防火墙与入侵检测技术实验报告.docx

上传人:b****2 文档编号:23274922 上传时间:2023-05-15 格式:DOCX 页数:19 大小:337.50KB
下载 相关 举报
防火墙与入侵检测技术实验报告.docx_第1页
第1页 / 共19页
防火墙与入侵检测技术实验报告.docx_第2页
第2页 / 共19页
防火墙与入侵检测技术实验报告.docx_第3页
第3页 / 共19页
防火墙与入侵检测技术实验报告.docx_第4页
第4页 / 共19页
防火墙与入侵检测技术实验报告.docx_第5页
第5页 / 共19页
点击查看更多>>
下载资源
资源描述

防火墙与入侵检测技术实验报告.docx

《防火墙与入侵检测技术实验报告.docx》由会员分享,可在线阅读,更多相关《防火墙与入侵检测技术实验报告.docx(19页珍藏版)》请在冰豆网上搜索。

防火墙与入侵检测技术实验报告.docx

防火墙与入侵检测技术实验报告

 

 

《防火墙、入侵检测与VPN》

实验报告

2016/2017学年第1学期

 

班级13级计算接科学与技术

姓名夏磊

学号1310411064

授课老师程昆山

 

实验一PIX防火墙配置

一、实验目的

通过该实验了解PIX防火墙的软硬件组成结构,掌握PIX防火墙的工作模式,熟悉PIX防火墙的6条基本指令,掌握PIX防火墙的动态、静态地址映射技术,掌握PIX防火墙的管道配置,熟悉PIX防火墙在小型局域网中的应用。

二、实验任务

●观察PIX防火墙的硬件结构,掌握硬件连线方法

●查看PIX防火墙的软件信息,掌握软件的配置模式

●了解PIX防火墙的6条基本指令,实现内网主机访问外网主机

三、实验设备

PIX501防火墙一台,CISCO2950交换机两台,控制线一根,网络连接线若干,PC机若干

四、实验拓扑图及内容

图中DMZ区域没有配置,只是配置了内网R1和外网R4,

外网R4:

R4#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R4(config)#intf0/0

R4(config-if)#ipadd192.168.1.2255.255.255.0

R4(config-if)#noshut

R4(config-if)#exit

*Mar100:

02:

56.059:

%LINK-3-UPDOWN:

InterfaceFastEthernet0/0,changedstatetoup

*Mar100:

02:

57.059:

%LINEPROTO-5-UPDOWN:

LineprotocolonInterfaceFastEthernet0/0,changedstatetoup

R4(config)#iproute0.0.0.00.0.0.0192.168.1.3

R4(config)#

内网R1:

R1#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R1(config)#intf0/0

R1(config-if)#ipadd10.1.1.2255.255.255.0

R1(config-if)#noshut

R1(config-if)#

*Mar100:

01:

32.115:

%LINK-3-UPDOWN:

InterfaceFastEthernet0/0,changedstatetoup

*Mar100:

01:

33.115:

%LINEPROTO-5-UPDOWN:

LineprotocolonInterfaceFastEthernet0/0,changedstatetoup

R1(config-if)#exit

R1(config)#iproute0.0.0.00.0.0.010.1.1.3

R1(config)#exit

R1#

*Mar100:

53:

05.287:

%SYS-5-CONFIG_I:

Configuredfromconsolebyconsole

R1#

防火墙上的配置:

pixfirewall#conft

pixfirewall(config)#hostnamepix

pix(config)#

pix(config)#

pix(config)#inte0

pix(config-if)#ipadd10.1.1.3255.255.255.0

pix(config-if)#nameifinside

INFO:

Securitylevelfor"inside"setto100bydefault.

pix(config-if)#noshut

pix(config-if)#exit

pix(config)#inte1

pix(config-if)#nameifoutside

INFO:

Securitylevelfor"outside"setto0bydefault.

pix(config-if)#ipadd192.168.1.3

pix(config-if)#ipadd192.168.1.3255.255.255.0

pix(config-if)#noshut

pix(config-if)#exit

pix(config)#static(inside,outside)192.168.1.410.1.1.4netmask255.255.255.255

pix(config)#access-list100permiticmpanyany

pix(config)#access-gr

pix(config)#access-group100inint

pix(config)#access-group100ininterfaceoutside

pix(config)#exit

pix#

五、实验结果

内网ping外网:

