网络安全技术课程设计报告.doc

信息工程系 课程设计报告书 2015—2016学年第2学期 系 部: 信息工程系 专 业： 计算机网络专业 班 级： 14计算机网络1班 课程名称： 网络安全技术 姓名学号： 起 迄 日 期: 6月10日—6月24日 课程设计地点: 实验楼C211 指 导 教 师: 庄晓华 下达任务书日期: 2015 年 06月 16 日 一、 内容要求 独立设计一个小型网络的安全方案，采用的安全技术可以包括以下几种：加密技术、认证技术、VPN技术、防火墙技术、防病毒系统等局域网核心服务功能。其中必须用Packet Tracer实现的功能为防火墙技术的配置与管理或网络安全隔离。 二、 评分标准 (一）网络安全方案评分标准 （40分） 网络安全方案及测试报告（40分） 1、网络安全方案2000字（30分） 1） 相关概念定义准确.（10分） 2） 安全方案叙述完整清晰。（10分) 3）设计合理，符合实际应用需求。（10分) 2、测试报告（10分） 确定测试结果是否符合设计要求,完成测试总结报告。 （二）网络设备系统配置评分标准（60 分） 1、系统设计(10分) 1、在Packet Tracer中实现，要求：网络设备选型合理，（5分） 2、网络设备连接，要求：正确使用连接介质(5分）。 2、网络设备配置（40分） 1、 PC机、服务器配置，要求：能作必要TCP/IP属性设置（10分） 2、 网络设备接口配置，要求：正确配置端口，实现网络连通.(10分） 3、 网络安全配置，要求：实现设定的网络安全防护（20分) 3、安全防护测试（10分） 使用正确测试方法，步骤完整。（10分) 三、 设计要求： 1、所有PC机的默认网关地址中第四个数为学生学号，如“a.b.c.学号” （注意：PC机的地址不能与此默认网关地址冲突）。 2、所有网络设备、PC机的名称以学生姓名开头，如“azgSW1”。 四、 设计成果形式及要求： 1、 提交网络安全方案（。doc文档）,文件命名格式：学号姓名.doc, 如01安志国。doc. 2、 提交Packet Tracer文档（.pkt文档），文件命名格式：学号姓名。pkt， 如01安志国。pkt. 3、 抄袭他人设计内容者成绩定为不及格. 4、 提交大作业时间：17周周五。 （企业网、政府网、校园网、电子商务网)网络安全方案（2000字) 防火墙技术的配置与管理 在路由器中配置访问控制列表实现包过滤技术，可以利用PacketTracer5软件完成配置任务。 要求: ① 利用PacketTracer5画图并连线； ② 配置各主机和设备的IP地址，WEB服务器开启HTTP服务； ③ 配置路由器各接口地址、默认路由、通过ACL+NAT的配置使得A、B和C主机可以NAT后访问外网主机D，A、B和C可利用内网地址192。168。2.100地址去访问WEB服务器，外部主机D也可以访问WEB服务器但是通过公网地址访问; ④配置ACL功能，仅不允许主机B与主机D进行ICMP通信. F2/0:200.1.1.100+x/29 路由器 内部主机网络 IP地址：192.168.1.0/24 WEB服务器 互联网 内部主机网络 IP地址：192.168.2.100/24 F1/0:192.168.2.100+x F0/0:192.168.1.100+x 外部网络主机 IP地址:200.1.1.2/29 A B C D 下面为利用PacketTracer5软件画完的网络图.需要注意的是如图中所示红色的连线说明可能是物理没有连通，经检查发现使用了直通线（Copper Straight—Through），这里要选择交叉铜线(Copper Cross—Over）。 2、配置各主机和设备的的IP地址,WEB服务器开启HTTP服务 配置各主机对应的IP及网关地址。 ① 路由器内网接口F0/0的IP地址为192。168。1。100+x。 ② A、B、C对应IP为192.168.1.2—192.168。1。4，掩码都是255.255.255.0，网关都是192。168.1。100+x; ③ 路由器外网接口F2/0的IP地址为200.1.1.100+x，掩码也是24位,此子网内的主机IP地址为:200。1。1。1-200.1.1。6。单击图中的主机,选择Desktop可以对主机配置IP地址网关等信息。 ④ D主机模拟公网上的主机，IP地址为200.1。1。2，掩码为29位，即255。255.255。0,为了检查到NAT的效果不要配置网关. ⑤ 路由器内网接口F1/0的IP地址为192。168。2.100+x。WEB服务器的配置 3、路由器包过滤及NAT的配置 配置路由器各接口地址、默认路由、通过ACL+NAT的配置使得ABC主机可以NAT后访问外网主机D并可利用内网地址192。168.2.100地址去访问WEB服务器(公网使用200.1。1.3的IP地址)，外部主机D可以访问WEB服务器。 对路由器的配置使用show run命令进行查看，部分关键配置如下，可用于配置的实施参考: r1#show run hostname r1 interface FastEthernet0/0 ip address 192。168.1。100+x 255.255。255。0 ip access—group 110 in //符合110列表的规则数据包进行F0/0时进行相应的访问控制 ip nat inside //接口F0/0为NAT地址转换的内部 interface FastEthernet1/0 ip address 192。168。2。100+x 255。255。255.0 ip nat inside //接口F1/0为NAT地址转换的内部 interface FastEthernet2/0 ip address 200.1.1。100+x 255。255。255。0 ip nat outside //接口F2/0为NAT地址转换的外部 access—list 10 permit 192.168.1。0 0.0.0。255 //定义NAT的源地址 access-list 10 permit 192.168.2.0 0.0.0.255 //定义NAT的源地址 ip nat inside source list 10 interface FastEthernet2/0 overload //对于列表10中定义的源地址进行动态超载NAT（PAT）转换，并都转换为F2/0接口的公网地址200.1。1.100+x：端口号 ip nat inside source static 192。168。2。100 200.1。1.3 //定义WEB服务器的静态转换 access-list 110 deny icmp host 192。168。1.3 host 200.1。1.2 //禁止主机B与主机D进行ICMP通信 access-list 110 permit ip any any //允许B主机以外的主机进行IP通信 r1# 1、配置路由器三个局域网接口 2、配置NAT/PAT 3、配置包过滤ACL 4、显示运行配置文件 1、对NAT转换的检查与测试 在主机A上Ping主机D,正常为连通状态，但主机D上Ping主机A是不通的（NAT屏蔽了内部主机）。检查结果如下图所示（截图），说明NAT动态转换是设置正确。 2、对WEB服务器访问的检查与测试 分别在A主机和D主机上访问WEB服务器，A访问WEB服务器的内网IP地址为192。168.2.100，而D主机WEB服务器的外网NAT静态转换后的IP地址为200.1.1.3如下(截图）所示。说明对WEB服务器的一对一静态NAT转换配置正确。 3、对包过滤ACL功能的检查与测试 分别在主机B和主机A上Ping主机D，检查连通性，配置正确后，B应该无法与D进行基于ICMP协议的通信，而A、C和路由器接口的IP都可以与D进行基于ICMP协议的通信。