项目十二 网络安全综合实验

项目十二网络安全综合实验【实验名称】整网安全综合实验【实验目的】掌握网络安全设备及软件如何实现全网的安全控制【背景描述】青山软件公司网络在部署的初期接入功能部署齐备，包括百兆以太网在公司内网的部署及无线网络在公司的部署，使得公司内部员工无处不“网”。随着业务开展的越来越好，员工越来越多，网络设备也越来越多，渐渐地公司网络的现状给网管小刘带来很多烦恼。由于公司网络没有经过细致的规划，这样公司员工在公司各个网络接口均能上网，用户接入网络的身份无法确定，无线网络的部署经常可以发现有陌生的主机接入，这给软件公司的信息安全带来了隐患。公司的WEB服务器为内部员工提供大量的机密信息，但是WEB服务器暴露在公网上，信息安全也是大问题，除此之外，公司部署了防火墙后，仅仅开启了NAT的功能，并未能起到安全的作用，因此网管小刘倍感压力，不得已向锐捷公司工程师小王求助。小王得知事情后迅速制定解决方案，但这时另一个意外发生了……小刘打来电话说，一个员工上班时间登陆163网站玩游戏，被公司老总发现，老总盛怒之下要求禁止所有员工访问，虽然小刘向老总解释了这样做不能解决根本问题，可是解释反而让老总怀疑小刘的技术能力，坚持让小刘按照他的想法来做……到了帮助小刘解决问题的时候了。【需求分析】需求1：网络设备越来越多，公司网络的现状给网管小刘带来很多烦恼。分析1：由于网络设备的增多，网管员的维护工作量也就越来越多，传统的解决办法是实地解决，即拿着笔记本到设备的控制台口插拔线，这样呢工作效率低下。如何解决呢？建议采用网管软件对全网设备进行统一的管理，例如锐捷的star-view。可以在本案例中采用此软件解决网络维护量大的问题，因为网管软件可以通过一台网管终端实现对全网的轻松管理。需求2：用户接入网络的身份无法确定，无线网络的部署经常可以发现有陌生的主机接入，这给软件公司的信息安全带来了隐患。分析2：由于该公司前期网络建设并没有考虑到用户入网身份的合法性验证，从而导致了后期可能存在的非法用户访问网络的安全事件。如何处理呢？在这里建议用户采用用户入网身份验证的方法，采用安全认证计费系统SAM来实现，因为SAM系统是业界运用最广泛的认证计费系统，同时对于无线网络的用户也要进行入网认证，做到认证无处不在。需求3：公司的WEB服务器为内部员工提供大量的机密信息，但是WEB服务器暴露在公网上，信息安全是大问题分析3：由于软件公司的产品是软件信息，一旦泄漏源代码，造成的损失不可估量，所以要把用户与服务器通信过程中的信息进行安全保护，如何实现呢？这里建议增加两台VPN设备，建立虚拟专网进行信息安全的保障，这样对外访问就变得象访问内网一样安全方便。需求4：公司部署了防火墙后，仅仅开启了NAT的功能，并未能起到安全的作用。分析4：在网络初期部署时未能将防火墙的关键功能启用，造成设备不能物尽所能。建议在防火墙上增加相应的规则，进行常见病毒攻击的防护。需求5：老总要求禁止所有员工访问：本需求可以在防火墙上进行URL的过滤，并且可以进一步进行关键字的过滤。【实验拓扑】如图12-1所示网络拓扑是青山软件公司企业网络拓扑，为实现网络安全设备及软件对全网的安全控制，根据其网络应用和功能在实验室中搭建的网络环境，具体应用的设备和地址信息的规划详见其上。图12-1青山软件公司企业网络实现安全控制【实验设备】RG-WALL1001台RG-WALLV502台RG-S3550-241台RG-S2126G1台RG-P-7801台SAM软件1套服务器2台star-view1套PC3台RG-WG5U1块Supplicant2.451套【预备知识】VPN原理、NAT原理、IEEE802.1x原理防火墙原理、防火墙高级过滤、SNMP基本原理【实验步骤】第一步：交换机802。1x认证配置及VLAN间路由A、S2126G相关配置S2126G(config)#radius-serverhost192.168.100.100！！！指定验证服务器地址S2126G(config)#aaaauthenticationdot1x！！！指定主机验证方式为802.1xS2126G(config)#aaaaccoutingserver192.168.100.100！！！指定记账服务器地址S2126G(config)#interfacefastEthernet0/11S2126G(config-if)#switchportaccessvlan10S2126G(config-if)#dot1xport-controlauto！！！在接口下打开802.1x认证S2126G(config-if)#exitS2126G(config)#interfacefastEthernet0/12S2126G(config-if)#switchportaccessvlan20S2126G(config-if)#dot1xport-controlautoS2126G(config-if)#exitS2126G(config)#interfacefastEthernet0/13S2126G(config-if)#switchportaccessvlan30S2126G(config-if)#dot1xport-controlautoS2126G(config)#intvlan1S2126G(config-if)#noshS2126G(config-if)#ipaddress192.168.1.21255.255.255.0S2126G(config-if)#exitS2126G(config)#interfacevlan10S2126G(config-if)#exitS2126G(config)#interfacefastEthernet0/24S2126G(config-if)#switchportmidetrunkS2126G(config)#ipdefault-gateway192.168.1.1！！！