网络安全课程设计方案.docVIP

《网络安全》课程设计方案 班级：2013级网络工程 组别：第六小组 时间：2016年7月4日 一、设计目的与要求 任务1? 按照上述网络拓扑图搭建模拟环境，并通过防火墙严格明确划分岀三个不同的 安全域。内网至少要划分出两个不同的网段。 公司内部对外提供WW、FTP和SMTP服务，而且提供两台WW的服务器。WW 服务器2对外采用8080端口。 3?内网全部采用私有地址，规划和分配内网的1P地址，服务器要求采用固定地 址，客户端进行动态1P地址分配。 任务2： 利用防火墙的安全机制为内网用户提供一个安全和可靠的网络环境。 企业具有202. 38. 168. 100至202. 38. 168. 105六个合法的IP地址。选用 202. 38. 160. 100作为企业对外的1P地址，配置网络地址转换，实现内网用户可 以使用202. 38. 16 101至202. 3 16 105屮的一个访问互联网，而外部用户 只能使用企业对外的IP地址来访问企业内部的三个服务，其中内网中的一个网 段使用loopback接口 TP地址202. 38. 160. 106做为地址转换后TP地址。 创建访问控制列表实现内外网之间的访问控制。要求创建多种高级ACL,即基 于源、目的1P地址，基于源、目的端口，基于时间，基于流量，的访问控制策 略，具体规则自定义，每一种具体规则不能少于2条。 注：在自定义规则时，应首先重点考虑如何确保内网的安全性，但同时允 许内个网之间的正常合法的访问。 在防火墙上配置一 ASPF策略，检测通过防火墙的FTP和HTTP流量。要求：如 果该报文是内部网络用户发起的FTP和HTTP连接的返回报文，则允许其通过防 火墙进入内部网络，其他报文被禁止；并且，此ASPF策略能够过滤掉來自某服 务器X. X. X. X 的 HTTP 报文中的 Java applet 和 ActiveX。 利用防火墙的黑名单功能，实现服务器和客户机分别位于防火墙Trust区域和 Untrust区域屮，现要在30分钟内过滤掉客户机发送的所有报文。 服务器和客户机分别位于防火墙Trust区域和Untrust区域中，客户机的IP 地址为202. 169. 168. 1,对应的MAC地址为00e0-fc00-0100,在防火墙上配置 IP地址与MAC地址的绑定，保证只有符合上述关系对的报文可以通过防火墙。 启用防火墙报文统计分析功能，如果外部网络对DMZ区域的服务器发起的TCP 连接数超过了设定的阈值，防火墙将限制外部网络向该服务器发起新连接，直到 连接数降到正常的范围。 使能防火墙对常见的网络攻击的防范。包括ARP Flood攻击防范功能、ARP 反向查询攻击防范功能、ARP欺骗攻击防范功能、1P欺骗攻击防范功能、Land 攻击防范功能、Smurf攻击防范功能、WinNuke攻击防范功能、Fragglc攻击防 范功能、Frag Flood攻击防范功能、SYN Flood攻击防范功能、ICMP Flood攻 击防范功能、UDP Flood攻击防范功能、ICMP重定向报文控制功能、ICMP不可 达报文控制功能、地址扫描攻击防范功能、端口扫描攻击防范功能、带源路由选 项IP报文控制功能、带路由记录选项IP报文控制功能＞Tracert报文控制功能、 Ping of Death攻击防范功能、Teardrop攻击防范功能、TCP报文合法性检测功 能、IP分片报文检测功能、超大ICMP报文控制功能等。 11?开启信息中心，配置Trust区域内的日志主机IP地址为X. X. X. X,打 开攻击防范的端口扫描攻击开关，将攻击的源地址加入黑名单，老化时间为10 分钟，并使能黑名单功能，并使能Trust域的IP岀方向报文统计。 任务3 两个小组合并为一个大组，其中一个小组的网络模拟为企业总部的网络，另 一个小组的网络模拟为分布在远地的企业下属机构的网络，用两台路由器模拟公 网，要求实现企业总部的网络和下属机构的网络通过公网实现远程安全互联。 注：即要求对流径公网的数据实现保密性和完整性。 任务4 针对此网络环境和用户需求，每组撰写一份网络安全解决方案书。 二、 组内成员 曹顺琴曹顺丽童知婷张芮郭绍文赵连鑫郭松超 三、 实验拓扑 四、实验过程及代码实现 1 ?区域划分、vlan规划和地址分配 Trust区域： vlan2: /24 vlan3: /24 vlan4: /24 vlan5: /24 /24用于接入路由器与防火墙 Dmz区域： /24 服务器 Untrust 区域： 00-06 公网注册 ip /24模拟外网网段 2.协议规划 本次实验所有三层设备均用rip路由协议实现全网互通，主要命令如下: rip network x.x.x.x mask x.x.x.x Dhcp 依照