防火墙的设计与实现完整版本.docx
《防火墙的设计与实现完整版本.docx》由会员分享,可在线阅读,更多相关《防火墙的设计与实现完整版本.docx(35页珍藏版)》请在冰豆网上搜索。
防火墙的设计与实现完整版本
课程设计报告
课程名称计算机网络
课题名称1、防火墙技术与实现
2、无线WLAN的设计与实现
专业计算机科学与技术
班级0802班
学号200803010212
姓名王能
指导教师刘铁武韩宁
2011年3月6日
湖南工程学院
课程设计任务书
一.设计内容:
问题1:
基于802.1X的认证系统
建立为了便于集中认证和管理接入用户,采用AAA(Authentication、Authorization和Accounting)安全体系。
通过某种一致的办法来配置网络服务,控制用户通过网络接入服务器的访问园区网络,设计内容如下:
1.掌握IEEE820.1X和RADIUS等协议的工作原理,了解EAP协议
2.掌握HP5308/HP2626交换机的配置、调试方法
3.掌握WindowsIAS的配置方法和PAP,CHAP等用户验证方法
4.建立一个基于三层交换机的模拟园区网络,用户通过AAA方式接入园区网络
问题2:
动态路由协议的研究与实现
建立基于RIP和OSPF协议的局域网,对RIP和OSPF协议的工作原理进行研究,设计内容如下:
1.掌握RIP和OSPF路由协议的工作原理
2.掌握HP5308三层交换机和HP7000路由器的配置、调试方法
3.掌握RIP和OSPF协议的报文格式,路由更新的过程
4.建立基于RIP和OSPF协议的模拟园区网络
5.设计实施与测试方案
问题3:
防火墙技术与实现
建立一个园区网络应用防火墙的需求,对具体实施尽心设计并实施,设计内容如下:
1.掌握防火墙使用的主要技术:
数据包过滤,应用网关和代理服务
2.掌握HP7000路由器的配置、调试方法
3.掌握访问控制列表ACL,网络地址转换NAT和端口映射等技术
4.建立一个基于HP7000路由器的模拟园区网络出口
5.设计实施与测试方案
问题4:
生成树协议的研究与实现
建立基于STP协议的局域网,对STP协议的工作原理进行研究,设计内容如下:
1.掌握生成树协议的工作原理
2.掌握HP5308三层交换机和HP2626交换机的配置、调试方法
3.掌握STP/RSTP/MSTP协议的的工作过程
4.建立基于STP协议的模拟园区网络
5.设计实施与测试方案
问题5:
无线WLAN的设计与实现
建立一个小型的无线局域网,设计内容如下:
1.掌握与无线网络有关的IEEE802规范与标准
2.掌握无线通信采用的WEP和WPA加密算法
3.掌握HP420无线AP的配置方法
4.建立基于Windowsserver和XP的无线局域网络
5.设计测试与维护方案
二.设计要求:
1.在规定时间内完成以上设计内容。
2.画出拓扑图和工作原理图(用计算机绘图)
3.编写设计说明书
4.见附带说明。
5.成绩评定:
指导老师负责验收结果,结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评,并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。
具体考核标准包含以下几个部分:
①平时出勤(占20%)
②系统分析、功能设计、结构设计合理与否(占10%)
③个人能否独立、熟练地完成课题,是否达到目标(占40%)
④设计报告(占30%)不得抄袭他人的报告(或给他人抄袭),一旦发现,成绩为零分。
三进度安排
(注意:
17周必须提交课设报告,迟交或未交只能计零分。
下面是三个班总的时间安排,课设报告中,每班只需填写其实际设计时间)
因是3个班滚动执行,没有过多衔接时间,各位同学必须严格按时执行。
第1周
时间
8:
00-12:
00
12:
00—15:
00
15:
00-17:
00
星期一
0801
0802
0803
星期二
0802
0803
0801
星期三
0803
0801
0802
星期四
0801
0802
0803
第2周
时间
8:
00-12:
00
12:
00—15:
00
15:
00-17:
00
星期二
0802
0803
0801
星期四
0803
0801
0802
附:
课程设计报告装订顺序:
封面、任务书、目录、正文、评分、附件(A4大小的图纸及程序清单)。
正文的格式:
一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。
正文的内容:
一、课题的主要功能;二、课题的功能模块的划分(要求画出模块图);三、主要功能的实现(至少要有一个主要模块的流程图);四、程序调试;五、总结;六、附件(所有程序的原代码,要求对程序写出必要的注释)。
正文总字数要求在5000字以上(不含程序原代码)。
实验报告一、防火墙技术与实现(必做)
一、防火墙的简介和使用技术.............................................1
1、防火墙的简介
2、防火墙的使用技术
3、网络地址转换NAT技术
二、网络拓扑图.........................................................3
三、调试过程...........................................................4
1、建立内部网络
2、建立模拟internet网络
3、建立内外网络的连接
4、配置NAT与ACI及其转换
四、实验结果...........................................................