为交换机指定网关B、S3550相关配置s3550(config)#interfacefastEthernet0/2s3550(config-if)#switchportaccessvlan100s3550(config-if)#exits3550(config)#interfacefastEthernet0/3s3550(config-if)#switchportaccessvlan100s3550(config-if)#exits3550(config)#interfacefastEthernet0/24s3550(config-if)#switchportmodetrunks3550(config-if)#exits3550(config)#interfacevlan1s3550(config-if)#ipaddress192.168.1.1255.255.255.0s3550(config-if)#exits3550(config)#vlan10s3550(config-vlan)#exits3550(config)#interfacevlan10s3550(config-if)#ipaddress192.168.10.1255.255.255.0s3550(config-if)#exits3550(config)#vlan20s3550(config-vlan)#exits3550(config)#interfacevlan20s3550(config-if)#ipadd192.168.20.1255.255.255.0s3550(config-if)#exits3550(config)#vlan30s3550(config-vlan)#exits3550(config)#intvlan30s3550(config-if)#ipadd192.168.30.1255.255.255.0s3550(config-if)#exits3550(config)#intvlan100s3550(config-if)#ipadd192.168.100.1255.255.255.0s3550(config-if)#exits3550(config)#iproute0.0.0.00.0.0.0vlan1192.168.1.2541enabledC、无线AP的基本配置1、指定AP所在的网段，如图12-2所示。图12-2指定AP所在的网段2、查看配置已生效，如图12-3所示图12-3查看AP配置信息3、指定无线信道为6，并指定频段为2.4G，如图12-4所示图12-4指定无线AP配置信道4、将所有配置生效，如图12-5所示图12-5查看AP配置信息验证测试：各个VLAN间主机能够PING通第二步：防火墙的配置A、接口配置，如图12-6所示图12-6防火墙的接口配置B、防火墙上的NAT转换，如图12-7所示图12-7防火墙上的NAT转换配置C、，如图12-8所示图12-8防火墙上的路由配置D、防火墙上配置防止蠕虫攻击首先定义蠕虫攻击的服务端口：策略-服务，如图12-9所示图12-9防火墙上配置防止蠕虫攻击然后禁用该服务：策略-规则-加入新规则，如图12-10所示图12-10防火墙上配置新规则E、定义URL过滤1、登陆防火墙进行URL的配置，如图12-11所示图12-11防火墙进行URL的配置策略选项ÆURL阻断选项2、启用URL功能，定义你所要阻断的域名，点击确定，如图12-12所示图12-12防火墙配置阻断的域名3、定义一个类别，也可以应用原来的默认设置。如图12-13所示图12-13防火墙定义类别4、编辑新定义的类别，把你已经定义的阻断列表添加到类别包含的阻断列表中，点击确定！如图12-14所示图12-14防火墙编辑新定义类别5、在类别界面看到结果，点击确定！如图12-15所示图12-15防火墙编辑新定义类别6、在规则中引用URL规则，如图12-16所示图12-16防火墙中引用URL规则策略选项Æ规则选项7、选定要添加过滤条件的规则，如图12-17所示图12-17防火墙中添加过滤条件8、在规则选项中选择刚才定义的URL阻断类别，双击两下就显示在规则当中了，点击确定！如图12-18所示图12-18防火墙中定义的URL阻断类别9、在规则中定义关键字过滤，如图12-19所示图12-19防火墙中定义关键字过滤把规则选项中的keyword选项中点开，如图12-20所示图12-20防火墙中keyword选项选择设置关键字过滤，如图12-21所示图12-21防火墙中设置关键字过滤设置完后的效果，点击确定！验证测试，如图12-22所示图12-22验证测试防火墙配置当在测试PC上通过IE浏览器打开网站的时候，出现如上的提示！这是URL过滤成功的显示！如图12-23所示图12-23验证测试防火墙URL过滤配置当在测试PC上通IE浏览器的打开这个含有“news”关键字的域名的时候，出现如上的提示！由此证明关键字过滤功能也是成功的。第三步：VPN的隧道配置A、VPNa配置，如图12-24、图12-25、图12-26所示图12-24VPN隧道配置静态路由图12-25VPN隧道接口配置图12-26VPN隧道配置静态路由指定对端的地址，如图12-27所示图12-27VPN隧道对端地址配置建立隧道，如图12-28、图12-29所示图12-28建立VPN隧道图12-29建立VPN隧道验证测试：VPNA与VPNB第二阶段协商成功，如图12-30所示图12-30VPNA与VPNB协商成功B、VPNb配置将VPNb设置为网桥模式，如图12-31所示图12-31配置VPNb网桥模式配置信息，如图12-32所示图12-32VPNb网桥模式配置信息验证测试：VPNA与VPNB第二阶段协商成功，如图12-33所示图12-33VPNA与VPNB协商成功信息第四步：配置SAM