网络安全技术综合实训项目.docx
《网络安全技术综合实训项目.docx》由会员分享,可在线阅读,更多相关《网络安全技术综合实训项目.docx(13页珍藏版)》请在冰豆网上搜索。
网络安全技术综合实训项目
遵义师范学院计算机与信息科学学院
实验报告
(2012—2013学年第一学期)
课程名称:
网络安全技术
班级:
学号:
姓名:
任课教师:
第一部分设计概述
(一)项目背景
某企业坐落在,由于今年发展迅速,规模不断扩展,在开设了分公司。
现该企业希望在需要时能把公司总部与分公司安全地连接在一起,共享公司总部与分公司的资源,并最大程度地保障公司的内部网络安全。
(二)总体目标
通过搭建实现一个高速、安全、可靠、的网络结构,实现安全地信息高度共享、传递及管理,并通过与广域网的互联。
(三)设计原则
1、有关的策略简洁明了,容易理解。
2、配置切实可行,能够达到互联互通,安全访问的目的。
3、账号管理完善可行,用户名的命名原则有既定的原则。
4、能适应管理体制和组织结构的变化。
5、能采用VLAN技术划分网络
6、应用系统能适应用户发展的新要求,易于修改和扩展新功能。
7、安全性,使用防火墙制定相应的规则,保护内部网络的安全。
第二部分需求分析
(一)用户需求
目前该企业的总部与分部均通过中国电信的宽带服务接入Internet,总部的接入地址为10.1.2.8,分公司的接入地址为202.116.2.8。
如图(图2.1)所示,该企业希望在提供公司网络情况的基础上尽量降低成本,因此决定在公司采用微软的NET防火墙,这样可以把使用中的双网卡服务器拓展成为堡垒主机,在保护内网的同时把安全成本降到最低。
同时,可以在堡垒主机上部署数据包侦嗅软件wireshark等,用于对内外网的进行安全监控。
此外,公司的重要资源均放在公司总部,所有的资源下载均有专门的FTP服务器,如果分公司要获取必须通过vpn的方式加入公司总部的内部网。
(二)应用需求
为了让整个网络的连接可以很好地发挥各方面的应用,企业对整个网络的应用要求如下:
(1)公司总部
公司总部员工超过300人,并存放企业的所有重要资料,因此为了要保证总部的内部网的安全必须使用NET防火墙进行安全保护。
(2)分公司
分公司有员工近50人,使用NET防火墙保护公司内网的安全。
并且由于核心资料均存放在总公司,因此上班时间分公司必须通过通过vpn与总公司连接,以方便员工获取与业务工作有关的资料。
此外,分公司的机器可以访问互联网,通过网页获取需要的信息与收发邮件,但必须通过身份验证。
另外,为了确保分公司的计算机可以安全地从公司总部获取企业的经营资料,所以分公司的计算机必须通过vpn拨号连接总公司的vpn服务器才能进入公司总部的局域网FTP服务器只允许内部IP访问,不对外提供服务。
(3)公共安全
在总公司与分公司均部署Wireshark对内部网的网络情况进行监控。
主要监控网络有无存在网络共享服务,一旦发现马上禁止,若内部网机器进行文件共享必须使用局域网共享软件。
此外,VPN的接入方式必须使用双方自动互拨的方式。
第三部分应用服务及策略介绍说明
(一)总公司
1、NET防火墙
说明:
为了要保证总部的内部网的安全必须使用NET防火墙进行安
全保护,下面是总公司的NET防火墙设置规则的截图:
2、ftp服务器
说明:
总公司的Server2使用locahweb的域名对内提供服务,并且在
localweb中列出了ftp的服务资源为内部员工提供ftp下载服
务,ftp域名为,下面分别是ftp和发布ftp的
web的截图:
(1)ftp发布的截图:
(2)ftp所发布的web服务在浏览器上的截图:
3、DNS服务器
说明:
为了能够正常解析本企业内部所发布的服务的域名,总公司在
