1、遵義師范學院計算機與信息科學學院實 驗 報 告（20122013學年第一學期 ）課程名稱： 網(wǎng)絡安全實驗 班 級： 學 號： 姓 名： 任課教師： 計算機與信息科學學院目 錄1、項目背景22、項目總體目標33、項目設計原則54、項目需求分析55、應用的服務及審計策略66、網(wǎng)絡環(huán)境規(guī)劃與審計設置137、實訓總結(jié)與參考資料171、項目背景某企業(yè)坐落在貴陽，由于今年發(fā)展迅速，規(guī)模不斷擴展，在遵義開設了分公司。現(xiàn)該企業(yè)希望在需要時能把公司總部與分公司安全地連接在一起，共享公司總部與分公司的資源，并最大程度地保障公司的內(nèi)部網(wǎng)絡安全。 目前各種病毒、網(wǎng)絡攻擊等安全事件頻繁發(fā)生，已經(jīng)成為企業(yè)安全的一個重要威

2、脅；技術(shù)的突破，已經(jīng)使各種病毒具有了黑客工具的性質(zhì)，一旦企業(yè)被病毒感染，會自動打開相應的端口或服務，是企業(yè)的門戶大開。而病毒通過互聯(lián)網(wǎng)可以輕易的突破沒有經(jīng)過嚴密防護的企業(yè)內(nèi)部網(wǎng)絡，給企業(yè)帶來各種威脅；開放服務、發(fā)出大量垃圾郵件或帶病毒郵件等等。黑客或帶黑客性質(zhì)的病毒，不僅會破壞公司的運行環(huán)境，破壞機器上的數(shù)據(jù)，更有可能盜取幾米的數(shù)據(jù)和信息！潛在的風險很難估計。然而，VPN技術(shù)的應用已經(jīng)完善，公司的計算機網(wǎng)絡可以采用最新的VPN技術(shù)實現(xiàn)分公司與總公司網(wǎng)絡之間的安全廣域網(wǎng)連接。由于總公司與分公司處于不同地方，所以信息數(shù)據(jù)的交換將會通過不信任的公網(wǎng)，因此，在總公司和分公司之間建立基于IPSEC的VP

3、N的訪問機制也將成為本系統(tǒng)的一個不可或缺的因素。防火墻系統(tǒng)，負責整個企業(yè)的邊界防護，進行企業(yè)內(nèi)部、外部溝通的安全橋梁，增加了防火墻系統(tǒng)，會將企業(yè)的安全防護級別提高一個層次，同時，還可以建立公司總部與分公司網(wǎng)路之間的VPN通道，更加合理、有效的利用公司現(xiàn)有資源，而不會造成信息泄露。2、項目總體目標（1）公司總部（貴陽）：公司總部存放該公司的所有重要資料，在要求內(nèi)部資料安全的前提下要求盡量降低公司在網(wǎng)絡安全方面的成本，所以本公司決定在公司的網(wǎng)絡構(gòu)建中采用微軟的ISA防火墻對內(nèi)外網(wǎng)絡做一個安全的構(gòu)建。為了內(nèi)網(wǎng)網(wǎng)站的安全，公司總部采用專用CA服務器才可以訪問localweb。公司的內(nèi)部Web服務器構(gòu)建

4、網(wǎng)站，使用的域名用一臺雙網(wǎng)卡的windows2003系統(tǒng)機器（安裝ISA使之成為防火墻機器，一網(wǎng)卡連接外網(wǎng)提過服務，一網(wǎng)卡連接內(nèi)網(wǎng)）對外提供http服務，該服務只是企業(yè)信息的推廣窗口。公司安裝了ftp服務器（FTP服務器只允許內(nèi)部IP訪問，不對外提供服務），并使用localweb的域名對內(nèi)提供服務，并且在localweb中列出了ftp的服務資源為內(nèi)部員工提供ftp下載服務，ftp域名為，并且localweb必須配置專用CA服務器進行證書驗證。而且總公司的內(nèi)部網(wǎng)絡的機器只能訪問互聯(lián)網(wǎng)的網(wǎng)頁，不允許ping包通過防火墻對任何機

5、器進行探測。（2）分公司（遵義）：使用ISA防火墻保護公司內(nèi)網(wǎng)的安全。 并且由于核心資料均存放在總公司，為了確保分公司的計算機可以安全地從公司總部獲取企業(yè)的經(jīng)營資料，所以分公司的計算機在上班時間分公司必須通過vpn撥號連接總公司的vpn服務器才能進入公司總部的局域網(wǎng)以方便員工獲取與業(yè)務工作有關(guān)的資料 (其中用戶名：HeadQuarterX，密碼：groupY) 。分公司的機器可以訪問互聯(lián)網(wǎng)，通過網(wǎng)頁獲取需要的信息與收發(fā)郵件，但必須通過身份驗證（其中用戶名：classX，密碼：groupY），而且禁止訪問國內(nèi)視頻網(wǎng)站，如優(yōu)酷、土豆、搜狐視頻、新浪視頻、騰訊視頻、奇藝等，此外，分公司還禁止使用QQ

