网络安全和管理实验报告.docx

网络安全和管理实验报告.docx

《网络安全和管理实验报告.docx》由会员分享，可在线阅读，更多相关《网络安全和管理实验报告.docx（21页珍藏版）》请在冰豆网上搜索。

网络安全和管理实验报告

网络安全和管理实验指导书

电子与信息工程系网络工程教研室

2011-10-25

实验一为WWW服务配置SSL

一、实验目的

1．加深并消化授课内容，掌握SSL的基本概念；

2．了解并熟悉万维网服务器的配置；

3．掌握在万维网服务器上部署SSL协议；

二、实验要求

1．掌握SecuritySocketLayer在应用层的作用；

2．独立完成在万维网服务器上部署SSL；

3．实验结束后，用统一的实验报告用纸编写实验报告。

三、实验环境

Windows2003企业版服务器+IIS服务，Linux企业版服务器+Apache服务

四、实验内容

1．Windows系统上部署万维网服务，并配置SSL

2．Linux系统上部署万维网服务，并配置SSL

五、实验步骤

Windows系统上部署万维网服务，并配置SSL

（1）颁发证书

1.从“管理工具”程序组中启动“证书颁发机构”工具。

2.展开证书颁发机构，然后选择“挂起的申请”文件夹。

3.选择刚才提交的证书申请。

4.在“操作”菜单中，指向“所有任务”，然后单击“颁发”。

5.确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。

6.在“详细信息”选项卡中，单击“复制到文件”，将证书保存为Base-64编码的X.509证书。

7.关闭证书的属性窗口。

8.关闭“证书颁发机构”工具。

（2）在Web服务器上安装证书

1.如果Internet信息服务尚未运行，则启动它。

2.展开服务器名称，选择要安装证书的Web站点。

3.右键单击该Web站点，然后单击“属性”。

4.单击“目录安全性”选项卡。

5.单击“服务器证书”启动Web服务器证书向导。

6.单击“处理挂起的申请并安装证书”，然后单击“下一步”。

7.输入包含CA响应的文件的路径和文件名，然后单击“下一步”。

8.检查证书概述，单击“下一步”，然后单击“完成”。

现在，已在Web服务器上安装了证书。

（3）将资源配置为要求SSL访问

此过程使用Internet服务管理器，将虚拟目录配置为要求SSL访问。

为特定的文件、目录或虚拟目录要求使用SSL。

客户端必须使用HTTPS协议访问所有这类资源。

1.如果Internet信息服务尚未运行，则启动它。

2.展开服务器名称和Web站点。

（这必须是已安装证书的Web站点）

3.右键单击某个虚拟目录，然后单击“属性”。

4.单击“目录安全性”选项卡。

5.单击“安全通信”下的“编辑”。

6.单击“要求安全通道（SSL）”。

7.单击“确定”，然后再次单击“确定”关闭“属性”对话框。

8.关闭Internet信息服务。

Linux系统上部署万维网服务，并配置SSL

安装并设置具备SSL的Apache网站服务器

1.创建rasref目录，在该目录提取文件。

#mkdirrsaref-2.0

#cdrsaref-2.0

#gzip-d-c../rsaref20.tar.Z|tarxvf-

2.配置并构造OpenSSL库。

#cdrsaref-2.0

#cp-rpinstall/unixlocal

#cdlocal

#make

#mvrsaref.alibrsaref.a

#cd../..

3.安装OpenSSL。

#cdopenssl-0.9.x

#./config-prefix=/usr/local/ssl

-L`pwd`/../rsaref-2.0/local/rsaref-fPIC

4.配置MOD_SSL模块，然后用Apache配置指定它为一个可装载的模块。

#cdmod_ssl-2.5.x-1.3.x

#./configure

--with-apache=../apache_1.3.x

#cd..

