网络安全和管理实验报告.docx
《网络安全和管理实验报告.docx》由会员分享,可在线阅读,更多相关《网络安全和管理实验报告.docx(21页珍藏版)》请在冰豆网上搜索。
网络安全和管理实验报告
网络安全和管理实验指导书
电子与信息工程系网络工程教研室
2011-10-25
实验一为WWW服务配置SSL
一、实验目的
1.加深并消化授课内容,掌握SSL的基本概念;
2.了解并熟悉万维网服务器的配置;
3.掌握在万维网服务器上部署SSL协议;
二、实验要求
1.掌握SecuritySocketLayer在应用层的作用;
2.独立完成在万维网服务器上部署SSL;
3.实验结束后,用统一的实验报告用纸编写实验报告。
三、实验环境
Windows2003企业版服务器+IIS服务,Linux企业版服务器+Apache服务
四、实验内容
1.Windows系统上部署万维网服务,并配置SSL
2.Linux系统上部署万维网服务,并配置SSL
五、实验步骤
Windows系统上部署万维网服务,并配置SSL
(1)颁发证书
1.从“管理工具”程序组中启动“证书颁发机构”工具。
2.展开证书颁发机构,然后选择“挂起的申请”文件夹。
3.选择刚才提交的证书申请。
4.在“操作”菜单中,指向“所有任务”,然后单击“颁发”。
5.确认该证书显示在“颁发的证书”文件夹中,然后双击查看它。
6.在“详细信息”选项卡中,单击“复制到文件”,将证书保存为Base-64编码的X.509证书。
7.关闭证书的属性窗口。
8.关闭“证书颁发机构”工具。
(2)在Web服务器上安装证书
1.如果Internet信息服务尚未运行,则启动它。
2.展开服务器名称,选择要安装证书的Web站点。
3.右键单击该Web站点,然后单击“属性”。
4.单击“目录安全性”选项卡。
5.单击“服务器证书”启动Web服务器证书向导。
6.单击“处理挂起的申请并安装证书”,然后单击“下一步”。
7.输入包含CA响应的文件的路径和文件名,然后单击“下一步”。
8.检查证书概述,单击“下一步”,然后单击“完成”。
现在,已在Web服务器上安装了证书。
(3)将资源配置为要求SSL访问
此过程使用Internet服务管理器,将虚拟目录配置为要求SSL访问。
为特定的文件、目录或虚拟目录要求使用SSL。
客户端必须使用HTTPS协议访问所有这类资源。
1.如果Internet信息服务尚未运行,则启动它。
2.展开服务器名称和Web站点。
(这必须是已安装证书的Web站点)
3.右键单击某个虚拟目录,然后单击“属性”。
4.单击“目录安全性”选项卡。
5.单击“安全通信”下的“编辑”。
6.单击“要求安全通道(SSL)”。
7.单击“确定”,然后再次单击“确定”关闭“属性”对话框。
8.关闭Internet信息服务。
Linux系统上部署万维网服务,并配置SSL
安装并设置具备SSL的Apache网站服务器
1.创建rasref目录,在该目录提取文件。
#mkdirrsaref-2.0
#cdrsaref-2.0
#gzip-d-c../rsaref20.tar.Z|tarxvf-
2.配置并构造OpenSSL库。
#cdrsaref-2.0
#cp-rpinstall/unixlocal
#cdlocal
#make
#mvrsaref.alibrsaref.a
#cd../..
3.安装OpenSSL。
#cdopenssl-0.9.x
#./config-prefix=/usr/local/ssl
-L`pwd`/../rsaref-2.0/local/rsaref-fPIC
4.配置MOD_SSL模块,然后用Apache配置指定它为一个可装载的模块。
#cdmod_ssl-2.5.x-1.3.x
#./configure
--with-apache=../apache_1.3.x
#cd..
