信息职业技术学院安全实验室建设方案.doc

信息职业技术学院安全实验室建设方案信息职业技术学院安全实验室建设方案目录1概述31.1需求分析31.1.1现状描述41.1.2设计误区41.1.3必要性分析51.2建设目标51.3建设原则62某网络安全实验室解决方案72.1网络拓补结构72.2分区描述和部署方式82.2.1网络接入区82.2.2安全实验A区92.2.3安全实验B区92.3方案特点92.4设备清单103实验样例113.1DDOS攻击与防护113.1.1SYN Flood攻击与防护113.1.2UDP Flood攻击与防护133.1.3 CC攻击与防护153.2WEB服务器应用层攻防样例173.2.1 SQL注入攻防样例173.2.2缓冲区溢出193.2.3目录遍历攻击213.3通用防火墙样例233.3.1访问型VPN实验样例233.3.2站点到站点VPN实验样例253.3.3访问控制实验样例263.4入侵检测攻防样例283.4.1 DDOS攻击入侵预警283.4.2端口扫描291概述越来越多的高校开始关注到网络安全这个专业，并且都开始逐步的进行网络安全实验室的建设，但在网络安全实验室的建设中，各高校的建设思路都各不相同，有的高校在进行网络安全实验室建设的时候把攻防实验放在了首位，有的高校将加密技术作为了网络安全实验室的建设重点，更多的高校对于网络安全实验室还在进一步的观望中。那么应该如何建设网络安全实验室，网络安全实验室的建设内容应该包括哪些方面，某作为国内领先的网络实验室解决方案提供商，针对高校用户的网络实验室需求推出了模块化全面的网络安全实验室解决方案。网络安全实验室解决方案的特点在于，在安全实验室解决方案中，并不是因为某一个安全技术才来进行网络安全实验室的搭建，整个网络安全实验室的搭建应该考虑从实际网络应用出发。结合网络的现状以及目前流行的网络安全技术来进行实验室的搭建。通过网络安全实验室，让学生和研究人员不但可以知道什么是网络安全问题，如何去应对这个网络安全问题，直观、全方位地了解各种网络设备的操作及其应用环境，加深对网络原理、协议、标准的理解，同时最重要的是在整个网络安全实验室中，实验者通过学习可以很清楚的了解如何进行有效的网络安全设计从而来避免网络风险的发生以及在网络安全事件发生的第一时刻，如何去有效的解决应对安全问题。1.1需求分析伴随互联网作为的信息交流工具，在人们日常生活中起着重要作用，随着上网人数的增长，互联网上内容也海量增长。正常互联网数据通信在给人展带们来极大的方便的同时，垃圾流量、信息垃圾、入侵、篡改、病毒、虚假广告、色情、暴力、赌博等有害信息也在互联网上日益增长。随着技术的不断发展，新的攻击技术会不断涌现，新的应对技术也会随之产生。正是在这样的背景下，我们在建设网络安全实验室时，应该保证学生的学习、实践内容与互联网的发展保持同步，让学生随时能接触到网络前沿攻防技术，使学生的专业实习能力得到更快的提高及激发他们学习的兴趣。同时，让学生和研究人员不但知道如何应对各种安全问题，而且能够清楚如何进行有效的网络安全设计，规避各种网络安全问题。1.1.1现状描述目前国内虽然已经有一些的高校都已经开设了网络安全专业、同时也有很多高校在准备开设网络安全专业，但我们发现在这些高校中有决大多数的学校都没有进行网络安全实验，甚至有的学校都没有网络实验室，不开设网络安全实验课，只讲授理论。同样，某信息职业技术学院也是这种情况，虽然开设有网络安全课程，却没有网络安全实验室，那么学生的实际动手能力会大大折扣，同时对于网络安全也没有一个实质性的接触，对于攻防实验，攻击技术、工具以及防御措施，甚至是如何规避网络安全问题，都很难做到清晰的认识。1.1.2设计误区国内很多高校，在开设网络安全课程时，往往容易走进一个误区。这个误区可以从两方面来分析：一是网络安全实验室的建设误区，另一个是网络安全课程设计上的误区。网络安全实验室的建设误区很多学校在建设网络安全实验室的时候都会走进一个误区，往往会把攻防、信息加密作为网络安全实验室的建设内容。这其实是一个相对局部的网络安全实验室，因为在这样的环境下锻炼出来的学生他只会很偏重于这一个方面的安全技术动手能力，对于其他方面的了解和能力会大大减弱。在实际的网络环境中，一个安全事件的处理和解决，需要你全方位的了解网络中的相关信息，而不是针对某个方面的了解。