外网ping内网:

总结:

pix防火墙默认情况下,从高安全级别到低安全级别的流量是被允许的,从低安全级别访问高安全级别的流量默认是被禁止的。

要使流量可以从低安全级别访问高安全级别,需要使用访问列表。

 

实验二IDS入侵检测规则配置

【实验名称】

IDS入侵检测规则配置

【计划学时】

2学时

【实验目的】

1、了解IDS系统自带检测规则库中的各种攻击类型;

2、初步掌握对用户自定义规则的配置。

【基本原理】

IDS系统自带庞大的检测规则库,同时也允许用户自定义规则。

在检测入侵行为的过程中,IDS系统根据预先设定的检测规则进行信息的捕获,拆分,分析以及匹配。

【实验拓扑】

 

【实验步骤】

一、系统自带检测规则

1、“入侵检测”“检测规则”,该页面显示所有IDS系统自带检测规则,用户可以查看已经勾选的规则库,或进行规则库的选择。

系统会定时自动下载更新规则库,以使用户得到及时的保护。

用户也可上传自定义补丁更新规则库。

注意:

建议用户只勾选必要的选择,以提高检测的速率和性能。

例如,如果内部网络中没有数据库服务器,则不必勾选数据库选项下的规则库。

一般情况下,勾选的规则越多,对进出数据包的检测匹配耗时越长,降低IDS设备处理性能。

2、“入侵检测”“检测规则”“规则设置”

分类罗列已有规则及其危害等级,并可对各规则进行编辑,选择对违反该规则的行为警报(Alert),通过(Pass),或者拒绝(Reject)。

3、“入侵检测”“检测规则”“自定义规则”

自定义规则可以让用户自行定义入侵检测规则。

自定义规则非常强大,但需要一定的网络安防专业知识才能配置使用。

4、“入侵检测”“检测规则”“统计规则”

统计规则指的是对一段时间内重复出现的低级别事件进行统计综合报警。

这样可以减少不必要的报警次数。

举例:

对“ICMPWindowsPING”事件,如果需要在60秒内重复出现10次才报警,则应配置如下所示:

其中,gid和sid可以通过查询进行查询。

【实验总结】

本实验主要介绍了IDS自带的检测规则库及用户自定义规则的配置。

IDS的检测规则,关联规则都需要根据网络的实际情况来进行配置,当出现入侵时,所有的入侵行为数据都会在IDS服务器内根据规则进行检测(捕获,拆分,分析,匹配)。

 

实验三ASA防火墙IPSec与VPN的配置

一、实验目的

通过该实验掌握ASA防火墙IPSec与VPN的配置。

二、实验任务

●配置ASA防火墙IPSec

●配置ASA防火墙VPN

●验证实验结果

三、实验设备

ASA5505防火墙两台,CISCO2950交换机两台,控制线一根,网络连接线若干,PC机若干,Sniffer软件一套

四、实验拓扑图及内容

VPN的基本配置

执行下列步骤:

1.确定一个预先共享的密钥(保密密码)

2.为SA协商过程配置IKE。

3.配置IPSec。

内网R2上的配置是:

interfaceFastEthernet0/0

ipaddress10.1.1.1255.255.255.0

duplexauto

speedauto

!

noiphttpserver

noiphttpsecure-server

iproute0.0.0.00.0.0.010.1.1.2

防火墙FW1上的配置是:

fw1#shrun

:

Saved

:

PIXVersion7.2

(1)

!

hostnamefw1

enablepassword8Ry2YjIyt7RRXU24encrypted

names

!

interfaceEthernet0

nameifoutside

security-level0

ipaddress192.168.2.1255.255.255.0

!

interfaceEthernet1

nameifinside

security-level100

ipaddress10.1.1.2255.255.255.0

!

interfaceEthernet2

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceEthernet3

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceEthernet4

shutdown

nonameif

nosecurity-level

noipaddress

!