五、实验总结...........................................................
六、附件...............................................................
实验报告二、无线WLAN的设计与实现(选做)
1、工作原理...........................................................
2、网络拓扑图.........................................................
3、调试过程...........................................................
4、实验结果...........................................................
5、总结...............................................................
6、附件...............................................................
实验报告一、防火墙技术与实现(必做)
一、防火墙的基本概念和使用技术
1、防火墙简介
防火墙是目前一种最重要的网络防护设备。
从专业角度讲,防火墙是位于两个或两个以上的网络间,实施网络之间访问控制的一组组件集合。
对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,它对从网络发往计算机的所有数据都进行判断处理,并决定能否把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现对计算机的保护功能。
设置防火墙的目的是防火墙是在网络之间执行控制策略的系统,它包括硬件和软件,目的是保护内部网络资源不被外部非授权用户使用、防止内部网络受到外部非法用户的攻击。
防火墙的主要功能检查所有从外部网络进入内部网络的数据包;检查所有从内部网络流出到外部网络的数据包;执行安全策略,限值所有不符合安全策略要求的数据包通过;
具有防攻击能力,以保证自身的安全性;防火墙实现的主要技术:
数据包过滤、应用网关和代理服务。
2、防火墙使用的技术:
数据包过滤:
包过滤路由器可以决定对它所收到的每个数据包的取舍。
是基于路由器技术的,建立在网络层、传输层上。
路由器对每发送或接收来的数据包审查是否与某个包过滤规则相匹配。
包过滤规则即访问控制表,通过检查每个分组的源IP地址、目的地址来决定该分组是否应该转发。
如果找到一个匹配,且规则允许该数据包通过,则该数据包根据路由表中的信息向前转发。
如果找到一个与规则不相匹配的,且规则拒绝此数据包,则该数据包将被舍弃。
包过滤路方法具有以下优点:
(1)执行包过滤所用的时间很少或几乎不需要什么时间。
(2)对路由器的负载较小
(3)由于包过滤路由器对端用户和应用程序是透明的,因此不需要在每台主机上安装特别的软件。
包过滤路方法的缺点:
(1)在路由器中设置包过滤规则比较困难
(2)由于包过滤只能工作在“假定内部主机是可靠地,外部诸暨市不可靠的”这种简单的判断上,它只是控制在主机一级,不涉及包内容的内容与用户一级,因此它有很大的局限性。
应用级网关:
多归属主机具有多个网络接口卡,因为它具有在不同网络之间进行数据交换的能力,因此人们又称它为“网关”。
多归属主机用在应用层的用户身份认证与服务请求合法性检查,可以起到防火墙的作用,称为应用级网关。
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:
一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
应用代理:
应用代理是应用级网关的另一种形式,是以存储转发方式,检查和确定网络服务的用户身份是否合法,检查和确定网络服务请求的身份时候合法,决定是转发还是丢弃该服务请求。
3、网络地址转换NAT技术:
NAT的工作原理如下图所示:
图1NAT的基本工作原理
如图所示,如果内部网络地址为10.0.1.1的主机希望访问Internet上地址为202.0.1.1的Web服务器,那么它就会产生一个源地址S=10.0.1.1,目的地址为202.0.1.1的分组为1。
NAT常与代理、防火墙技术一起使用。
在防火墙中起到了重要的作用。
二、网络拓扑图
防火墙的实现与技术的实验拓扑图如下所示:
本实验采用2台HP2626交换机、一台HP7102路由器、HP5308三层交换机来实现防火墙的设计与实现其功能。
三、调试过程
这次实验的重点在于防火墙的配置,在配置防火墙的过程中,重点在于设置NAT和ACL,NAT用来配置内网计算机访问外网时的地址转换,保证内网与外网的计算机相互之间能够成功地访问对方。
ACL是访问控制,主要用来设置内网计算机的访问权限,通过配置ACL,可以禁止或允许内网中的计算机之间的相互访问以及内网计算机访问外网,实验过程中,ACL访问控制配置在HP5308交换机。
防火墙是在内网和外网中设置的气到网络安全的。
实现防火墙技术的实验就需要建立内部网络、外部网络,内部网络和外部网络中的局域网都是通过交换机来设计的。
因此分以下4步。
1、建立内部网络:
内部网络是将PC2、Edge和Core连接起来,然后利用超级终端软件对各个设备进行