可以把更多的Apache模块加到Apache源代码树中。
可选的--enable-shared=ssl选项使得mod_ssl构造成为一个DSO“libssl.so”。
关于在Apache支持DSO的更多信息,阅读Apache源代码树中的INSTALL和htdocs/manual/dso.html文档。
#cdapache_1.3.x
#SSL_BASE=../openssl-0.9.x
RSA_BASE=../rsaref-2.0/local
./configure--enable-module=ssl
--activate-module=src/modules/php4/libphp4.a
--enable-module=php4--prefix=/usr/local/apache
--enable-shared=ssl
5.生成Apache,然后生成证书,并安装
#make
正确地完成,得到类似于以下的信息:
+-----------------------------------------------------------------------+
|BeforeyouinstallthepackageyounowshouldpreparetheSSL|
|certificatesystembyrunningthe"makecertificate"command.|
|Fordifferentsituationsthefollowingvariantsareprovided:
|
||
|%makecertificateTYPE=dummy(dummyself-signedSnakeOilcert)|
|%makecertificateTYPE=test(testcertsignedbySnakeOilCA)|
|%makecertificateTYPE=custom(customcertsignedbyownCA)|
|%makecertificateTYPE=existing(existingcert)|
|CRT=/path/to/your.crt[KEY=/path/to/your.key]|
||
|UseTYPE=dummywhenyou'reavendorpackagemaintainer,|
|theTYPE=testwhenyou'reanadminbutwanttodotestsonly,|
|theTYPE=customwhenyou'reanadminwillingtorunarealserver|
|andTYPE=existingwhenyou'reanadminwhoupgradesaserver.|
|(ThedefaultisTYPE=test)|
||
|AdditionallyaddALGO=RSA(default)orALGO=DSAtoselect|
|thesignaturealgorithmusedforthegeneratedcertificate.|
||
|Use"makecertificateVIEW=1"todisplaythegenerateddata.|
||
|ThanksforusingApache&mod_ssl.RalfS.Engelschall|
|rse@|
||
+-----------------------------------------------------------------------+
实验二NAT地址转换
一、实验目的
1.加深并消化授课内容,理解NAT的作用;
2.掌握NAT网络地址转换的方法;
3.掌握NAT服务在网络设备上的配置方法。
二、实验要求
1.掌握NAT的网络地址转换的原理;
2.熟悉在路由器上使用NAT服务;
3.熟悉Windows服务器上使用NAT服务
三、实验环境
Cisco路由器;Windows2003企业版服务器
四、实验内容
1.静态地址转换
2.动态地址转换
3.复用动态地址转换。
4.Windows2000Server的网络地址翻译
五、实验步骤
1.静态地址转换
(1)、在内部本地地址与内部合法地址之间建立静态地址转换。
在全局设置状态下输入:
Ipnatinsidesourcestatic内部本地地址内部合法地址
(2)、指定连接网络的内部端口在端口设置状态下输入:
ipnatinside
(3)、指定连接外部网络的外部端口在端口设置状态下输入:
ipnatoutside
2.动态地址转换
(1)、在全局设置模式下,定义内部合法地址池
ipnatpool地址池名称起始IP地址终止IP地址子网掩码
其中地址池名称可以任意设定。
(2)、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。
Access-list标号permit源地址通配符
其中标号为1-99之间的整数。
(3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
ipnatinsidesourcelist访问列表标号pool内部合法地址池名字
(4)、指定与内部网络相连的内部端口在端口设置状态下:
ipnatinside
(5)、指定与外部网络相连的外部端口
Ipnatoutside
3.复用动态地址转换。
(1)、在全局设置模式下,定义内部合地址池
ipnatpool地址池名字起始IP地址终止IP地址子网掩码
其中地址池名字可以任意设定。
(2)、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。
access-list标号permit源地址通配符
其中标号为1-99之间的整数。
(3)、在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。
ipnatinsidesourcelist访问列表标号pool内部合法地址池名字overload
(4)、在端口设置状态下,指定与内部网络相连的内部端口
ipnatinside
(5)、在端口设置状态下,指定与外部网络相连的外部端口
ipnatoutside
4.Windows2000Server的网络地址翻译
(1)、连接Internet网卡的IP由ISP提供。
(2)、连接内部网网卡的IP地址需要以下配置:
IP地址:
192.168.0.1
子网掩码:
255.255.255.0
