网络安全技术课程设计报告.doc

1、信息工程系课程设计报告书20152016学年第2学期系 部:信息工程系专 业：计算机网络专业班 级：14计算机网络1班课程名称：网络安全技术姓名学号：起 迄 日 期:6月10日6月24日课程设计地点:实验楼C211指 导 教 师:庄晓华下达任务书日期: 2015 年 06月 16 日一、 内容要求独立设计一个小型网络的安全方案，采用的安全技术可以包括以下几种：加密技术、认证技术、VPN技术、防火墙技术、防病毒系统等局域网核心服务功能。其中必须用Packet Tracer实现的功能为防火墙技术的配置与管理或网络安全隔离。二、 评分标准(一）网络安全方案评分标准 （40分）网络安全方案及测试报告（

2、40分）1、网络安全方案2000字（30分）1） 相关概念定义准确.（10分）2） 安全方案叙述完整清晰。（10分)3）设计合理，符合实际应用需求。（10分)2、测试报告（10分） 确定测试结果是否符合设计要求,完成测试总结报告。（二）网络设备系统配置评分标准（60 分）1、系统设计(10分)1、在Packet Tracer中实现，要求：网络设备选型合理，（5分）2、网络设备连接，要求：正确使用连接介质(5分）。2、网络设备配置（40分）1、 PC机、服务器配置，要求：能作必要TCP/IP属性设置（10分）2、 网络设备接口配置，要求：正确配置端口，实现网络连通.(10分）3、 网络安全配置，

3、要求：实现设定的网络安全防护（20分)3、安全防护测试（10分）使用正确测试方法，步骤完整。（10分)三、 设计要求：1、所有PC机的默认网关地址中第四个数为学生学号，如“a.b.c.学号”（注意：PC机的地址不能与此默认网关地址冲突）。2、所有网络设备、PC机的名称以学生姓名开头，如“azgSW1”。四、 设计成果形式及要求：1、 提交网络安全方案（。doc文档）,文件命名格式：学号姓名.doc, 如01安志国。doc.2、 提交Packet Tracer文档（.pkt文档），文件命名格式：学号姓名。pkt， 如01安志国。pkt.3、 抄袭他人设计内容者成绩定为不及格.4、 提交大作业时间

4、：17周周五。（企业网、政府网、校园网、电子商务网)网络安全方案（2000字)防火墙技术的配置与管理在路由器中配置访问控制列表实现包过滤技术，可以利用PacketTracer5软件完成配置任务。要求: 利用PacketTracer5画图并连线； 配置各主机和设备的IP地址，WEB服务器开启HTTP服务； 配置路由器各接口地址、默认路由、通过ACL+NAT的配置使得A、B和C主机可以NAT后访问外网主机D，A、B和C可利用内网地址192。168。2.100地址去访问WEB服务器，外部主机D也可以访问WEB服务器但是通过公网地址访问;配置ACL功能，仅不允许主机B与主机D进行ICMP通信.F2/0

5、:200.1.1.100+x/29路由器内部主机网络IP地址：192.168.1.0/24WEB服务器互联网内部主机网络IP地址：192.168.2.100/24F1/0:192.168.2.100+xF0/0:192.168.1.100+x外部网络主机IP地址:200.1.1.2/29ABCD下面为利用PacketTracer5软件画完的网络图.需要注意的是如图中所示红色的连线说明可能是物理没有连通，经检查发现使用了直通线（Copper StraightThrough），这里要选择交叉铜线(Copper CrossOver）。2、配置各主机和设备的的IP地址,WEB服务器开启HTTP服务配置

6、各主机对应的IP及网关地址。 路由器内网接口F0/0的IP地址为192。168。1。100+x。 A、B、C对应IP为192.168.1.2192.168。1。4，掩码都是255.255.255.0，网关都是192。168.1。100+x; 路由器外网接口F2/0的IP地址为200.1.1.100+x，掩码也是24位,此子网内的主机IP地址为:200。1。1。1-200.1.1。6。单击图中的主机,选择Desktop可以对主机配置IP地址网关等信息。 D主机模拟公网上的主机，IP地址为200.1。1。2，掩码为29位，即255。255.255。0,为了检查到NAT的效果不要配置网关. 路由器内

7、网接口F1/0的IP地址为192。168。2.100+x。WEB服务器的配置3、路由器包过滤及NAT的配置 配置路由器各接口地址、默认路由、通过ACL+NAT的配置使得ABC主机可以NAT后访问外网主机D并可利用内网地址192。168.2.100地址去访问WEB服务器(公网使用200.1。1.3的IP地址)，外部主机D可以访问WEB服务器。 对路由器的配置使用show run命令进行查看，部分关键配置如下，可用于配置的实施参考:r1#show runhostname r1interface FastEthernet0/0 ip address 192。168.1。100+x 255.255。2

8、55。0 ip accessgroup 110 in /符合110列表的规则数据包进行F0/0时进行相应的访问控制ip nat inside /接口F0/0为NAT地址转换的内部 interface FastEthernet1/0 ip address 192。168。2。100+x 255。255。255.0 ip nat inside /接口F1/0为NAT地址转换的内部 interface FastEthernet2/0 ip address 200.1.1。100+x 255。255。255。0 ip nat outside /接口F2/0为NAT地址转换的外部 accesslist

9、10 permit 192.168.1。0 0.0.0。255 /定义NAT的源地址access-list 10 permit 192.168.2.0 0.0.0.255 /定义NAT的源地址ip nat inside source list 10 interface FastEthernet2/0 overload /对于列表10中定义的源地址进行动态超载NAT（PAT）转换，并都转换为F2/0接口的公网地址200.1。1.100+x：端口号ip nat inside source static 192。168。2。100 200.1。1.3 /定义WEB服务器的静态转换access-lis

10、t 110 deny icmp host 192。168。1.3 host 200.1。1.2 /禁止主机B与主机D进行ICMP通信access-list 110 permit ip any any /允许B主机以外的主机进行IP通信r1#1、配置路由器三个局域网接口2、配置NAT/PAT3、配置包过滤ACL4、显示运行配置文件1、对NAT转换的检查与测试 在主机A上Ping主机D,正常为连通状态，但主机D上Ping主机A是不通的（NAT屏蔽了内部主机）。检查结果如下图所示（截图），说明NAT动态转换是设置正确。2、对WEB服务器访问的检查与测试 分别在A主机和D主机上访问WEB服务器，A访问WEB服务器的内网IP地址为192。168.2.100，而D主机WEB服务器的外网NAT静态转换后的IP地址为200.1.1.3如下(截图）所示。说明对WEB服务器的一对一静态NAT转换配置正确。3、对包过滤ACL功能的检查与测试分别在主机B和主机A上Ping主机D，检查连通性，配置正确后，B应该无法与D进行基于ICMP协议的通信，而A、C和路由器接口的IP都可以与D进行基于ICMP协议的通信。