passwd2KFQnbNIdI.2KYOUencrypted

ftpmodepassive

access-list101extendedpermiticmpanyany

pagerlines24

mtuoutside1500

mtuinside1500

nofailover

noasdmhistoryenable

arptimeout14400

global(outside)11192.168.2.74netmask255.255.255.255

routeoutside0.0.0.00.0.0.0192.168.2.41

timeoutxlate3:

00:

00

timeoutconn1:

00:

00half-closed0:

10:

00udp0:

02:

00icmp0:

00:

02

timeoutsunrpc0:

10:

00h3230:

05:

00h2251:

00:

00mgcp0:

05:

00mgcp-pat0:

05:

00

timeoutsip0:

30:

00sip_media0:

02:

00sip-invite0:

03:

00sip-disconnect0:

02:

00

timeoutuauth0:

05:

00absolute

nosnmp-serverlocation

nosnmp-servercontact

snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart

cryptoipsectransform-setfw2esp-desesp-none

cryptomappix12matchaddress101

cryptomappix12setpeer192.168.2.4

cryptomappix12settransform-setfw2

cryptomappixinterfaceoutside

cryptoisakmpidentityaddress

cryptoisakmpenableoutside

cryptoisakmppolicy12

authenticationpre-share

encryption3des

hashsha

group2

lifetime86400

cryptoisakmppolicy65535

authenticationpre-share

encryption3des

hashsha

group2

lifetime86400

tunnel-group192.168.2.4typeipsec-l2l

tunnel-group192.168.2.4ipsec-attributes

pre-shared-key*

telnettimeout5

sshtimeout5

consoletimeout0

!

!

prompthostnamecontext

Cryptochecksum:

00000000000000000000000000000000

:

end

fw1#

内网R3上的配置是:

interfaceFastEthernet0/0

ipaddress20.1.1.1255.255.255.0

duplexauto

speedauto

!

noiphttpserver

noiphttpsecure-server

iproute0.0.0.00.0.0.020.1.1.2

防火墙FW2上的配置:

fw2#shrun

:

Saved

:

PIXVersion7.2

(1)

!

hostnamefw2

enablepassword8Ry2YjIyt7RRXU24encrypted

names

!

interfaceEthernet0

nameifoutside

security-level0

ipaddress192.168.2.4255.255.255.0

!

interfaceEthernet1

nameifinside

security-level100

ipaddress20.1.1.2255.255.255.0

!

interfaceEthernet2

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceEthernet3

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceEthernet4

shutdown

nonameif

nosecurity-level

noipaddress

!

passwd2KFQnbNIdI.2KYOUencrypted

ftpmodepassive

access-list101extendedpermiticmpanyany

pagerlines24

mtuoutside1500

mtuinside1500

nofailover

noasdmhistoryenable

arptimeout14400

global(outside)11192.168.2.84netmask255.255.255.255

routeoutside0.0.0.00.0.0.0192.168.2.11

timeoutxlate3:

00:

00

timeoutconn1:

00:

00half-closed0:

10:

00udp0:

02:

00icmp0:

00:

02

timeoutsunrpc0:

10:

00h3230:

05:

00h2251:

00:

00mgcp0:

05:

00mgcp-pat0:

05:

00

timeoutsip0:

30:

00sip_media0:

02:

00sip-invite0:

03:

00sip-disconnect0:

02:

00

timeoutuauth0:

05:

00absolute

nosnmp-serverlocation

nosnmp-servercontact

snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart

cryptoipsectransform-setfw1esp-desesp-none

cryptomappix12matchaddress101

cryptomappix12setpeer192.168.2.1

cryptomappix12settransform-setfw1

cryptomappixinterfaceoutside

cryptoisakmpidentityaddress

cryptoisakmpenableoutside

cryptoisakmppolicy12

authenticationpre-share

encryption3des

hashsha

group2

lifetime86400

tunnel-group192.168.2.1typeipsec-l2l

tunnel-group192.168.2.1ipsec-attributes

pre-shared-key*

telnettimeout5

sshtimeout5

consoletimeout0

!

!

prompthostnamecontext

Cryptochecksum:

857539fcbacc4cb22811ddfb1c68679c

:

end

fw2#

五、实验总结

虚拟专用网被定义为通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。

使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 农林牧渔 > 林学

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1