网络安全的课程设计方案.docxVIP

《网络安全》课程设计方案班级：2013级网络工程组别：第六小组时间：2016年7月4日一、设计目的与要求任务1.1.按照上述网络拓扑图搭建模拟环境，并通过防火墙严格明确划分出三个不同的安全域。内网至少要划分出两个不同的网段。2.公司内部对外提供WWW、FTP和SMTP服务，而且提供两台WWW的服务器。WWW服务器2对外采用8080端口。3.内网全部采用私有地址，规划和分配内网的IP地址，服务器要求采用固定地址，客户端进行动态IP地址分配。任务2：利用防火墙的安全机制为内网用户提供一个安全和可靠的网络环境。4.企业具有00至 05六个合法的IP地址。选用00作为企业对外的IP地址，配置网络地址转换，实现内网用户可以使用01至 05中的一个访问互联网，而外部用户只能使用企业对外的IP地址来访问企业内部的三个服务，其中内网中的一个网段使用loopback接口IP地址06做为地址转换后IP地址。5.创建访问控制列表实现内外网之间的访问控制。要求创建多种高级ACL，即基于源、目的IP地址，基于源、目的端口，基于时间，基于流量，的访问控制策略，具体规则自定义，每一种具体规则不能少于2条。注：在自定义规则时，应首先重点考虑如何确保内网的安全性，但同时允许内个网之间的正常合法的访问。6.在防火墙上配置一ASPF策略，检测通过防火墙的FTP和HTTP流量。要求：如果该报文是内部网络用户发起的FTP和HTTP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止；并且，此ASPF策略能够过滤掉来自某服务器×. ×. ×. ×的HTTP报文中的Java applet和ActiveX。7.利用防火墙的黑名单功能，实现服务器和客户机分别位于防火墙Trust区域和Untrust区域中，现要在30分钟内过滤掉客户机发送的所有报文。8.服务器和客户机分别位于防火墙Trust区域和Untrust区域中，客户机的IP地址为，对应的MAC地址为00e0-fc00-0100，在防火墙上配置IP地址与MAC地址的绑定，保证只有符合上述关系对的报文可以通过防火墙。9.启用防火墙报文统计分析功能，如果外部网络对DMZ区域的服务器发起的TCP连接数超过了设定的阈值，防火墙将限制外部网络向该服务器发起新连接，直到连接数降到正常的范围。10.使能防火墙对常见的网络攻击的防范。包括ARP Flood攻击防范功能、ARP反向查询攻击防范功能、ARP欺骗攻击防范功能、IP欺骗攻击防范功能、Land攻击防范功能、Smurf攻击防范功能、WinNuke攻击防范功能、Fraggle攻击防范功能、Frag Flood攻击防范功能、SYN Flood攻击防范功能、ICMP Flood攻击防范功能、UDP Flood攻击防范功能、ICMP重定向报文控制功能、ICMP不可达报文控制功能、地址扫描攻击防范功能、端口扫描攻击防范功能、带源路由选项IP报文控制功能、带路由记录选项IP报文控制功能、Tracert报文控制功能、Ping of Death攻击防范功能、Teardrop攻击防范功能、TCP报文合法性检测功能、IP分片报文检测功能、超大ICMP报文控制功能等。11.开启信息中心，配置Trust区域内的日志主机IP地址为×. ×. ×. ×，打开攻击防范的端口扫描攻击开关，将攻击的源地址加入黑名单，老化时间为10分钟，并使能黑名单功能，并使能Trust域的IP出方向报文统计。任务3两个小组合并为一个大组，其中一个小组的网络模拟为企业总部的网络，另一个小组的网络模拟为分布在远地的企业下属机构的网络，用两台路由器模拟公网，要求实现企业总部的网络和下属机构的网络通过公网实现远程安全互联。注：即要求对流径公网的数据实现保密性和完整性。任务4针对此网络环境和用户需求，每组撰写一份网络安全解决方案书。二、组内成员曹顺琴曹顺丽童知婷张芮郭绍文赵连鑫郭松超实验拓扑实验过程及代码实现1.区域划分、vlan规划和地址分配Trust区域：vlan2: /24vlan3: /24vlan4: /24vlan5: /24/24 用于接入路由器与防火墙Dmz区域：/24 服务器Untrust区域：00-06 公网注册ip/24 模拟外网网段2.协议规划本次实验所有三层设备均用rip路由协议实现全网互通，主要命令如下：ripnetworkx.x.x.x mask x.x.x.x3.Dhcp依照任务书中的要求，trust区域所用的私有ip均为dhcp自动分配。主要代码如下：dhcp动态分配dhcp?enableip?pool?10network?x.x.x.x?mask?x.x.x.xdns-list?x.x.x.xgateway-list?x.x.x.xlease?day?9quitinterface?vlan?xi