防火墙与入侵检测技术实验报告.docx

1、防火墙与入侵检测技术实验报告防火墙、入侵检测与VPN实验报告2016/2017 学年 第 1 学期班 级 13级计算接科学与技术姓 名 夏磊 学 号 1310411064 授课老师 程昆山 实验一 PIX防火墙配置一、 实验目的通过该实验了解PIX防火墙的软硬件组成结构，掌握PIX防火墙的工作模式，熟悉PIX防火墙的6条基本指令，掌握PIX防火墙的动态、静态地址映射技术，掌握PIX防火墙的管道配置，熟悉PIX防火墙在小型局域网中的应用。二、 实验任务 观察PIX防火墙的硬件结构，掌握硬件连线方法 查看PIX防火墙的软件信息，掌握软件的配置模式 了解PIX防火墙的6条基本指令，实现内网主机访问外

2、网主机三、 实验设备PIX501防火墙一台，CISCO 2950交换机两台，控制线一根，网络连接线若干，PC机若干四、 实验拓扑图及内容图中DMZ区域没有配置，只是配置了内网R1和外网R4，外网R4：R4#conf tEnter configuration commands, one per line. End with CNTL/Z.R4(config)#int f0/0R4(config-if)#ip add 192.168.1.2 255.255.255.0R4(config-if)#no shutR4(config-if)#exit*Mar 1 00:02:56.059: %LINK-

3、3-UPDOWN: Interface FastEthernet0/0, changed state to up*Mar 1 00:02:57.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR4(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.3R4(config)#内网R1：R1#conf tEnter configuration commands, one per line. End with CNTL/Z.R1(conf

4、ig)#int f0/0R1(config-if)#ip add 10.1.1.2 255.255.255.0R1(config-if)#no shutR1(config-if)#*Mar 1 00:01:32.115: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up*Mar 1 00:01:33.115: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#exitR1(c

5、onfig)#ip route 0.0.0.0 0.0.0.0 10.1.1.3R1(config)#exitR1#*Mar 1 00:53:05.287: %SYS-5-CONFIG_I: Configured from console by consoleR1#防火墙上的配置：pixfirewall# conf tpixfirewall(config)# hostname pixpix(config)#pix(config)#pix(config)# int e0pix(config-if)# ip add 10.1.1.3 255.255.255.0pix(config-if)# nam

6、eif insideINFO: Security level for inside set to 100 by default.pix(config-if)# no shutpix(config-if)# exitpix(config)# int e1pix(config-if)# nameif outsideINFO: Security level for outside set to 0 by default.pix(config-if)# ip add 192.168.1.3pix(config-if)# ip add 192.168.1.3 255.255.255.0pix(confi

7、g-if)# no shutpix(config-if)# exitpix(config)# static (inside,outside) 192.168.1.4 10.1.1.4 netmask 255.255.255.255pix(config)# access-list 100 permit icmp any anypix(config)# access-grpix(config)# access-group 100 in intpix(config)# access-group 100 in interface outsidepix(config)# exitpix#五、实验结果内网

8、ping外网：外网ping内网： 总结：pix防火墙默认情况下，从高安全级别到低安全级别的流量是被允许的，从低安全级别访问高安全级别的流量默认是被禁止的。要使流量可以从低安全级别访问高安全级别，需要使用访问列表。实验二 IDS入侵检测规则配置【实验名称】 IDS入侵检测规则配置【计划学时】2学时【实验目的】1、 了解IDS系统自带检测规则库中的各种攻击类型；2、 初步掌握对用户自定义规则的配置。【基本原理】IDS系统自带庞大的检测规则库，同时也允许用户自定义规则。在检测入侵行为的过程中，IDS系统根据预先设定的检测规则进行信息的捕获，拆分，分析以及匹配。【实验拓扑】【实验步骤】一、系统自带检测

9、规则1、“入侵检测”“检测规则”，该页面显示所有IDS系统自带检测规则，用户可以查看已经勾选的规则库，或进行规则库的选择。系统会定时自动下载更新规则库，以使用户得到及时的保护。用户也可上传自定义补丁更新规则库。注意：建议用户只勾选必要的选择，以提高检测的速率和性能。例如，如果内部网络中没有数据库服务器，则不必勾选数据库选项下的规则库。一般情况下，勾选的规则越多，对进出数据包的检测匹配耗时越长，降低IDS设备处理性能。2、“入侵检测”“检测规则”“规则设置”分类罗列已有规则及其危害等级，并可对各规则进行编辑，选择对违反该规则的行为警报(Alert)，通过(Pass)，或者拒绝(Reject)。3