配置,配置如下:
首先在PC2计算机中对网络地址进行配置,IP地址设置为10.10.10.15,子网掩码为255.255.255.0;
其次对交换机2626B进行配置,将其分为多个局域网,此次实验只分配Vlan1,其IP地址的范围是10.1.1.3/24,在超级终端上的命令是
2626B(config)#Vlan1
2626B(Vlan-1)#ipaddress10.1.1.3/24
2626B(Vlan-1)#Vlan110tagged25
调试图如下:
B.其次是对HPProCurve5308xl三层交换机,其背板交换引擎速度为76.8Gbps,吞吐量高达48mpps,并配置双冗余电影,保证核心层高速、可靠的三层交换;给它配置两个Vlan,Vlan1的地址为10.1.1.1/24,Vlan10的地址为10.10.110.1/24,并在vlan10上配置中继端口B1,在vlan1上配置中继端口在vlan10上配置中继端口B2,启用三层转发协议。
设置局域网Vlan1:
Core(config)#Vlan1
Core(Vlan-1)#ipaddress10.1.1.1/24
Core(Vlan-1)#taggedB2
设置局域网Vlan10:
Core(config)#Vlan10ipaddress10.10.110.1/24
Core(config)#Vlan110taggedB1
调试图如下:
C.给7102的两个以太网口配置地址,并激活。
ETH0/1的地址为10.1.1.2/24,ETH0/2的地址为202.100.1.2/24,指令如下:
NAT(config)#interfaceEthernet0/1
NAT(config-eth0/1)#ipaddress10.1.1.2255.255.255.0
NAT(config-eth0/1)#noshutdown
NAT(config)#interfaceEthernet0/2
NAT(config-eth0/2)#ipaddress202.100.1.2255.255.255.0
NAT(config-eth0/2)#noshutdown
运行图如下:
在内部网络的各个设备设置完后,尝试使用PC2ping7102A的出口地址,但是因为缺少路由,所以ping不通。
所以我们还需要在5308上写上内网默认路由,在7102A上添加10.10.110.0网络的出口路由,指令如下:
Core(config)#Iproute0.0.0.00.0.0.010.1.1.2
NAT(config)#Iproute10.10.10.15255.255.255.010.1.1.1
添加上默认路由后,内部网络即构建完毕。
如果从PC2ping7102A的出口地址10.1.1.2,不通的话,还需要认真的检查确保各vlan或端口之间的tagged和untagged配置是否正确。
2、构建模拟internet网络
给2626A创建两个vlan,Vlan1的地址为202.100.1.1/24,Vlan2的地址为202.100.2.1/24。
给vlan2上分配1号端口,并配置中继端口26,启用三层转发。
2626A(config)Vlan1ipaddress202.100.1.1/24
2626A(config)Vlan2ipaddress202.100.2.1/24
2626A(config)Vlan2tagged1
2626A(config)Vlan2tagged26
用PC1ping2626A的vlan1和vlan2的地址,ping通检验配置正确。
3、建立内外网络的连接
给7102A写指向2626A的静态路由,给2626A写指回7102A的静态路由。
2626A(config)Iproute0.0.0.00.0.0.0202.100.1.2
NAT(config)Iproute0.0.0.00.0.0.0202.100.1.1
这时,整个内外网络构建完毕,PC2能直接ping通PC1,通过查看流量检测软件。
4、配置NAT转换
NAT:
1、设置外部接口IP
Router(config)#interfaceserial0/0
Router(config-if)#ipaddress 202.100.1.2255.255.255.0
2 、设置内部接口IP
Router(config)#interfacefa0/0
Router(config-if)#ipaddress10.1.1.2255.255.255.0
3、建立映射
Router(config)#ipnatinsidesourcestatic10.1.1.2 202.100.1.2
4、在接口上启用NAT
Router(config)#interfaceserial0/0
Router(config-if)#ipnatoutside
Router(config)#interface fa0/0
Router(config-if)#ipnatinside
ACL:
hostname "core_5308"
max-vlans 256
connection-rate-filter sensitivity high
ip access-list extended "101"
rulepermitsource10.10.110.100.0.0.255202.100.2.100.0.0.255
ruledenysourceany
NAT与ACL的转换:
ipfirewall
ipaccess-liststandardinside
