网络安全实训报告书

1/17遵义师范学院计算机与信息科学学院实验报告（2012—2013学年第一学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院2/17目录1、项目背景..........................................................................32、项目总体目标...................................................................43、项目设计原则...................................................................54、项目需求分析...................................................................55、应用的服务及审计策略...................................................76、网络环境规划与审计设置.............................................127、实训总结与参考资料.....................................................163/171、项目背景某企业坐落在贵阳，由于今年发展迅速，规模不断扩展，在遵义开设了分公司。现该企业希望在需要时能把公司总部与分公司安全地连接在一起，共享公司总部与分公司的资源，并最大程度地保障公司的内部网络安全。目前各种病毒、网络攻击等安全事件频繁发生，已经成为企业安全的一个重要威胁；技术的突破，已经使各种病毒具有了黑客工具的性质，一旦企业被病毒感染，会自动打开相应的端口或服务，是企业的门户大开。而病毒通过互联网可以轻易的突破没有经过严密防护的企业内部网络，给企业带来各种威胁；开放服务、发出大量垃圾邮件或带病毒邮件等等。黑客或带黑客性质的病毒，不仅会破坏公司的运行环境，破坏机器上的数据，更有可能盗取几米的数据和信息！潜在的风险很难估计。然而，VPN技术的应用已经完善，公司的计算机网络可以采用最新的VPN技术实现分公司与总公司网络之间的安全广域网连接。由于总公司与分公司处于不同地方，所以信息数据的交换将会通过不信任的公网，因此，在总公司和分公司之间建立基于IPSEC的VPN的访问机制也将成为本系统的一个不可或缺的因素。防火墙系统，负责整个企业的边界防护，进行企业内部、外部沟通的安全桥梁，增加了防火墙系统，会将企业的安全防护级别提高一个层次，同时，还可以建立公司总部与分公司网路之间的VPN通道，更加合理、有效的利用公司现有资源，而不会造成信息泄露。4/172、项目总体目标（1）公司总部（贵阳）：公司总部存放该公司的所有重要资料，在要求内部资料安全的前提下要求尽量降低公司在网络安全方面的成本，所以本公司决定在公司的网络构建中采用微软的ISA防火墙对内外网络做一个安全的构建。为了内网网站的安全，公司总部采用专用CA服务器才可以访问localweb。公司的内部Web服务器构建网站，使用系统机器（安装ISA使之成为防火墙机器，一网卡连接外网提过服务，一网卡连接内网）对外提供http服务，该服务只是企业信息的推广窗口。公司安装了ftp服务器（FTP服务器只允许内部IP访问，不对外提供服务），并使用localweb的域名对内提供服务，并且在localweb中列出了ftp的服务资源为内部员工提供ftp下载服务，ftp域名为ftp.netsecurity.cn，并且localweb必须配置专用CA服务器进行证书验证。而且总公司的内部网络的机器只能访问互联网的网页，不允许ping包通过防火墙对任何机器进行探测。（2）分公司（遵义）：使用ISA防火墙保护公司内网的安全。并且由于核心资料均存放在总公司，为了确保分公司的计算机可以安全地从公司总部获取企业的经营资料，所以分公司的计算机在上班时间分公司必须通过vpn拨号连接总公司的vpn服务器才能进入公司总部的局域网以方便员工获取与业务工作有关的资料(其中用户名：HeadQuarterX，密码：groupY)。分公司的机器可以访问互联网，通过网页获取需要的信息与收发邮件，但必须通过身份验证（其中用户名：classX，密码：groupY），而且禁止访问国内视频网站，如优酷、土豆、搜狐视频、新浪视频、腾讯视频、奇艺等，此外，分公司还禁止使用QQ，MSN等聊天工具。（3）公共安全：1.审计为了保证对公司资源存取的监控，必须进行安全审计。2.共享限制在总公司与分公司均部署ColaSoft或者Wireshark对内部网的网络情5/17况进行监控。主要监控网络有无存在网络共享服务，一旦发现马上禁止，若内部网机器进行文件共享必须使用局域网共享软件，例如飞鸽、飞秋等。3.VPNVPN的接入方式必须使用双方自动互拨的方式。（4）总体目标:通过搭建实现一个高速、安全、可靠的网络结构，实现安全地信息高度共享、传递及管理，并通过与广域网的互联。3、项目设计原则1.经济实用性：采用ISA防火墙经济成本低，实用性强2.灵活性：vpn的建立使公司员工在外也能通过远程拨号进入总公司内部网络3.安全性：防火墙上配置相关策略保障公司内部网络安全4.限制：对公司员工权限进行规划，限制上班时间员工的个人娱乐活动5.可扩充性：在达到设计目标的前提下，网络应有良好的可扩充性，随着网络技术的不断发展和增加新的任务、扩充新的能力6.循序渐进性：保证前提工作没有出错，再进行后面更负责的服务器配置。7.安全保障：对用户的访问进行安全审计并对公司资源定期备份，避免被刻意删除。4、项目需求分析（1）公司总部（贵阳）：1.总公司的计算机可以访问互联网。（因为不允许ping包通过防火墙对任何机器进行探测。）