Server1时配置为DNS服务器,在它上面,分别发布了域名为和两个主域,用于解析域名,同时在总公司的NET防火墙上,发布了DNS服务,以下分别是两个
主域和NET防火墙上的相应截图:
(1)主域的截图:
(2)主域的截图:
(3)NET防火墙上发布的DNS规则截图:
6、VPN服务器
说明:
总公司通过vpn点对点互拨的方式,连接在的子公司,
使得的公司总部和在的分部在虚拟上时在同一个网
络中,实现资源安全、有效的共享。
以下是总公司vpn点对点
的连接规则截图和路由截图:
(1)规则截图:
(2)NET防火墙路由截图:
7、NET防火墙上的Wireshark部署
说明:
在总公司部署Wireshark对内部网的网络情况进行监控。
主要监控网络有无存在网络共享服务,一旦发现马上禁止,若内部
网机器进行文件共享必须使用局域网共享软件。
(二)分公司
1、VPN服务器
说明:
总公司通过vpn点对点互拨的方式,连接在的子公司,
使得的公司总部和在的分部在虚拟上时在同一个网
络中,实现资源安全、有效的共享。
以下是总公司vpn点对点
的连接规则截图和路由截图:
(1)规则截图:
(2)NET防火墙路由截图:
2、NET防火墙
说明:
分公司通过分公司的NET防火墙设置相应的规则,使使得分
公司的客户机可以上互联网浏览网页和收发邮件,但被禁止访
问视频网站,以及禁用客户机使用QQ等即时聊天工具。
以下是相应限制策略的截图:
(1)规则截图:
(2)禁止访问各类视频网站:
(3)禁用QQ等即时通信工具
3、NET防火墙上的Wireshark部署
说明:
在分公司部署Wireshark对内部网的网络情况进行监控。
主要
监控网络有无存在网络共享服务,一旦发现马上禁止,若内部
网机器进行文件共享必须使用局域网共享软件,例如飞鸽、飞
秋等。
第四部分方案规划与配置
(一)总公司网络的规划和配置
1、总公司的内部网络:
172.16.0.0/16
2、总公司内部DNS服务器:
172.16.102.8/16
在DNS服务器建立和两个主域
3、总公司内部Web服务器:
172.16.202.8/16
Web服务器发布两个网站,一个是使用的域名对外提供http服务的默认网站,该服务只是企业信息的推广窗口、
一个是localweb中列出了ftp的服务资源为内部员工提供ftp下载服务的ftp网站。
4、总公司内部Server1上配置专用CA服务器
总公司内部客户端从CA服务器申请证书,安装完成后,启用SSL验证可以访问总公司内部ftp服务器。
5、总公司防火墙:
内部接口:
172.16.2.8/16
外部接口:
10.1.2.8/24
NET防火墙的配置,总公司的内网客户机可以访问外网,当不能对NET防火墙使用ping等探测;对外网发布web服务和DNS服务。
而且在外网卡使用Wireshark等软件进行对网络的实时监控。
示例:
总公司NET防火墙规则截图
6、总公司防火墙上配置VPN服务器
在总公司的NET防火墙上配置相应的VPN规则,使总公司和分公司能够虚拟为同一个网络。
VPN的接入方式为双方自动互拨的方式。
地址池分配:
172.16.2.0-172.16.205.254
(二)分公司网络的规划和配置
1、分公司的内部网络:
192.168.2.0/24
分公司客户机:
192.168.2.1/24
2、分公司防火墙:
内部接口:
192.168.2.8/24
外部接口:
202.116.2.8/24
分公司的内网客户机可以访问外网网页和收发邮件,但不能访问访问优酷、土豆、奇艺等国内视频网站;并且禁止使用QQ等即时通讯聊天工具。
而且在外网卡使用Wireshark等软件进行对网络的实时监控。
示例:
分公司NET防火墙规则截图
3、分公司防火墙上配置VPN服务器
在分公司防火墙上配置VPN服务器,使总公司和分公司VPN的接入方式为双方自动互拨的方式。