可以把更多的Apache模块加到Apache源代码树中。

可选的--enable-shared=ssl选项使得mod_ssl构造成为一个DSO“libssl.so”。

关于在Apache支持DSO的更多信息，阅读Apache源代码树中的INSTALL和htdocs/manual/dso.html文档。

#cdapache_1.3.x

#SSL_BASE=../openssl-0.9.x

RSA_BASE=../rsaref-2.0/local

./configure--enable-module=ssl

--activate-module=src/modules/php4/libphp4.a

--enable-module=php4--prefix=/usr/local/apache

--enable-shared=ssl

5.生成Apache，然后生成证书，并安装

#make

正确地完成，得到类似于以下的信息：

+-----------------------------------------------------------------------+

|BeforeyouinstallthepackageyounowshouldpreparetheSSL|

|certificatesystembyrunningthe"makecertificate"command.|

|Fordifferentsituationsthefollowingvariantsareprovided:

|

||

|%makecertificateTYPE=dummy（dummyself-signedSnakeOilcert）|

|%makecertificateTYPE=test（testcertsignedbySnakeOilCA）|

|%makecertificateTYPE=custom（customcertsignedbyownCA）|

|%makecertificateTYPE=existing（existingcert）|

|CRT=/path/to/your.crt[KEY=/path/to/your.key]|

||

|UseTYPE=dummywhenyou'reavendorpackagemaintainer,|

|theTYPE=testwhenyou'reanadminbutwanttodotestsonly,|

|theTYPE=customwhenyou'reanadminwillingtorunarealserver|

|andTYPE=existingwhenyou'reanadminwhoupgradesaserver.|

|（ThedefaultisTYPE=test）|

||

|AdditionallyaddALGO=RSA（default）orALGO=DSAtoselect|

|thesignaturealgorithmusedforthegeneratedcertificate.|

||

|Use"makecertificateVIEW=1"todisplaythegenerateddata.|

||

|ThanksforusingApache&mod_ssl.RalfS.Engelschall|

|*******************|

||

+-----------------------------------------------------------------------+

实验二NAT地址转换

一、实验目的

1．加深并消化授课内容，理解NAT的作用；

2．掌握NAT网络地址转换的方法；

3．掌握NAT服务在网络设备上的配置方法。

二、实验要求

1．掌握NAT的网络地址转换的原理；

2．熟悉在路由器上使用NAT服务；

3．熟悉Windows服务器上使用NAT服务

三、实验环境

Cisco路由器；Windows2003企业版服务器

四、实验内容

1．静态地址转换

2．动态地址转换

3．复用动态地址转换。

4．Windows2000Server的网络地址翻译

五、实验步骤

1．静态地址转换

（1）、在内部本地地址与内部合法地址之间建立静态地址转换。

在全局设置状态下输入：

　　　Ipnatinsidesourcestatic内部本地地址内部合法地址

（2）、指定连接网络的内部端口在端口设置状态下输入：

　　　ipnatinside

（3）、指定连接外部网络的外部端口在端口设置状态下输入：

　　　ipnatoutside

2．动态地址转换

（1）、在全局设置模式下，定义内部合法地址池

ipnatpool地址池名称起始IP地址终止IP地址子网掩码

其中地址池名称可以任意设定。

（2）、在全局设置模式下，定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。

　　　Access-list标号permit源地址通配符

　　　其中标号为1-99之间的整数。

（3）、在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。

　　ipnatinsidesourcelist访问列表标号pool内部合法地址池名字

（4）、指定与内部网络相连的内部端口在端口设置状态下：

　　　ipnatinside

（5）、指定与外部网络相连的外部端口

　　　Ipnatoutside

3．复用动态地址转换。

（1）、在全局设置模式下，定义内部合地址池

　　　ipnatpool地址池名字起始IP地址终止IP地址子网掩码

　　　其中地址池名字可以任意设定。

（2）、在全局设置模式下，定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。

　　　access-list标号permit源地址通配符

　　　其中标号为1－99之间的整数。

（3）、在全局设置模式下，设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。

　　　ipnatinsidesourcelist访问列表标号pool内部合法地址池名字overload

（4）、在端口设置状态下，指定与内部网络相连的内部端口

　　　ipnatinside

（5）、在端口设置状态下，指定与外部网络相连的外部端口

　　　ipnatoutside

4．Windows2000Server的网络地址翻译

（1）、连接Internet网卡的IP由ISP提供。

（2）、连接内部网网卡的IP地址需要以下配置：

　　IP地址：

192.168.0.1

　　子网掩码：

255.255.255.0

　　默认网关：

无

（3）、客户机的IP地址的配置为：

　　IP地址：

192.168.0.x（可设为同一网段内的任一独立的IP）

　　子网掩码：

255.255.255.0

　　默认网关：

192.168.0.1

（4）、在“路由和远程访问”控制台中，用鼠标右键单击域服务器，从弹出的快捷菜单中选择“配置并启用路由和远程访问”选项，打开“路由和远程访问服务器安装向导”对话框。

（5）、在路由和远程访问服务器安装向导中，选择用于“Internet连接服务器”的选项，以及用来安装带有网络地址转换（NAT）路由协议的路由器的选项。

（6）、接下来要定义好哪块网卡连接Internet。

（7）、至此所有配置工作已经全部完成，下面需要测试能不能连接内网和外网。

实验三IPSec的配置

一、实验目的

1．加深并消化授课内容，理解VPN的作用；

2．掌握在VPN中部署IPSec的方法；

3．掌握IPSec在网络设备上的配置方法。

二、实验要求

1．掌握虚拟专用网的原理；

2．熟悉在路由器上使用VPN服务；

3．熟悉使用IPSec的虚拟专用网的接入方式

三、实验环境

路由器2台

四、实验内容

假设你是公司的网络管理员，公司因业务的扩大，建立了一个分公司，因为公司的业务数据重要，公司的总部与分公司传输数据时需要加密，采用IPSecVPN技术对数据进行加密。