默认网关:
无
(3)、客户机的IP地址的配置为:
IP地址:
192.168.0.x(可设为同一网段内的任一独立的IP)
子网掩码:
255.255.255.0
默认网关:
192.168.0.1
(4)、在“路由和远程访问”控制台中,用鼠标右键单击域服务器,从弹出的快捷菜单中选择“配置并启用路由和远程访问”选项,打开“路由和远程访问服务器安装向导”对话框。
(5)、在路由和远程访问服务器安装向导中,选择用于“Internet连接服务器”的选项,以及用来安装带有网络地址转换(NAT)路由协议的路由器的选项。
(6)、接下来要定义好哪块网卡连接Internet。
(7)、至此所有配置工作已经全部完成,下面需要测试能不能连接内网和外网。
实验三IPSec的配置
一、实验目的
1.加深并消化授课内容,理解VPN的作用;
2.掌握在VPN中部署IPSec的方法;
3.掌握IPSec在网络设备上的配置方法。
二、实验要求
1.掌握虚拟专用网的原理;
2.熟悉在路由器上使用VPN服务;
3.熟悉使用IPSec的虚拟专用网的接入方式
三、实验环境
路由器2台
四、实验内容
假设你是公司的网络管理员,公司因业务的扩大,建立了一个分公司,因为公司的业务数据重要,公司的总部与分公司传输数据时需要加密,采用IPSecVPN技术对数据进行加密。
五、实验步骤
1.路由器基本配置。
R1(config)#
R1(config)#interfacefastEthernet0/0
R1(config-if)#ipaddress101.1.1.1255.255.255.252
R1(config-if)#noshutdown
R1(config-if)#exit
R1(config)#interfaceLoopback0
R1(config-if)#ipaddress10.1.1.1255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#exit
R2(config)#interfacefastEthernet0/0
R2(config-if)#ipaddress101.1.1.2255.255.255.252
R2(config-if)#noshutdown
R2(config-if)#exit
R2(config)#interfaceLoopback0
R2(config-if)#ipaddress10.1.2.1255.255.255.0
R2(config-if)#nosh
R2(config-if)#end
2.配置默认路由。
R1(config)#iproute0.0.0.00.0.0.0101.1.1.2
R2(config)#iproute0.0.0.00.0.0.0101.1.1.1
3.配置IPSecVPN。
R1(config)#cryptoisakmppolicy10
R1(isakmp-policy)#authenticationpre-share
R1(isakmp-policy)#hashmd5
R1(isakmp-policy)#group2
R1(isakmp-policy)#exit
R1(config)#cryptoisakmpkey0ruijieaddress101.1.1.2
R1(config)#cryptoipsectransform-setvpnah-md5-hmacesp-desesp-md5-hmac
R1(cfg-crypto-trans)#modetunel
R1(config)#cryptomapvpnmap10ipsec-isakmp
R1(config-crypto-map)#setpeer101.1.1.2
R1(config-crypto-map)#settransform-setvpn
R1(config-crypto-map)#matchaddress110
R1(config)#cryptomapvpnmap110ipsec-isakmp
R2(config)#cryptoisakmppolicy10
R2(isakmp-policy)#authenticationpre-share
R2(isakmp-policy)#hashmd5
R2(isakmp-policy)#group2
R2(config)#cryptoisakmpkey0ruijieaddress101.1.1.2
R2(config)#cryptoipsectransform-setvpnah-md5-hmacesp-desesp-md5-hmac
R2(cfg-crypto-trans)#modetunel
R2(config)#cryptomapvpnmap10ipsec-isakmp
R2(config-crypto-map)#setpeer101.1.1.1
R2(config-crypto-map)#settransform-setvpn
R2(config-crypto-map)#matchaddress110
4.定义感兴趣数据流及应用VPN。
R1(config)#access-listextended110permitip10.1.1.00.0.0.25510.1.2.00.0.0.255
R1(config)#interfaceFastEthernet0/0
R1(config-if)#cryptomapvpnmap
R2(config)#access-listextended110permitip10.1.2.00.0.0.25510.1.1.00.0.0.255
R2(config)#interfaceFastEthernet0/0
R2(config-if)#cryptomapvpnmap
5.验证测试。
R1#ping
Protocol[ip]:
TargetIPaddress:
10.1.2.1
Repeatcount[5]:
Datagramsize[100]:
Timeoutinseconds[2]:
Extendedcommands[n]:
y
Sourceaddress:
10.1.1.1
TimetoLive[1,64]:
Typeofservice[0,31]:
DataPattern[0xABCD]:
0xabcd
Sending5,100-byteICMPEchoesto10.1.2.1,timeoutis2seconds:
.!
