网络安全与管理系统设计与架构

1实验报告课程名称：网络安全与管理系统设计与架构学院：信息科学与工程学院专业：网络工程13班级：2013级姓名：林靖皓学号：2013010516162016年7月3日山东科技大学教务处制2实验报告组别16姓名林靖皓同组实验者实验项目名称实验一SSL实验实验日期第8周周二7,8节教师评语实验成绩指导教师廉文娟一、实验目的了解SSL是Netscape公司发明的一种用于WEB的安全传输协议。随着时间的推移由于Netscape失去了市场份额，它将SSL的维护工作移交给因特网工程任务组（IETF）。第一个后Netscape版本被重新命名为安全传输层协议（TLS），TLS(TransportLayerSecurity:RFC2246)是基于SSL上研发的，但是与SSLv3.0有细微的差别。二、实验环境Windows下SSLVPN的网络拓扑如图3.3.3-1所示，其中：客户端：本地主机(WindowsXP)，IP地址172.22.1.X服务端：Windows实验台VPN服务器，IP地址：172.22.X.X/16，内网IP为172.20.X.X/16二、实验步骤一、根据实验拓扑配置环境根据实验环境中的拓扑图，配置服务器(Windows实验台)与客户端(本地主机)的IP地址。3二、安装与配置这一部分是服务端跟客户端都要做的工作，操作完全相同。具体如下：双击openvpn-2.0.9.exe进行安装，点击NEXT、IAgree、NEXT之后开始选择安装路径，手动修改为C:\ProgramFiles\OpenVPN。点击Install开始安装，安装过程如图3.3.3-2所示；安装过程中，弹出硬件安装窗口，点击仍然继续，安装虚拟网卡。点击next、Finish完成安装。三、VPN服务器初始化配置在进行操作之前，首先进行初始化工作：打开命令提示符：“开始|运行”，键入cmd，回车，进入命令提示符；或者“开始|程序|附件|命令提示符”；进入C:\ProgramFiles\openvpn\easy-rsa目录下，开始初始化，具体命令如下：cdC:\ProgramFiles\openvpn\easy-rsainit-configvarsclean-all如下图：上面是初始化工作，以后，在进行证书制作工作时，仍旧需要进行初始化，但只需要进入openvpn\easy-rsa目录，运行vars就可以了，不需要上面那些步骤了。四、服务器证书的制作(1)生成根证书输入build-ca.bat，如图所示；4输入build-dh.bat，如图所示。(2)生成服务端密钥输入build-key-serverserver，生成服务端密钥；生成服务端密钥的过程中，所填写的commonname需要与build-ca中所输入的commonname名称一致，其余的摁空格选择默认或手动输入皆可；具体如图所示。(3)生成客户端密钥输入build-keyclient1生成第一个VPN客户端密钥，如图所示；5build-keyclient2//可以继续配置第二个VPN客户端密钥；生成的密钥存放于C:\ProgramFiles\openvpn\easy\rsa\keys目录下。五、配置服务器在C:\ProgramFiles\OpenVPN\easy-rsa\keys目录下，将生成的“ca.crt”、“dh1024.pem”、“server.crt”、“server.key”复制到C:\ProgramFiles\OPENVPN\KEY目录下（如果没有可以自己创建）,这四个文件是VPN服务端运行所需要的文件。注：“ca.crt”“dh1024.pem”“server.crt”“server.key”这四个文件是VPN服务端运行所需要的文件。“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件在C:\ProgramFiles\OpenVPN\config目录下创建server.ovpn，服务器端文件(server.ovpn)示例：local172.22.1.X#建立VPN的IPport443#端口号，根据需要，自行修改，如果是用http代理连接，请不要修改prototcp-server#通过TCP协议连接devtap#win下必须设为tapserver172.20.0.0255.255.0.0#虚拟局域网网段设置，请根据需要自行修改，不支持和拔号网卡位于同一网段pushroute0.0.0.00.0.0.0#表示client通过VPNSERVER上网keepalive20180caC:\\ProgramFiles\\OPENVPN\\KEY\\ca.crt#CA证书存放位置，请根据实际情况自行修改certC:\\ProgramFiles\\OPENVPN\\KEY\\server.crt#服务器证书存放位置，请根据实际情况自行修改keyC:\\ProgramFiles\\OPENVPN\\KEY\\server.key#服务器密钥存放位置，请根据实际情况自行修改dhC:\\ProgramFiles\\OPENVPN\\KEY\\dh1024.pem#dh1024.pem存放位置，请根据实际情况自行修改6pushredirect-gatewaydef1pushdhcp-optionDNS219.141.140.10#DNS，请根据实际情况自行修改modeservertls-serverstatusC:\\ProgramFiles\\OPENVPN\\log\\openvpn-status.log#LOG记录文件存放位置，请根据实际情况自行修改comp-lzoverb4六、配置客户端“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件，复制到客户端C:\ProgramFiles\OPENVPN\KEY目录下（如果没有可以自己创建）。