五、实验步骤

1．路由器基本配置。

R1（config）#

R1（config）#interfacefastEthernet0/0

R1（config-if）#ipaddress101.1.1.1255.255.255.252

R1（config-if）#noshutdown

R1（config-if）#exit

R1（config）#interfaceLoopback0

R1（config-if）#ipaddress10.1.1.1255.255.255.0

R1（config-if）#noshutdown

R1（config-if）#exit

R2（config）#interfacefastEthernet0/0

R2（config-if）#ipaddress101.1.1.2255.255.255.252

R2（config-if）#noshutdown

R2（config-if）#exit

R2（config）#interfaceLoopback0

R2（config-if）#ipaddress10.1.2.1255.255.255.0

R2（config-if）#nosh

R2（config-if）#end

2．配置默认路由。

R1（config）#iproute0.0.0.00.0.0.0101.1.1.2

R2（config）#iproute0.0.0.00.0.0.0101.1.1.1

3．配置IPSecVPN。

R1（config）#cryptoisakmppolicy10

R1（isakmp-policy）#authenticationpre-share

R1（isakmp-policy）#hashmd5

R1（isakmp-policy）#group2

R1（isakmp-policy）#exit

R1（config）#cryptoisakmpkey0ruijieaddress101.1.1.2

R1（config）#cryptoipsectransform-setvpnah-md5-hmacesp-desesp-md5-hmac

R1（cfg-crypto-trans）#modetunel

R1（config）#cryptomapvpnmap10ipsec-isakmp

R1（config-crypto-map）#setpeer101.1.1.2

R1（config-crypto-map）#settransform-setvpn

R1（config-crypto-map）#matchaddress110

R1（config）#cryptomapvpnmap110ipsec-isakmp

R2（config）#cryptoisakmppolicy10

R2（isakmp-policy）#authenticationpre-share

R2（isakmp-policy）#hashmd5

R2（isakmp-policy）#group2

R2（config）#cryptoisakmpkey0ruijieaddress101.1.1.2

R2（config）#cryptoipsectransform-setvpnah-md5-hmacesp-desesp-md5-hmac

R2（cfg-crypto-trans）#modetunel

R2（config）#cryptomapvpnmap10ipsec-isakmp

R2（config-crypto-map）#setpeer101.1.1.1

R2（config-crypto-map）#settransform-setvpn

R2（config-crypto-map）#matchaddress110

4．定义感兴趣数据流及应用VPN。

R1（config）#access-listextended110permitip10.1.1.00.0.0.25510.1.2.00.0.0.255

R1（config）#interfaceFastEthernet0/0

R1（config-if）#cryptomapvpnmap

R2（config）#access-listextended110permitip10.1.2.00.0.0.25510.1.1.00.0.0.255

R2（config）#interfaceFastEthernet0/0

R2（config-if）#cryptomapvpnmap

5．验证测试。

R1#ping

Protocol[ip]:

TargetIPaddress:

10.1.2.1

Repeatcount[5]:

Datagramsize[100]:

Timeoutinseconds[2]:

