网络安全工程实验指导书

6632004
1 ℃
2020-06-23

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

网络安全工程实验指导书适用专业：网络工程雷文编写四川理工学院计算机学院2010年3月网络安全工程实验指导书I目录课程简介···························································································1实验项目···························································································2第一部分必修实验·······································································2实验一：网络身份识别····························································2实验二：网络访问控制技术应用················································5实验三：中小型企业网络安全方案设计·······································8第二部分选修实验··············································································11实验一：VPN虚拟专用网设计·················································11实验二：网络攻击和应对·······················································14实验三：网络入侵检测··························································19实验四：端点防护································································29实验五：数字证书的申请·······················································31实验六：路由配置和简单的路由程序········································36网络安全工程实验指导书1课程简介一、实验课程教学性质和目的本课程为网络工程专业的专业课程，通过实验，学生可以掌握基本的信息保密技术的设计、实现等方法，以及具有一定的网络攻击防范能力和技术。二、实验基本要求1、理论联系实际，通过实验，准确掌握网络安全的基本范畴、实施方法和步骤；2、通过实验，熟练掌握各种网络互联设备的连接安全和安全配置；3、熟练运用各种网络安全技术进行一些典型的网络安全系统工程解决方案设计；4、每一个必修实验都具有综合性、设计性性质，每一个实验都必须先完成实验方案后才能进行实验，必须对方案的可靠性、实验结果进行分析。每个必修实验，均要完成相应的实验报告。三、实验项目设置本课程实验项目分为2部分：必修实验与选修实验。必修实验要求学生在《网络安全工程》课程学习期间，必须完成的实验环节内容，列为期末成绩考核；选修实验是供对本课程有较大兴趣的同学，在学习本课程之外，根据自己的实际情况，课外完成的实验内容，通过选作实验的学习，可以强化学生在该门课程以及扩展内容上的知识应用及问题解决能力。网络安全工程实验指导书2实验项目第一部分必修实验实验一：网络身份识别一．实验学时：2学时二．实验目的：基于用户身份的网络安全管理是目前的网络安全管理中的重要考虑之一，在实际的网络环境中被频繁的用到。通过网络身份识别实验，让实验者对网络的接入控制进行了全面了解，同时通过对用户的分类等工作让实验者有了系统的管理理念。三．实验内容：1．户分类规划及接入控制2．802.1x交换机接入认证3．802.1x无线网络接入认证4．于用户身份认证的动态VLAN分配5．基于用户身份认证的动态访问控制（ACL）四．实验参考拓扑图网络安全工程实验指导书3五．实验步骤：身份认证实验拓扑图：步骤一：配置路由器的IP地址。步骤二：将R1的s1接口改为ppp协议.并配置双向身份验证R1(config)#interserial1R1(config-if)#encapsulationpppR1(config-if)#exitR1(config)#hostnameR1R1(config)#usernameR2passwordciscoR1(config)#interfaceserial1R1(config-if)#pppauthentication[chap|pap]步骤三：将R2的S0改为PPP协议，并配置身份验证R2(config)#hostR2R2(config)#usernameR1passwordciscoR2(config)#interfaceserial0R2(config-if)#encapsulationpppR2(config-if)#pppauthentication[chap|pap]步骤四：确认双方是否可以PING通。步骤五：配置CHAP单向的身份验证,R2配置基础上添加一个新的用户R2(config)#usernamewypassword123步骤六：配置R1的PPP认证。R1(config)#interfaceserial1R1(config-if)#encapsulationpppR1(config-if)#pppchaphostnamewyR1(config-if)#pppchappassword123R1(config-if)#exit网络安全工程实验指导书4步骤七：确认双方是否可以PING通。