLS),TLS(TransportLayerSecurity:
RFC2246)是基于SSL上研发的,但是与SSLv3.0有细微的差别。
二、实验环境
Windows下SSL VPN的网络拓扑如图3.3.3-1所示,其中:
客户端:
本地主机(Windows XP),IP地址172.22.1.X
服务端:
Windows实验台VPN服务器,IP地址:
172.22.X.X/16,内网IP为172.20.X.X/16
二、实验步骤
一、 根据实验拓扑配置环境
根据实验环境中的拓扑图,配置服务器(Windows实验台)与客户端(本地主机)的IP地址。
二、 安装与配置
这一部分是服务端跟客户端都要做的工作,操作完全相同。
具体如下:
双击 openvpn-2.0.9.exe进行安装,点击NEXT、I Agree、NEXT之后开始选择安装路径,手动修改为C:
\Program Files\OpenVPN 。
点击 Install 开始安装,安装过程如图3.3.3-2所示;安装过程中,弹出硬件安装窗口,点击仍然继续,安装虚拟网卡。
点击 next、Finish 完成安装。
三、 VPN服务器初始化配置
在进行操作之前,首先进行初始化工作:
打开命令提示符:
“开始|运行”,键入cmd,回车,进入命令提示符;或者“开始|程序|附件|命令提示符”;
进入C:
\Program Files\openvpn\easy-rsa目录下,开始初始化,具体命令如下:
cd C:
\Program Files\openvpn\easy-rsa init-config vars clean-all 如下图:
上面是初始化工作,以后,在进行证书制作工作时,仍旧需要进行初始化,但只需要进入openvpn\easy-rsa目录,运行vars就可以了,不需要上面那些步骤了。
四、 服务器证书的制作
(1) 生成根证书
输入build-ca.bat,如图所示;
输入build-dh.bat,如图所示。
(2) 生成服务端密钥
输入build-key-server server,生成服务端密钥;生成服务端密钥的过程中,所填写的common name需要与build-ca中所输入的common name名称一致,其余的摁空格选择默认或手动输入皆可;具体如图所示。
(3) 生成客户端密钥
输入build-key client1生成第一个VPN客户端密钥,如图所示;
build-key client2 //可以继续配置第二个VPN客户端密钥; 生成的密钥存放于C:
\Program Files\openvpn\easy\rsa\keys目录下。
五、 配置服务器
在C:
\Program Files\OpenVPN\easy-rsa\keys目录下,将生成的“ca.crt”、“dh1024.pem”、“server.crt”、“server.key”复制到C:
\Program Files\OPENVPN\KEY目录下(如果没有可以自己创建),这四个文件是VPN服务端运行所需要的文件。
注:
“ca.crt”“dh1024.pem”“server.crt”“server.key”这四个文件是VPN服务端运行所需要的文件。
“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件
在C:
\Program Files\OpenVPN\config目录下创建server.ovpn,服务器端文件(server.ovpn)示例:
local 172.22.1.X #建立VPN的IP
port 443 #端口号,根据需要,自行修改,如果是用http代理连接,请不要修改 proto tcp-server #通过TCP协议连接 dev tap #win下必须设为tap
server 172.20.0.0 255.255.0.0 # 虚拟局域网网段设置,请根据需要自行修改,不支持和拔号网卡位于同一网段
push "route 0.0.0.0 0.0.0.0" #表示client通过VPN SERVER上网 keepalive 20 180
ca "C:
\\Program Files\\OPENVPN\\KEY\\ca.crt" #CA证书存放位置,请根据实际情况自行修改
cert "C:
\\Program Files\\OPENVPN\\KEY\\server.crt" #服务器证书存放位置,请根据实际情况自行修改
key "C:
\\Program Files\\OPENVPN\\KEY\\server.key" #服务器密钥存放位置,请根据实际情况自行修改
dh "C:
\\Program Files\\OPENVPN\\KEY\\dh1024.pem" #dh1024.pem存放位置,请根据实际情况自行修改
push "redirect-gateway def1"
push "dhcp-option DNS 219.141.140.10" #DNS,请根据实际情况自行修改 mode server tls-server
status "C:
\\Program Files\\OPENVPN\\log\\openvpn-status.log" #LOG记录文件存放位置,请根据实际情况自行修改
comp-lzo verb 4
六、 配置客户端
“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件,复制到客户端C:
\Program Files\OPENVPN\KEY目录下(如果没有可以自己创建)。
在客户端安装完成之后,需要将 ca.crt client1.crt client1.key 这三个文件拷贝到C:
\Program Files\openvpn\key目录下,这三个文件由服务端生成,所以,连接谁的服务器,就需要跟谁索取这三个文件。
然后,编辑一个 client.ovpn的配置文件存放到C:
\Program Files\openvpn\config目录下,客户端就可以进行连接了;客户端文件(client.ovpn)示例:
七、 VPN服务端命令行启动:
Openvpn.exe "C:
\Program Files\OpenVPN\config\server.ovpn" //启动VPN到443端口 八、 VPN客户端命令行连接:
Openvpn.exe "C:
\Program Files\OpenVPN\config\client.ovpn" 九、 VPN安全性验证
上面的配置拔号成功后,VPN SERVER的IP为172.20.1.Y,VPN client的IP为172.20.1.Y。
(1) 在VPN client上ping VPN SERVER;
(2) 分别抓取真实网卡与虚拟网卡的数据包作对比。
具体结果如下:
(1) 真实网卡:
抓取的为加密ssl数据包(图3.3.3-8为实际环境举例) 。
3、实验总结
需要多练多问多XX
实验报告
组别
16
姓名
林靖皓
同组实验者
实验项目名称
实验二Linux防火墙
实验日期
第9周周二7,8节
教师评语
实验成绩
指导教师
廉文娟
一、实验目的
1、了解防火墙的主要类型
2、了解和用CLI配置CBAC(IOS有状态的包检查)
3、了解和用CLI和SDM配置区域(Zone-Based)策略防火墙
二、实验环境
1网络中包括两个子网A和B。
子网A的网络地址为192.168.1.0/24网关为hostA。
HostA
有两个接口eth0和eth1。
Eth0连接子网AIP地址为192.168.1.1。
eth1连接外部网络
Ip地址为10.0.0.11。
子网B的网络地址为192.168.10.0/24网关为hostB。
HostB有两个
网络接口eth0和eth1。
eth0连接子网B,IP地址为192.168.10.1。
eth1连接外部网络IP
地址为10.0.0.101。
hostA和HostB构成子网C,网络地址是10.0.0.0/24通过集线器连接
到hostC然后通过hostC连接Internet。
HostC的内部网络接口为eth0IP地址为10.0.0.1。
2在hostA、hostB和hostC上都已经安装好Linux系统并且在hostC上已经设置好了
Squid代理服务器。
3、实验内容
开始配置
(1)查看本机关于IPTABLES的设置情况
[root@tp~]#iptables-L-n
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的
[root@tp~]#iptables-L-n
(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则
[root@tp~]#iptables-X清除预设表filter中使用者自定链中的规则
[root@tp~]#/etc/rc.d/init.d/iptablessave
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp~]#serviceiptablesrestart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
[root@tp~]#iptables-pINPUTDROP
[root@tp~]#iptables-pOUTPUTACCEPT
[root@tp~]#iptables-pFORWARDDROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 管理 系统 设计 架构