Extendedcommands[n]:

y

Sourceaddress:

10.1.1.1

TimetoLive[1,64]:

Typeofservice[0,31]:

DataPattern[0xABCD]:

0xabcd

Sending5,100-byteICMPEchoesto10.1.2.1,timeoutis2seconds:

.

Successrateis80percent（4/5）,round-tripmin/avg/max=1/1/1ms

R1#showcryptoipsecsa

Interface:

FastEthernet0/0

Cryptomaptag:

vpnmap,localaddr101.1.1.1

mediamtu1500

==================================

itemtype:

static,seqno:

10,id=32

localident（addr/mask/prot/port）:

（10.1.1.0/0.0.0.255/0/0））

remoteident（addr/mask/prot/port）:

（10.1.2.0/0.0.0.255/0/0））

PERMIT

#pktsencaps:

4,#pktsencrypt:

4,#pktsdigest8

#pktsdecaps:

4,#pktsdecrypt:

4,#pktsverify8

#senderrors0,#recverrors0

Inboundespsas:

spi:

0x36328b56（909282134）

transform:

esp-desesp-md5-hmac

inusesettings={Tunnel,}

cryptomapvpnmap10

satiming:

remainingkeylifetime（k/sec）:

（4606998/3594）

IVsize:

8bytes

Replaydetectionsupport:

Y

Inboundahsas:

spi:

0x75aa844e（1974109262）

transform:

ah-nullah-md5-hmac

inusesettings={Tunnel,}

cryptomapvpnmap10

satiming:

remainingkeylifetime（k/sec）:

（4606998/3594）

IVsize:

0bytes

Replaydetectionsupport:

Y

Outboundespsas:

spi:

0x4c96e9f2（1284958706）

transform:

esp-desesp-md5-hmac

inusesettings={Tunnel,}

cryptomapvpnmap10

satiming:

remainingkeylifetime（k/sec）:

（4606998/3594）

IVsize:

8bytes

Replaydetectionsupport:

Y

Outboundahsas:

spi:

0x2c25e472（740680818）

transform:

ah-nullah-md5-hmac

inusesettings={Tunnel,}

cryptomapvpnmap10

satiming:

remainingkeylifetime（k/sec）:

（4606998/3594）

IVsize:

0bytes

Replaydetectionsupport:

Y

R1#showcryptoisakmpsa

destinationsourcestateconn-idlifetime（second）

101.1.1.2101.1.1.1QM_IDLE3386317

6c1ac77522d07d2be0062c53799fc5ec

实验四访问控制列表

一、实验目的

1．掌握路由配置方法

2．掌握访问控制列表的配置；

二、实验要求

1．ACL能正常工作的前提是所有主机都能ping通。

（采用RIP路由协议）

2．路由器的基本配置:

1）设置路由器接口IP地址。

2）配置RIP路由

3．不允许R1访问R4及其内部网络

4．不允许R2pingR4

5．不允许10.2.2.0网段访问R4及其内部网络

6．使用OSPF动态路由协议

三、实验环境

1、WindowsXP，CiscoPacketTracer

四、实验内容

拓扑图

五、实验步骤

1．基本配置及密码设置

R1、R2、R3、R4启动后，首先进行如下配置

Router（config）#noipdom