在客户端安装完成之后，需要将ca.crtclient1.crtclient1.key这三个文件拷贝到C:\ProgramFiles\openvpn\key目录下，这三个文件由服务端生成，所以，连接谁的服务器，就需要跟谁索取这三个文件。然后，编辑一个client.ovpn的配置文件存放到C:\ProgramFiles\openvpn\config目录下，客户端就可以进行连接了；客户端文件(client.ovpn)示例：七、VPN服务端命令行启动:Openvpn.exeC:\ProgramFiles\OpenVPN\config\server.ovpn//启动VPN到443端口八、VPN客户端命令行连接:Openvpn.exeC:\ProgramFiles\OpenVPN\config\client.ovpn九、VPN安全性验证上面的配置拔号成功后，VPNSERVER的IP为172.20.1.Y，VPNclient的IP为172.20.1.Y。(1)在VPNclient上pingVPNSERVER；(2)分别抓取真实网卡与虚拟网卡的数据包作对比。具体结果如下：(1)真实网卡：抓取的为加密ssl数据包(图3.3.3-8为实际环境举例)。三、实验总结需要多练多问多百度7实验报告组别16姓名林靖皓同组实验者实验项目名称实验二Linux防火墙实验日期第9周周二7,8节教师评语实验成绩指导教师廉文娟1、了解防火墙的主要类型2、了解和用CLI配置CBAC(IOS有状态的包检查)3、了解和用CLI和SDM配置区域（Zone-Based）策略防火墙二1网络中包括两个子网A和B。子网A的网络地址为192.168.1.0/24hostA。HostAeth0和eth1。Eth0连接子网AIP地址为192.168.1.1。eth1连接外Ip地址为10.0.0.11。子网B的网络地址为192.168.10.0/24hostB。HostB有两个eth0和eth1。eth0连接子网B,IP地址为192.168.10.1。eth1连接外部网IP地址为10.0.0.101。hostA和HostB构成子网C,网络地址是10.0.0.0/24连接到hostChostC连接Internet。HostC的内部网络接口为eth0IP地址为10.0.0.1。2在hostA、hostB和hostC上都已经安装好LinuxhostC上已经设置好了Squid代理服务器。三、实验内容8开始配置(1)查看本机关于IPTABLES的设置情况[root@tp~]#iptables-L-n可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.如果你在安装linux时没有选择启动防火墙,是这样的[root@tp~]#iptables-L-n(2)清除原有规则.不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则[root@tp~]#iptables-X清除预设表filter中使用者自定链中的规则[root@tp~]#/etc/rc.d/init.d/iptablessave这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.[root@tp~]#serviceiptablesrestart现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧(3)设定预设规则[root@tp~]#iptables-pINPUTDROP[root@tp~]#iptables-pOUTPUTACCEPT[root@tp~]#iptables-pFORWARDDROP上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.(4)添加规则.首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链为了能采用远程SSH登陆,我们要开启22端口.[root@tp~]#iptables-AINPUT-ptcp--dport22-jACCEPT[root@tp~]#iptables-AOUTPUT-ptcp--sport22-jACCEPT(注:这个规则,如果你把OUTPUT设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:[root@tp~]#iptables-AOUTPUT-ptcp--sport80-jACCEPT,其他同理.)如果做了WEB服务器,开启80端口.[root@tp~]#iptables-AINPUT-ptcp--dport80-jACCEPT9如果做了邮件服务器,开启25,110端口.[root@tp~]#iptables-AINPUT-ptcp--dport110-jACCEPT[root@tp~]#iptables-AINPUT-ptcp--dport25-jACCEPT如果做了FTP服务器,开启21端口[root@tp~]#iptables-AINPUT-ptcp--dport21-jACCEPT[root@tp~]#iptables-AINPUT-ptcp--dport20-jACCEPT如果做了DNS服务器,开启53端口[root@tp~]#iptables-AINPUT-ptcp--dport53-jACCEPT如果你还做了其他的服务器,需要开启哪个端口,