网络安全和管理实验报告

网络安全实验指导网络安全和管理实验指导书电子与信息工程系网络工程教研室2011-10-25网络安全实验指导实验一为一、实验目的1．加深并消化授课内容，掌握SSL的基本概念；2．了解并熟悉万维网服务器的配置；3．掌握在万维网服务器上部署SSL协议；二、实验要求1．掌握SecuritySocketLayer在应用层的作用；2．独立完成在万维网服务器上部署SSL；3．实验结束后，用统一的实验报告用纸编写实验报告。三、实验环境Windows2003企业版服务器+IIS服务，Linux企业版服务器+Apache服务四、实验内容1．Windows系统上部署万维网服务，并配置SSL2．Linux系统上部署万维网服务，并配置SSL五、实验步骤Windows系统上部署万维网服务，并配置SSL（1）颁发证书1.从“管理工具”程序组中启动“证书颁发机构”工具。2.展开证书颁发机构，然后选择“挂起的申请”文件夹。3.选择刚才提交的证书申请。4.在“操作”菜单中，指向“所有任务”，然后单击“颁发”。5.确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。6.在“详细信息”选项卡中，单击“复制到文件”，将证书保存为Base-64编码的X.509证书。7.关闭证书的属性窗口。8.关闭“证书颁发机构”工具。（2）在Web服务器上安装证书1.如果Internet信息服务尚未运行，则启动它。2.展开服务器名称，选择要安装证书的Web站点。3.右键单击该Web站点，然后单击“属性”。4.单击“目录安全性”选项卡。5.单击“服务器证书”启动Web服务器证书向导。6.单击“处理挂起的申请并安装证书”，然后单击“下一步”。7.输入包含CA响应的文件的路径和文件名，然后单击“下一步”。8.检查证书概述，单击“下一步”，然后单击“完成”。现在，已在Web服务器上安装了证书。网络安全实验指导（3）将资源配置为要求SSL访问此过程使用Internet服务管理器，将虚拟目录配置为要求SSL访问。为特定的文件、目录或虚拟目录要求使用SSL。客户端必须使用HTTPS协议访问所有这类资源。1.如果Internet信息服务尚未运行，则启动它。2.展开服务器名称和Web站点。（这必须是已安装证书的Web站点）3.右键单击某个虚拟目录，然后单击“属性”。4.单击“目录安全性”选项卡。5.单击“安全通信”下的“编辑”。6.单击“要求安全通道(SSL)”。7.单击“确定”，然后再次单击“确定”关闭“属性”对话框。8.关闭Internet信息服务。Linux系统上部署万维网服务，并配置SSL安装并设置具备SSL的Apache网站服务器1.创建rasref目录，在该目录提取文件。#mkdirrsaref-2.0#cdrsaref-2.0#gzip-d-c../rsaref20.tar.Z|tarxvf-2.配置并构造OpenSSL库。#cdrsaref-2.0#cp-rpinstall/unixlocal#cdlocal#make#mvrsaref.alibrsaref.a#cd../..3.安装OpenSSL。#cdopenssl-0.9.x#./config-prefix=/usr/local/ssl-L`pwd`/../rsaref-2.0/local/rsaref-fPIC4.配置MOD_SSL模块，然后用Apache配置指定它为一个可装载的模块。#cdmod_ssl-2.5.x-1.3.x#./configure--with-apache=../apache_1.3.x#cd..可以把更多的Apache模块加到Apache源代码树中。可选的--enable-shared=ssl选项使得mod_ssl网络安全实验指导构造成为一个DSO“libssl.so”。关于在Apache支持DSO的更多信息，阅读Apache源代码树中的INSTALL和htdocs/manual/dso.html文档。#cdapache_1.3.x#SSL_BASE=../openssl-0.9.xRSA_BASE=../rsaref-2.0/local./configure--enable-module=ssl--activate-module=src/modules/php4/libphp4.a--enable-module=php4--prefix=/usr/local/apache--enable-shared=ssl5.生成Apache，然后生成证书，并安装#make正确地完成，得到类似于以下的信息：+-----------------------------------------------------------------------+|BeforeyouinstallthepackageyounowshouldpreparetheSSL||certificatesystembyrunningthemakecertificatecommand.||Fordifferentsituationsthefollowingvariantsareprovided:||||%makecertificateTYPE=dummy(dummyself-signedSnakeOilcert)||%makecertificateTYPE=test(testcertsignedbySnakeOilCA)||%makecertificateTYPE=custom(customcertsignedbyownCA)||%makecertificateTYPE=existing(existingcert)||CRT=/path/to/your.crt[KEY=/path/to/your.key]||||UseTYPE=dummywhenyou'reavendorpackagemaintainer,||theTYPE=testwhenyou'reanadminbutwanttodotestsonly,||theTYPE=customwhenyou'reanadminwillingtorunarealserver||andTYPE=existingwhenyou'reanadminwhoupgradesaserver.