permitany
ippolicy-classNATinside
natsourcelistMatchAlladdress202.100.1.2overload
interfaceeth0/1
access-policyNATinside
做了nat转换后,从pc2pingPC1的截图,源地址为202.100.1.2
四、实验结果
在完成刚刚的配置后,还需对三层交换机5308增加一些配置,即配置ACI。
再次过程中,我们在添加很多PC主机。
给5308添加vlan1010.1.10.1/24、vlan1110.1.20.1/24、vlan1210.1.30.1/24,把D1-D4分配给vlan10,E1-E4分配给vlan11,E5-E8分配给vlan12.并再此基础上配置ACl命令,实现只允许节点地址10.1.10.10和网络地址10.1.30.1/24网段的地址对vlan11(10.1.20.1/24)网段进行访问。
其中,D1-D4,E1-E4,E5-E8都是用来接主机的接口。
Core(config)#Vlan10ipaddress10.1.10.1/24
Core(config)#Vlan10untaggedD1-D4
Core(config)#Vlan11ipaddress10.1.20.1/24
Core(config)#Vlan11untaggedE1-E4
Core(config)#Vlan12ipaddress10.1.30.1/24
Core(config)#Vlan12untaggedE5-E8
Core(config)#Access-list10permithost10.1.10.10
Core(config)#Access-list10permit10.1.30.1/24
Core(config)#vlan11ipaccess-group10out
在Ip地址为202.100.1.11pingpc2,不通,ping10.10.110.15则能通。
结果如:
PC1为外网的主机,IP地址为202.100.1.11;PC2为内网的主机,IP地址为10.10.110.15。
1、PC1的网络连通测试
PC1的地址为202.100.1.1,测试它与交换机出口的连接。
测试结果如图1.2所示。
图1.2PC2与交换机出口的连通测试
2、PC2的连通测试
(1)PC2与内网接入层交换机的连通测试,测试结果如图1.3和图1.4所示。
图1.3PC2与内网接入层交换机的连通测试
图1.4PC2与内网接入层交换机的连通测试
(2)PC2与核心层交换机的连通测试,测试结果如图1.5所示。
图1.5PC2与核心层交换机的连通测试
(3)PC2与防火墙的连通测试。
测试结果与图1.6所示。
图1.6PC2与防火墙的连通测试
(4)PC2与PC1的连通测试,测试结果如图1.7所示。
图1.7PC2与PC1的连通测试
五、实验小结
通过这次课设我从中学习到了很多的东西,熟悉了网络的基本知识的运用。
但是在课设期间我遇到了很多的问题,为此我发现了我对网络的了解不是很透彻。
1、我对防火墙的实现起到重要作用的ACI控制表和网络地址转换NAT技术了解的很少,无疑给我的课题增加了一定的难度。
在实验的全过程,我一边认真做实验,一边查漏补缺,解决了我许多在ACl控制列表方面的知识漏洞与不足,增强了网络知识掌握广度与深度。
2、对网络的中所用的交换机、路由器、三层交换机的原理不是很清楚。
但是通过网上的查询与跟老师和同学的交流对这些东西有了很深的了解。
从而在做实验时能够基本的做出来。
三、其实这次设计不算顺利,虽然我和同学最后顺利完成了设计任务,但是我觉得从团队的角度来说是一种顺利的合作。
但是我还发现了一下问题。
1)首先,作为团队,我们没有把各自的任务分配清楚,而是一起走步,我觉得这样遇到问题的时候容易产生依赖心理,也不容易调动每个人的积极性。
明确的分工是合作的必要因素,而遇到问题集体讨论才是发挥集体力量的时候。
2)其次,我觉得我们没有在设计初期对问题的分析还不够深入,而在后期在遇到问题的时候有点对自己的东西掌控不住的感觉。
我们基本上是走一步看一步,打个比方,把整个问题比作一棵树,我们在初期没有把整棵树进行遍历,以做到大致心中有数,而我们走的只是其中一枝,在遇到问题的时候在回过头找其他的树杈,却在岔路口徘徊。
3)总体上看来,我觉得我们比较乱,缺少条理性或者是规划。
我个人以前独自做课程设计的时候,都习惯先分析,再动手,而这次总体上不是这种风格。
也许这里面涉及到一个集体合作的融洽性问题,但是我倒觉得有个进行总体部署的“牵头人”比较好。
总而言之这次课设给我的不仅仅是知识,更重要的是学习的积极性跟与同学何老师的交流。
让我在这次课设受益匪浅。
让我对网络的学习有了进一步的了解。
让我多网络的学习有更深一步的了解,让我体会到了网络的魅力。
六、附件
7102A(config)#interfaceEthernet0/1
7102A(config-eth0/1)#ipaddress10.1.1.2255.255.255.0
7102A(config-eth0/1)#noshutdown
7102A(config)#interfaceEthernet0/2
7102A(config-eth0/2)#ipaddress202.100.1.2255.255.255.0
7102A(config-eth0/2)#noshutdown
给5308创建两个vlan,Vla
升级会员 