实训7-网络安全的监控与维护

实训7网络安全的监控与维护一、实训目的在企业网络中实施安全监控二、实训环境三台服务器级裸机，确保硬件满足安装WindowsServer2003的最小需求，其中一台安装双网卡；一台客户端裸机，确保硬件满足安装WindowsXP的最小需求。WindowsServer2003标准版安装光盘、WindowsXPProfessional安装光盘，ISAServer2004中文企业版安装光盘。同时确保网络连接正常。三、用户需求假设外部网络中有两台服务器，一台为WEB服务器，域名为，IP为172.168.1.1；一台为DNS服务器，IP为172.168.1.2。内部网络只有一台客户机，IP为192.168.1.10。现要在第三台服务器上安装并配置防火墙，实现内部网络对外部网络中WEB服务器的访问（通过域名访问）。四、设计方案防火墙所在的服务器上要有双网卡，分别用于连接外部网络（IP为172.168.1.3）和内部网络（IP为192.168.1.1），防火墙软件使用ISAServer，防火墙客户端使用SecureNAT客户端，通过在ISAServer中配置访问规则实现内网对外网的访问。五、实施步骤专业姓名学号09秋计算机专科一、在DNS服务器上为WEB服务器添加域名解析，域名为。步骤如下：P144（3）答：1、在PC上安装DNS服务器，其方法为：“开始”“设置”“控制面板”“添加或删除程序”“添加或删除Windows组件”选择“网络服务”单击“详细信息”按钮选中“域名系统（DNS）”。然后，开始安装。2、打开DNS管理控制台，其方法为：单机“开始”“管理工具”“DNS”。3、创建DNS区域，其方法为：右键单击“正向查找区域”“新建区域”选择“主要区域”在“区域名称”中输入“abc.com”两次单机【下一步】单击【完成】。4、创建主机记录，其方法为：右键单击区域“abc.com”“新建主机”在“名称”中输入“”，在“IP地址”中输入“172.168.1.1”单击【添加主机】。二、在服务器上配置内外部网卡的信息，安装ISAServer防火墙软件。步骤如下：P117（3）答：1、为了使用方便，将两台计算机的两个网卡名称分别命名为：“LAN”和“WAN”。2、设置这台计算机的两个网卡的IP地址，假设企业内部网络的网络IP为：192.168.1.0，子网掩码为：255.255.255.0。那么，可以把名称为“LAN”的网卡的IP地址设置为：192.168.1.200；此外，假设企业已经申请了一个公共IP地址，假设为：131.107.1.200（子网掩码：255.255.0.0），那么可以把名称为“WAN”的网卡的IP地址设置为：131.107.1.200。3、将防火墙软件CD放入光驱中，以便自动启动安装程序，或者直接执行CD内的ISAAutorun.exe程序。4、单击：“安装ISAServer防火墙软件”5、在“欢迎使用MicrosoftISAServer防火墙软件的安装向导”中，单击【下一步】。6、在“许可协议”画面中选择“我接受许可协议中的条款”，单击【下一步】。7、在“客服信息”画面中输入“用户名”、“单位”和“产品序列号”后，单击【下一步】8、在“安装类型”中，选择“典型，单击【下一步】。9、在“内部网络”画面中，需要添加内部网络的IP地址范围，由于ISAServer需要知道哪些IP地址的范围是内部，即需要被保护的，所以，在这里必须指定内部网络的IP地址范围。请单击【添加】。10、添加内部网络的IP地址范围的方法有多种，在这里单击【添加适配器】，这样就可以直接通过选中该计算机连接内部网络的网卡，从而让系统自动把该网卡所连接的内部网络地址范围添加进去。11、在“选择网络适配器”画面中，选中该计算机连接内部网络的网卡名称，即LAN，然后，单击【确定】。12、这时，就会显示出根据所选网络适配器而自动构建的网络的IP地址范围，单击【确定】。13、单击【下一步】14、在“防火墙客户端连接”画面中，选择是否支持早期版本的防火墙客服端。ISAServer2000之后的防火墙客服端支持数据加密，安全性更好。因此，如果在内部网络中不存在早期版本的防火墙客服端，请不要选择“允许不加密的防火墙客服端连接”，而是直接单击【下一步】。15、在随后的“服务警告”画面中，显示将要被重启和禁用的服务，单击【下一步】。16、在“可以安装程序了”画面中，单击【安装】。17、出现“安装向导完成”画面时，单击【完成】。三、在内网的客户机上配置SecureNAT客户端，步骤如下：1、客户机IP为192.168.1.10，子网掩码255.255.255.02、将客户机网关设为内网网卡IP地址192.168.1.13、DNS服务器为172.168.1.2四、在ISAServer上创建访问规则，操作为“允许”，协议为“所有出站通讯”，访问源为“内部”，访问目标为“外部”，用户集为“所有用户”。具体步骤如下：P139（3）答：1、单击左窗格中的“防火墙策略”，然后单击任务窗格的“任务”选项卡，接着单击“创建访问规则”。2、在“欢迎使用新建访问规则向导”画面中输入访问规则的名称，然后单击【下一步】。3、在“规则操作”窗口中，选择“允许”，然后单击【下一步】。4、在“协议”窗口中，单击下拉式箭头，可以看到3个选项。如果选择“所有出站通讯”，则意味着ISAServer将允许所有由内部网络到Internet的访问流量。如果选择“所选的协议”，那么还需要单击【添加】按钮来添加协议，ISAServer将只允许被添加的协议流量可以传出；显然，如果允许传出的协议数量较少时，建议选择此项。如果选择“除选择以外的所有出站通讯”，那么还需要单击【添加】按钮来添加协议，不过ISAServer将禁止这些协议流量的传出而开放其他协议流量的传出；显然，如果禁止传出的协议数量较少时，建议选择此项。5、单击【添加】按钮来添加协议，然后单击“通用协议”中选择“PING”，然后单击【添加】按钮。如果还需要添加其他协议，则可以继续选择协议，然后单击【添加】按钮，否则按【关闭】按钮。接着单击【下一步】。6、在“访问规则源”的画面中，选择发送方，请单击【添加】按钮。单击“网络”，从中选择“内部”，然后单击【添加按钮】。如果还需要添加其他网络对象，可以再选择网络对象，继续单击【添加】按钮，否则按【关闭】按钮。接着，在左图中单击【下一步】。7、在“访问规则目标”的画面中，选择接收方，请单击【添加】按钮。单击“网络”，从中选择“内部”，然后单击【添加按钮】。如果还需要添加其他网络对象，可以再选择网络对象，继续单击【添加】按钮，否则按【关闭】按钮。接着，在左图中单击【下一步】。8、在“用户集”的画面中，可以选择特定的用户从而仅允许指定的用户账户可以访问。默认时，已经选择了“所有用户”，这意味着：允许S额cureNAT客户端上的匿名用户使用PING命令访问Internet。如果希望限定用户身份，请单击【添加】按钮，在右图选择已有的用户集，或者在右图中单击“新建”从而新创建一个满足要求的用户集。接着，在左图中单击【下一步】。9、在“正在完成新建访问规则向导”画面中，单击【完成】。10、在弹出的警告窗口中，单击【应用】按钮，使该访问规则生效。六、项目验收结论验收合格。