地址池分配:
192.168.2.0-192.168.2.254
(三)模拟路由的规划和配置
1、路由网卡设置:
总公司接口:
10.1.2.1/24
子公司接口:
202.116.2.1/24
互联网接口:
通过DHCP自动获取
2、DNS转发:
路由上设置DNS转发,用于外网的域名解析
3、路由上配置动态RIP路由
动态rip路由应用于总公司的接口和分公司的接口
第五部分方案实施效果评估
(一)方案实施效果综述
1、通过在总公司和分公司防火墙设置VPN规则
效果:
基本实现总公司和分公司计算机通过VPN拨号连接;
VPN的接入方式必须使用双方自动互拨的方式
2、通过在分公司防火墙新建规则允许内网机器访问Internet,必须通过身份验证
效果:
分公司的机器通过身份验证可以访问互联网,通过网页获取需要的信息与收发邮件
3、通过在分公司防火墙上新建规则禁用各禁止访问网站的域名
效果:
客户机禁止访问国内视频网站。
4、在分公司防火墙上新建规则QQ等的8000端口等。
效果:
分公司客户机禁止使用QQ等聊天工具。
5、总公司Web服务器发布名为“默认网站”的站点,在总公司
防火墙上发布Web服务器、DNS服务器和接收DNS协议等
规则。
效果:
外部网络可以访问总公司Web服务器的默认网站
6、总公司Web服务器发布localweb中列出了ftp的服务资源为内部员工提供ftp下载服务的ftp网站。
第六部分设计心得
(一)遇到的问题及解决方法
1、本课程实训,我组采用的是VMwaer8.0版本的进行模拟实训,在实训的过程中,遇到了不能够上Internet互联网的情况。
或者是获取不到IP。
解决方法:
经过多次实验和网上查找资料,发现是先装了NET防火墙之后,客户端通过DHCP获取IP时被禁止。
所以先获取到IP,再装NET防火墙。
2、在本次项目大实训当中,我组刚开始是设计8台虚拟机,其中总公司和分公司都在NET防火墙外各设了一台路由器,结果到了实验vpn点对点互拨的实验时,发觉行不通。
解决方法:
经过多次思考和参考了别组的设计之后,我决定采
用把总公司和分公司的两台路由合二为一,只用一台配置三个网卡的路由器来做本次实验,其中两个网卡分别连接总公司和分公司,另一个网卡用来做NAT映射内网访问Internet互联网。
尽量靠近设计方案。
最总成功了。
3、在本次项目大实训当中,我组一开始不知道怎么给整个网络规划合理的IP地址和网络连接。
使整个实验无法进行下去。
解决方法:
经过多次询问指导老师和参考别组的经验,我终于
按要求设置合理的IP划分和子网划分。
保证全网连
接无误,合理,又不会造成浪费。
(二)体会、获得的经验
由于受到时间的限制,我学习《计算机网络安全技术》只有一个学期的时间,所学的知识少之又少。
所以在本次实训当中,遇到了很多细节上的小问题。
加之时间已久,之前所学过的知识点都有些模糊,所以在此时实训当中,我慢慢的一点一点回忆之前所学的知识。
加强和巩固了专业知识,也是对平时上课个小点知识点的一个大综合,使得难度有所提升。
也锻炼了我的各项综合素质。
明白了一个小企业最基本的网络构建和安全的部署的情况,增加了我将来就业的砝码。
而且在此时实训当中,让我体会到了团队的力量,在完成一个大的项目时,光靠一个人是做不成功的,所以,此次我的实训,两个人互相配合,查询资料,整理方案,设计方案,美工修改,填写《实训报告》等等都分工明确。
这样做既提高了效率,又使得实训井井有条。
而且在此次实训当中,也锻炼了我不少的自学经验和自学方法,还有自我解决问题的方法。
这对于我即将毕业走向工作岗位的我来说是至关重要的。
尤其是我这一行业的,更是如此。
总之,在此次课程实训当中,我受益匪浅。
虽然只是一个模拟实验,但我也从中体会到各种酸甜苦辣。