步骤八：配置PAP的单向的身份验证，在原先的配置基础上将R2改为pap的认证R2(config)#interfaceserial0R2(config-if)#encapsulationpppR2(config-if)#pppauthenticationpapR2(config-if)#exit步骤九：配置R1的PPP认证R1(config)#interfaceserial1R1(config-if)#encapsulationpppR1(config-if)#ppppapsent-usernamewypassword123步骤十：确认双方是否可以PING通。网络安全工程实验指导书5实验二：网络访问控制技术应用一．实验学时：4学时二．实验目的：访问控制是各种网络访问机制的集合，通过这些这些机制使管理者可以针对网络中的流量，网络中的各种行为实行控制。通过网络访问控制实验，学生可以了解到在实际的网络管理中，如何去进行有效的网络行为和流量控制。三．实验内容：1）基于访问控制列表的网络访问控制；2）端口限速的网络访问控制；3）网络访问行为控制；4）基于端口的网络访问安全控制。除了包括IP标准ACL、IP扩展ACL、基于时间的ACL、MAC扩展ACL，还包括业界领先的专家级ACL、ACL80，学生可在该系列实验中学习到如何进行网络访问权限控制、基于交换机端口限速、冲击波等蠕虫病毒的控制等。四．实验参考拓扑图五．实验步骤本实验网络拓扑假设为某单位属于不同网段的三个部门：办公室、人事处和财务处，网络地址分别为172.16.1.0/24、172.16.2.0/24和172.16.3.0/24，如下图所示。其中，这三个部门之间通过路由实现数据的交换，但出于安全考虑，单位要求办公室的网络可以访问财务处的网络，而人事处无法访问财务处的网络，其他网络之间都可以实现互访。在路由器Router-A与Router-B之间配置静态路由协议。网络安全工程实验指导书61、路由器Router-A的基本配置。Router#configureterminal(进入“全局配置”模式)Router（config）#(已进入“全局配置”模式)Router（config）#hostnameRouter-A(将路由器的名称更改为“Router-A”)Router-A（config）#interfacefastethernet0/0（进入路由器fastethernet0/0端口配置模式）Router-A(config-if)#ipaddress192.168.0.1255.255.255.252（将路由器fastethernet0/0端口的地址配置为192.168.0.1，子网掩码为255.255.255.252，本网段只有两个合法的IP地址）Router-A(config-if)#noshutdown（开启路由器的fastethernet0/0端口）Router-A(config-if)#exit（返回全局配置模式）Router-A（config）#interfacefastethernet0/1（进入路由器fastethernet0/1端口配置模式）Router-A(config-if)#ipaddress172.16.1.1255.255.255.0（将路由器fastethernet0/1端口的地址配置为172.16.1.1，子网掩码为255.255.255.0）Router-A(config-if)#noshutdown（开启路由器的fastethernet0/1端口）Router-A(config-if)#exitRouter-A（config）#interfacefastethernet0/2Router-A(config-if)#ipaddress172.16.2.1255.255.255.0Router-A(config-if)#noshutdownRouter-A(config-if)#exit2、路由器Router-B的基本配置。Router#configureterminal(进入“全局配置”模式)Router（config）#(已进入“全局配置”模式)Router（config）#hostnameRouter-B(将路由器的名称更改为“Router-B”)Router-B（config）#interfacefastethernet0/0（进入路由器fastethernet0/0端口配置模式）Router-B(config-if)#ipaddress192.168.0.2255.255.255.252网络安全工程实验指导书7Router-B(config-if)#noshutdownRouter-B(config-if)#exitRouter-B（config）#interfacefastethernet0/1Router-B(config-if)#ipaddress172.16.3.1255.255.255.0Router-B(config-if)#noshutdownRouter-B(config-if)#exit3、路由器Router-A和Router-B上静态路由的配置。Router-A（config）#iproute172.16.3.0255.255.255.0192.168.0.2Router-B（config）#iproute172.16.1.0255.255.255.0192.168.0.1Router-B（config）#iproute172.16.2.0255.255.255.0192.168.0.14、在路由器Router-B上配置标准访问控制列表，名称为access-list10。Router-B（config）#access-list10deny172.16.2.00.0.0.255（拒绝来自172.16.2.0/24网段的流量通过）Router-B（config）#access-list10permit172.16.1.00.0.0.255（允许来自172.16.1.0/24网段的流量通过）5、将访问控制列表ACL应用到路由器Router-B的端口上。Rout