6、，MSN等聊天工具。（3）公共安全： 1. 審計為了保證對公司資源存取的監(jiān)控，必須進行安全審計。 2.共享限制在總公司與分公司均部署ColaSoft或者Wireshark對內(nèi)部網(wǎng)的網(wǎng)絡情況進行監(jiān)控。主要監(jiān)控網(wǎng)絡有無存在網(wǎng)絡共享服務，一旦發(fā)現(xiàn)馬上禁止，若內(nèi)部網(wǎng)機器進行文件共享必須使用局域網(wǎng)共享軟件，例如飛鴿、飛秋等。3.VPNVPN的接入方式必須使用雙方自動互撥的方式。（4）總體目標:通過搭建實現(xiàn)一個高速、安全、可靠的網(wǎng)絡結(jié)構(gòu)，實現(xiàn)安全地信息高度共享、傳遞及管理，并通過與廣域網(wǎng)的互聯(lián)。3、項目設計原則1. 經(jīng)濟實用性：采用ISA防火墻經(jīng)濟成本低，實用性強 2. 靈活性：vpn的建立使公司員工在外

7、也能通過遠程撥號進入總公司內(nèi)部網(wǎng)絡 3. 安全性：防火墻上配置相關(guān)策略保障公司內(nèi)部網(wǎng)絡安全 4. 限制：對公司員工權(quán)限進行規(guī)劃，限制上班時間員工的個人娛樂活動 5. 可擴充性：在達到設計目標的前提下，網(wǎng)絡應有良好的可擴充性，隨著網(wǎng)絡技術(shù)的不斷發(fā)展和增加新的任務、擴充新的能力 6. 循序漸進性：保證前提工作沒有出錯，再進行后面更負責的服務器配置。 7. 安全保障：對用戶的訪問進行安全審計并對公司資源定期備份，避免被刻意刪除。4、項目需求分析（1）公司總部（貴陽）：1. 總公司的計算機可以訪問互聯(lián)網(wǎng)。（因為不允許ping包通過防火墻對任何機器進行探測。）2. 內(nèi)部Web服務器以http的方式對外提

8、供服務3. 使用localweb的域名對內(nèi)提供服務，并且在localweb中列出了ftp的服務資源為內(nèi)部員工提供ftp下載服務，ftp域名為，并且localweb必須配置專用CA服務器進行證書。4. 為了確保分公司的計算機可以安全地從公司總部獲取企業(yè)的經(jīng)營資料，所以分公司的計算機必須通過vpn撥號連接總公司的vpn服務器才能進入公司總部的局域網(wǎng)(其中用戶名：HeadQuarterX，密碼：groupY)VPN的接入方式必須使用雙方自動互撥的方式。5. 公司內(nèi)部不允許通過網(wǎng)絡共享服務傳輸文件，文件的共享必須使用局域網(wǎng)共享軟件，如飛鴿、飛秋等。6. 設置安全審計

9、，保證對公司資源存取的監(jiān)控，防止公司文件的篡改。（2）分公司（遵義）：1. 分公司的計算機可以訪問互聯(lián)網(wǎng)。通過網(wǎng)頁獲取需要的信息與收發(fā)郵件，但必須通過身份驗證（其中用戶名：BranchX，密碼：groupY）2. 分公司構(gòu)建ISA防火墻對公司內(nèi)部進行安全保護，不允許ping包通過防火墻對任何機器進行探測3. 分公司內(nèi)部機器禁止訪問國內(nèi)視頻網(wǎng)站，如酷6、優(yōu)酷、土豆、搜狐視頻、新浪視頻、騰訊視頻、奇藝等。4. 分公司禁止使用QQ，MSN等聊天工具。5. 公司內(nèi)部不允許通過網(wǎng)絡共享服務傳輸文件，文件的共享必須使用局域網(wǎng)共享軟件，如飛鴿、飛秋等6. 分公司的計算機必須通過vpn撥號連接總公司的vpn服

10、務器才能進入公司總部的局域網(wǎng)(其中用戶名：HeadQuarterX，密碼：groupY)VPN的接入方式必須使用雙方自動互撥的方式。5、應用的服務及審計策略一、下面是各個服務器的配置主要信息，詳細的請看驗證視頻（1）web服務器: Web服務器是可以向發(fā)出請求的瀏覽器提供文檔的程序。 主要功能是提供網(wǎng)上信息瀏覽服務。只有當Internet上運行在其他計算機中的瀏覽器發(fā)出請求時，服務器才會響應。 當Web瀏覽器（客戶端）連到服務器上并請求文件時，服務器將處理該請求并將文件發(fā)送到該瀏覽器上，附帶的信息會告訴瀏覽器如何查看該文件（即文件類型）。1、網(wǎng)站：上圖是ww