||(ThedefaultisTYPE=test)||||AdditionallyaddALGO=RSA(default)orALGO=DSAtoselect||thesignaturealgorithmusedforthegeneratedcertificate.||||UsemakecertificateVIEW=1todisplaythegenerateddata.||||ThanksforusingApache&mod_ssl.RalfS.Engelschall||rse@engelschall.com|网络安全实验指导||+-----------------------------------------------------------------------+网络安全实验指导实验二NAT地址转换一、实验目的1．加深并消化授课内容，理解NAT的作用；2．掌握NAT网络地址转换的方法；3．掌握NAT服务在网络设备上的配置方法。二、实验要求1．掌握NAT的网络地址转换的原理；2．熟悉在路由器上使用NAT服务；3．熟悉Windows服务器上使用NAT服务三、实验环境Cisco路由器；Windows2003企业版服务器四、实验内容1．静态地址转换2．动态地址转换3．复用动态地址转换。4．Windows2000Server的网络地址翻译五、实验步骤1．静态地址转换（1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入：Ipnatinsidesourcestatic内部本地地址内部合法地址（2）、指定连接网络的内部端口在端口设置状态下输入：ipnatinside（3）、指定连接外部网络的外部端口在端口设置状态下输入：ipnatoutside2．动态地址转换（1）、在全局设置模式下，定义内部合法地址池ipnatpool地址池名称起始IP地址终止IP地址子网掩码其中地址池名称可以任意设定。（2）、在全局设置模式下，定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。Access-list标号permit源地址通配符其中标号为1-99之间的整数。（3）、在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。ipnatinsidesourcelist访问列表标号pool内部合法地址池名字网络安全实验指导（4）、指定与内部网络相连的内部端口在端口设置状态下：ipnatinside（5）、指定与外部网络相连的外部端口Ipnatoutside3．复用动态地址转换。（1）、在全局设置模式下，定义内部合地址池ipnatpool地址池名字起始IP地址终止IP地址子网掩码其中地址池名字可以任意设定。（2）、在全局设置模式下，定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。access-list标号permit源地址通配符其中标号为1－99之间的整数。（3）、在全局设置模式下，设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。ipnatinsidesourcelist访问列表标号pool内部合法地址池名字overload（4）、在端口设置状态下，指定与内部网络相连的内部端口ipnatinside（5）、在端口设置状态下，指定与外部网络相连的外部端口ipnatoutside4．Windows2000Server的网络地址翻译（1）、连接Internet网卡的IP由ISP提供。（2）、连接内部网网卡的IP地址需要以下配置：IP地址：192.168.0.1子网掩码：255.255.255.0默认网关：无（3）、客户机的IP地址的配置为：IP地址：192.168.0.x(可设为同一网段内的任一独立的IP)子网掩码：255.255.255.0默认网关：192.168.0.1（4）、在“路由和远程访问”控制台中，用鼠标右键单击域服务器，从弹出的快捷菜单中选择“配置并启用路由和远程访问”选项，打开“路由和远程访问服务器安装向导”对话框。（5）、在路由和远程访问服务器安装向导中，选择用于“Internet连接服务器”的选项，以及用来安装带有网络地址转换(NAT)路由协议的路由器的选项。（6）、接下来要定义好哪块网卡连接Internet。网络安全实验指导（7）、至此所有配置工作已经全部完成，下面需要测试能不能连接内网和外网。网络安全实验指导实验三IPSec的配置一、实验目的1．加深并消化授课内容，理解VPN的作用；2．掌握在VPN中部署IPSec的方法；3．掌握IPSec在网络设备上的配置方法。二、实验要求1．掌握虚拟专用网的原理；2．熟悉在路由器上使用VPN服务；3．熟悉使用IPSec的虚拟专用网的接入方式三、实验环境路由器2台四、实验内容假设你是公司的网络管理员，公司因业务的扩大，建立了一个分公司，因为公司的业务数据重要，公司的总部与分公司传输数据时需要加密，采用IPSecVPN技术对数据进行加密。五、实验步骤1．路由器基本配置。R1(config)#R1(config)#interfacefastEthernet0/0R1(config-if)#ipaddress101.1.1.1255.255.255.252R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceLoopback0R1(config-if)#ipaddress10.1.1.1255.255.255.0R1(config-if)#noshutdownR1(config-if)