10、、“入侵检测”“检测规则”“自定义规则”自定义规则可以让用户自行定义入侵检测规则。自定义规则非常强大，但需要一定的网络安防专业知识才能配置使用。4、“入侵检测”“检测规则”“统计规则”统计规则指的是对一段时间内重复出现的低级别事件进行统计综合报警。这样可以减少不必要的报警次数。举例：对“ICMP Windows PING”事件，如果需要在60秒内重复出现10次才报警，则应配置如下所示：其中，gid和sid可以通过查询进行查询。【实验总结】本实验主要介绍了IDS自带的检测规则库及用户自定义规则的配置。IDS的检测规则，关联规则都需要根据网络的实际情况来进行配置，当出现入侵时，所有的入侵行为数据都

11、会在IDS服务器内根据规则进行检测（捕获，拆分，分析，匹配）。实验三 ASA防火墙IPSec与VPN的配置一、 实验目的通过该实验掌握ASA防火墙IPSec与VPN的配置。二、 实验任务 配置ASA防火墙IPSec 配置ASA防火墙VPN 验证实验结果三、 实验设备ASA5505防火墙两台，CISCO 2950交换机两台，控制线一根，网络连接线若干，PC机若干，Sniffer软件一套四、 实验拓扑图及内容VPN的基本配置 执行下列步骤：1. 确定一个预先共享的密钥（保密密码）2. 为SA协商过程配置IKE。3. 配置IPSec。内网R2上的配置是：interface FastEthernet0

12、/0 ip address 10.1.1.1 255.255.255.0 duplex auto speed auto!no ip http serverno ip http secure-serverip route 0.0.0.0 0.0.0.0 10.1.1.2防火墙FW1上的配置是：fw1# sh run: Saved:PIX Version 7.2(1)!hostname fw1enable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0 nameif outside security-level 0 ip a

13、ddress 192.168.2.1 255.255.255.0!interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.2 255.255.255.0!interface Ethernet2 shutdown no nameif no security-level no ip address!interface Ethernet3 shutdown no nameif no security-level no ip address!interface Ethernet4 shutdown no nameif

14、 no security-level no ip address!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passiveaccess-list 101 extended permit icmp any anypager lines 24mtu outside 1500mtu inside 1500no failoverno asdm history enablearp timeout 14400global (outside) 11 192.168.2.74 netmask 255.255.255.255route outside 0.0.0.0 0

15、.0.0.0 192.168.2.4 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout uauth 0:05:00 absoluteno snmp

16、-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartcrypto ipsec transform-set fw2 esp-des esp-nonecrypto map pix 12 match address 101crypto map pix 12 set peer 192.168.2.4crypto map pix 12 set transform-set fw2crypto map pix interface outsidec

17、rypto isakmp identity addresscrypto isakmp enable outsidecrypto isakmp policy 12 authentication pre-share encryption 3des hash sha group 2 lifetime 86400crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400tunnel-group 192.168.2.4 type ipsec-l2ltunnel-gr

18、oup 192.168.2.4 ipsec-attributes pre-shared-key *telnet timeout 5ssh timeout 5console timeout 0!prompt hostname contextCryptochecksum:00000000000000000000000000000000: endfw1#内网R3上的配置是：interface FastEthernet0/0 ip address 20.1.1.1 255.255.255.0 duplex auto speed auto!no ip http serverno ip http secu

19、re-serverip route 0.0.0.0 0.0.0.0 20.1.1.2防火墙FW2上的配置：fw2# sh run: Saved:PIX Version 7.2(1)!hostname fw2enable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0 nameif outside security-level 0 ip address 192.168.2.4 255.255.255.0!interface Ethernet1 nameif inside security-level 100 ip addr

20、ess 20.1.1.2 255.255.255.0!interface Ethernet2 shutdown no nameif no security-level no ip address!interface Ethernet3 shutdown no nameif no security-level no ip address!interface Ethernet4 shutdown no nameif no security-level no ip address!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passiveaccess-list

21、 101 extended permit icmp any anypager lines 24mtu outside 1500mtu inside 1500no failoverno asdm history enablearp timeout 14400global (outside) 11 192.168.2.84 netmask 255.255.255.255route outside 0.0.0.0 0.0.0.0 192.168.2.1 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00

22、 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup lin

23、kdown coldstartcrypto ipsec transform-set fw1 esp-des esp-nonecrypto map pix 12 match address 101crypto map pix 12 set peer 192.168.2.1crypto map pix 12 set transform-set fw1crypto map pix interface outsidecrypto isakmp identity addresscrypto isakmp enable outsidecrypto isakmp policy 12 authenticati

24、on pre-share encryption 3des hash sha group 2 lifetime 86400tunnel-group 192.168.2.1 type ipsec-l2ltunnel-group 192.168.2.1 ipsec-attributes pre-shared-key *telnet timeout 5ssh timeout 5console timeout 0!prompt hostname contextCryptochecksum:857539fcbacc4cb22811ddfb1c68679c: endfw2#五、实验总结虚拟专用网被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。