11、網(wǎng)站的配置截圖，該網(wǎng)站主要是對外發(fā)布，宣傳公司所用，該網(wǎng)站的成功發(fā)布的關(guān)鍵是一下DNS的設置，公司防火墻對網(wǎng)布發(fā)布的規(guī)則和非服務器發(fā)布規(guī)則的制定，制定規(guī)則為：2.Localweb網(wǎng)站：（2）DNS服務器（2003-4）：DNS(Domain Name System，域名系統(tǒng))是一種組織成層次結(jié)構(gòu)的分布式數(shù)據(jù)庫，里面包含有從DNS域名到各種數(shù)據(jù)類型(如IP地址)的映射。通過DNS，用戶可以域名查找計算機和服務在網(wǎng)絡上的位置。DNS域名分為多個部分，各部分之間用點分隔。最左邊的是主機名，其余部分是該主機所屬的DNS域。因此一個DNS名稱應該表示為“主機名+DNS域”

12、的形式。注：總公司防火墻外網(wǎng)卡的ip,這樣內(nèi)網(wǎng)的網(wǎng)站就可以通過防火墻把網(wǎng)站發(fā)布到外網(wǎng)。（3）VPN服務器：vpn指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術(shù)。整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺，簡單地說就是利用公網(wǎng)鏈路架設私有網(wǎng)絡。把VPN服務器假設在總公司的防火墻上，如圖所示：（4）FTP服務器（2003-3）:使用文件傳輸協(xié)議(FTP)的通信服務器。提供可靠和高效的文件傳輸共享服務配置如圖所示：5.認證證書（2003-3）：CA證書為實現(xiàn)雙方安全通信提供了電子認證。申請頁面截圖如下：二、審計策略和訪問規(guī)則的介紹與說明

13、（1）總公司防火墻的訪問規(guī)則：（2）分公司防火墻的訪問規(guī)則：（2）ftp站點審計策略的截圖：基于ip地址（對文件進行審核）：6、網(wǎng)絡環(huán)境規(guī)劃與審計設置客戶機（以xp為例）地址設置如圖：公司總部客戶機。有一張網(wǎng)卡，連接公司總部防火墻，即防火墻1，ip是，網(wǎng)關(guān)為1；WEB+CA+FTP（2003-3）地址設置如圖：有一張網(wǎng)卡，連接公司總部防火墻，即防火墻1，ip是，網(wǎng)關(guān)為1；DNS服務器（2003-4）地址設置如圖：有一張網(wǎng)卡，連接公司總部防火墻，即防火墻1，ip是，網(wǎng)關(guān)為172.16.

14、4.11；總公司防火墻（2003-1）地址設置如圖：公司總部防火墻所在機器。有2張網(wǎng)卡，其中一張網(wǎng)卡連接internet，另外一張網(wǎng)卡連接公司總部內(nèi)網(wǎng)。2張網(wǎng)卡的ip分別是1，網(wǎng)關(guān)連接internet，1連接內(nèi)網(wǎng)；虛擬路由器：（2003-5）地址設置如圖：3張網(wǎng)卡的ip分別是99連接宿舍路由連向外網(wǎng)，連接防火墻1，連接防火墻2；分公司防火墻（2003-2）地址設置如圖：公司分部防火墻所在機器。有2張網(wǎng)卡，其中一張網(wǎng)卡連接internet，另外一張網(wǎng)卡連接公司分部內(nèi)網(wǎng)。2張網(wǎng)卡的ip分

15、別是1，網(wǎng)關(guān)連接internet，1連接內(nèi)網(wǎng)；分公司客戶機（XP-2）地址設置如圖：分公司客戶機。有一張網(wǎng)卡，連接公司總部防火墻，即防火墻1，ip是，網(wǎng)關(guān)為1；7、實訓總結(jié)與參考資料1. 遇到問題與解決方法問題一：主機頭的問題（因為對于一臺web服務器。如果要提供2個網(wǎng)站的服務。而且是同一個ip和端口的話。訪問ip時就無法正常訪問網(wǎng)頁了，然后就做了主機頭用域名無法訪問網(wǎng)頁）解決方法：在這里就必須要做主機頭。還要在防火墻那里的訪問規(guī)則的網(wǎng)頁發(fā)布中的設置得勾上轉(zhuǎn)發(fā)主機頭問題二：VPN問題（

16、配置完成后就是無法同時撥號，一般是只能一端撥上）解決方法：因為vpn建立點對點互撥時規(guī)則命名沒有連接的驗證用戶同名的 ，于是將vpn的規(guī)則命名和驗證用戶名相同問題三：CA服務器問題（老是無法打開申請證書的頁面）解決方法：因為在安裝web服務器的時候沒有安裝支持asp，卸載重裝，還安裝支持asp。 2. 實訓總結(jié)：在這一個學期的網(wǎng)絡安全實驗課中，通過這次課程的實訓，我們能將課堂上學習的知識在試驗中得到驗證，加深對相關(guān)知識點的理解。不僅掌握了網(wǎng)絡安全維護中常用的工具以及方法，進一步深入理解了網(wǎng)絡安裝維護中涉及到的概念。同時，我們能夠綜合評估一個網(wǎng)絡中的安全隱患以及提供出相應的解決方案。也許你了解各種軟件以及服務器的應用以及配置，可是，只有通過上機的實踐，才會發(fā)現(xiàn)并非自己想象中的那么簡單容易，當你按照自己的想象加上自己理解的理論，覺得是這么做了，但是，當你實踐你的想法的時候，一切都是那么的與想法相斥，有時候因