!
!
!
Successrateis80percent(4/5),round-tripmin/avg/max=1/1/1ms
R1#showcryptoipsecsa
Interface:
FastEthernet0/0
Cryptomaptag:
vpnmap,localaddr101.1.1.1
mediamtu1500
==================================
itemtype:
static,seqno:
10,id=32
localident(addr/mask/prot/port):
(10.1.1.0/0.0.0.255/0/0))
remoteident(addr/mask/prot/port):
(10.1.2.0/0.0.0.255/0/0))
PERMIT
#pktsencaps:
4,#pktsencrypt:
4,#pktsdigest8
#pktsdecaps:
4,#pktsdecrypt:
4,#pktsverify8
#senderrors0,#recverrors0
Inboundespsas:
spi:
0x36328b56(909282134)
transform:
esp-desesp-md5-hmac
inusesettings={Tunnel,}
cryptomapvpnmap10
satiming:
remainingkeylifetime(k/sec):
(4606998/3594)
IVsize:
8bytes
Replaydetectionsupport:
Y
Inboundahsas:
spi:
0x75aa844e(1974109262)
transform:
ah-nullah-md5-hmac
inusesettings={Tunnel,}
cryptomapvpnmap10
satiming:
remainingkeylifetime(k/sec):
(4606998/3594)
IVsize:
0bytes
Replaydetectionsupport:
Y
Outboundespsas:
spi:
0x4c96e9f2(1284958706)
transform:
esp-desesp-md5-hmac
inusesettings={Tunnel,}
cryptomapvpnmap10
satiming:
remainingkeylifetime(k/sec):
(4606998/3594)
IVsize:
8bytes
Replaydetectionsupport:
Y
Outboundahsas:
spi:
0x2c25e472(740680818)
transform:
ah-nullah-md5-hmac
inusesettings={Tunnel,}
cryptomapvpnmap10
satiming:
remainingkeylifetime(k/sec):
(4606998/3594)
IVsize:
0bytes
Replaydetectionsupport:
Y
R1#showcryptoisakmpsa
destinationsourcestateconn-idlifetime(second)
101.1.1.2101.1.1.1QM_IDLE3386317
6c1ac77522d07d2be0062c53799fc5ec
实验四访问控制列表
一、实验目的
1.掌握路由配置方法
2.掌握访问控制列表的配置;
二、实验要求
1.ACL能正常工作的前提是所有主机都能ping通。
(采用RIP路由协议)
2.路由器的基本配置:
1)设置路由器接口IP地址。
2)配置RIP路由
3.不允许R1访问R4及其内部网络
4.不允许R2pingR4
5.不允许10.2.2.0网段访问R4及其内部网络
6.使用OSPF动态路由协议
三、实验环境
1、WindowsXP,CiscoPacketTracer
四、实验内容
拓扑图
五、实验步骤
1.基本配置及密码设置
R1、R2、R3、R4启动后,首先进行如下配置
Router(config)#noipdomain