2.内部Web服务器以http的方式对外提供服务6/173.使用localweb的域名对内提供服务，并且在localweb中列出了ftp的服务资源为内部员工提供ftp下载服务，ftp域名为ftp.netsecurity.cn，并且localweb必须配置专用CA服务器进行证书。4.为了确保分公司的计算机可以安全地从公司总部获取企业的经营资料，所以分公司的计算机必须通过vpn拨号连接总公司的vpn服务器才能进入公司总部的局域网(其中用户名：HeadQuarterX，密码：groupY)VPN的接入方式必须使用双方自动互拨的方式。5.公司内部不允许通过网络共享服务传输文件，文件的共享必须使用局域网共享软件，如飞鸽、飞秋等。6.设置安全审计，保证对公司资源存取的监控，防止公司文件的篡改。（2）分公司（遵义）：1.分公司的计算机可以访问互联网。通过网页获取需要的信息与收发邮件，但必须通过身份验证（其中用户名：BranchX，密码：groupY）2.分公司构建ISA防火墙对公司内部进行安全保护，不允许ping包通过防火墙对任何机器进行探测3.分公司内部机器禁止访问国内视频网站，如酷6、优酷、土豆、搜狐视频、新浪视频、腾讯视频、奇艺等。4.分公司禁止使用QQ，MSN等聊天工具。5.公司内部不允许通过网络共享服务传输文件，文件的共享必须使用局域网共享软件，如飞鸽、飞秋等6.分公司的计算机必须通过vpn拨号连接总公司的vpn服务器才能进入公司总部的局域网(其中用户名：HeadQuarterX，密码：groupY)7/17VPN的接入方式必须使用双方自动互拨的方式。5、应用的服务及审计策略一、下面是各个服务器的配置主要信息，详细的请看验证视频（1）web服务器:Web服务器是可以向发出请求的浏览器提供文档的程序。主要功能是提供网上信息浏览服务。只有当Internet上运行在其他计算机中的浏览器发出请求时，服务器才会响应。当Web浏览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件发送到该浏览器上，附带的信息会告诉浏览器如何查看该文件（即文件类型）。1、网站：上图是网站的配置截图，该网站主要是对外发布，宣传公司所用，该网站的成功发布的关键是一下DNS的设置，公司防火墙对网布发布的规则和非服务器发布规则的制定，制定规则为：2.Localweb网站：8/17（2）DNS服务器（2003-4）：DNS(DomainNameSystem，域名系统)是一种组织成层次结构的分布式数据库，里面包含有从DNS域名到各种数据类型(如IP地址)的映射。通过DNS，用户可以域名查找计算机和服务在网络上的位置。DNS域名分为多个部分，各部分之间用点分隔。最左边的是主机名，其余部分是该主机所属的DNS域。因此一个DNS名称应该表示为“主机名+DNS域”的形式。9/17注：总公司防火墙外网卡的ip,这样内网的网站就可以通过防火墙把网站发布到外网。（3）VPN服务器：vpn指的是在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，简单地说就是利用公网链路架设私有网络。把VPN服务器假设在总公司的防火墙上，如图所示：（4）FTP服务器（2003-3）:10/17使用文件传输协议(FTP)的通信服务器。提供可靠和高效的文件传输共享服务配置如图所示：5.认证证书（2003-3）：CA证书为实现双方安全通信提供了电子认证。申请页面截图如下：11/17二、审计策略和访问规则的介绍与说明（1）总公司防火墙的访问规则：（2）分公司防火墙的访问规则：（2）ftp站点审计策略的截图：：12/17基于ip地址（对文件进行审核）：6、网络环境规划与审计设置13/17客户机（以xp为例）地址设置如图：公司总部客户机。有一张网卡，连接公司总部防火墙，即防火墙1，ip是172.16.104.3，网关为172.16.4.11；WEB+CA+FTP（2003-3）地址设置如图：有一张网卡，连接公司总部防火墙，即防火墙1，ip是172.16.104.1，网关为172.16.4.11；DNS服务器（2003-4）地址设置如图：有一张网卡，连接公司总部防火墙，即防火墙1，ip是172.16.104.2，网关为172.16.4.11；14/17总公司防火墙（2003-1）地址设置如图：公司总部防火墙所在机器。有2张网卡，其中一张网卡连接internet，另外一张网卡连接公司总部内网。2张网卡的ip分别是10.1.4.11，网关10.1.4.1连接internet，172.16.4.11连接内网；虚拟路由器：（2003-5）地址设置如图：3张网卡的ip分别是192.168.0.199连接宿舍路由连向外网，10.1.4.1连接防火墙1，202.116.4.1连接防火墙2；15/17分公司防火墙（2003-2）地址设置如图：公司分部防火墙所在机器。有2张网卡，其中一张网卡连接internet，另外一张网卡连接公司分部内网。2张网卡的ip分别是202.116.4.11，网关202.116.4.1连接internet，192.168.4.11连接内网；16/17分公司客户机（XP-2）地址设置如图：分公司客户机。有一张网卡，连接公司总部防火墙，即防火墙1，ip是192.168.4.1，网关为192.168.4.11；7、实训总结与参考资料1.遇到问题与解决方法问题一：主机头的问题（因为对于一台web服务器。如果要提供2个网站的服务。而且是同一个ip和端口的话。访问ip时就无法正常访问网页了，然后就做了主机头用域名无法访问网页）17/17解决方法：在这里就必须要做主机头。还要在防火墙那里的访问规则的网页发布中的设置得勾上转发主机头问题二：VPN问题（配置完成后就是无法同时拨号，一般是只能一端拨上）解决方法：因为vpn建立点对点互拨时规则命名没有连接