所以在建设网络安全实验室的时候，我们要考虑到建设的大局观，让实验室者可以更多的了解到网络中的动态。网络安全课程设计上的误区在很多学校的网络安全课程设计中，往往我们把网络安全定义到应对的课程上去了，也就是我们花了大量的时候和精力来告诉我们的实验者，你应该如何应对这些问题，但我们没有想过我们应该如何去规避这些问题，通过网络的合理设计来实现这个目标。1.1.3必要性分析网络安全应该是一个体系化的课程，针对同一个问题我们可以有多种解决方案，同时针对同一个问题，我们有多种手段来规避。通过建设网络安全实验室，让学生具备这种解决问题和规避问题的能力，是我们开设网络安全课程的目的。而目前国内很多高校的现状：l 缺乏适合网络实验教学的师资力量网络安全实验教学师资是目前网络安全实验室教学中的一个重要环节，但目前的网络安全师资由于前期缺乏相应的环境进行实验，所以需要有一个好的环境来保障网络安全教学师资的提升。l 缺乏网络实验教学的专用教材目前市面上面的网络安全教材很多，但绝大部分都是以理论为主，并没有针对性的网络安全实验，这也是网络安全实验开展困难的主要问题。 因此，要达到我们开设网络安全课程的目的，建设网络安全实验室的必要性也就不言而喻了。1.2建设目标l 人才培养当前的社会需要高素质的毕业生，尤其需要具有实际动手能力和解决问题能力的应用型人才。网络安全作为目前最为热门的网络技术，如何将这些抽象的网络技术，采用实物化的网络实验教学，有效地加深学生对网络技术的理解，提高动手能力和实际环境中发现问题、解决问题的能力。同时通过某的抗DDOS流量清洗实验，让实验者不光能学习到如何进行网络安全事件的处理同时也能清楚的了解通过哪些方式可以杜绝这些安全事件的发生。l 科技创新网络安全技术作为一门发展性的技术，需要相关技术人员能及时的进行知识的更新，同时针对网络安全技术的科研人员，也可以通过网络安全实验室这个平台来进行网络安全领域的技术研究。l 贡献社会网络作为一个开放的平台，它的安全状态越来越受到关注；整个网络环境越来越糟糕，需要有大量专业的网络安全技术人员来投入到信息安全的保卫战中，通过提高学生的网络安全实战经验可以很好的提高整个网络的安全水平。l 学校增辉网络安全作为时下最为热门的专业，学校通过为社会输送高素质的应用型的网络安全人才，以及开发出有价值的科研成果，可以大大提高学校的知名度和美誉度，从而扩大生源、吸引优秀师资力量加盟，为学校的品牌建设做出重大贡献。1.3建设原则l 高可靠性。网络实验系统的稳定可靠是应用系统正常运行的前提保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。使得网络在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。l 标准性及开放性。通讯协议和接口符合国际标准，支持国际上通用标准的网络协议（如TCP/IP）、 国际标准的开放协议，有利于保证与其他网络在之间的平滑连接互通。方便接入不同厂商的设备和网络产品。在网络中，即使有多个网络和多应用并存，采用统一的标准，也能使这些网络能融合到一起，实现业务整合及数据集中。l 灵活性及可扩展性。根据未来业务的增长和变化，网络可以平滑的扩充和升级，最大程度的减少对网络架构和现有设备的调整。易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。l 先进性。学校作为最前沿学科和技术研究场所，要求网络实验室要配备最先进的网络设备，能够开展最新技术的科研，教学和实践活动，对网络实验室的设备，网络方案的技术先进性要求非常高。l 可管理性。对网络实行集中监测，分权管理，并统一分配宽带资源。选用先进的网络管理平台，具有对设备、软件、接口等的管理，流量统计分析，及可提供故障自动报警。整个实验室平台可以进行远程控制。l 安全性。制订统一的安全策略，整体考虑实验平台的安全性。可以通过各业务子网隔离，统一规划，根据不同的业务划分子网。具有保证系统安全，防止系统被人为破坏的能力。2某网络安全实验室解决方案2.1网络拓补结构根据某信息职业技术学院安全实验室的建设目标，同时遵循网络结构合理规划、分区保护的原则，在进行某信息职业技术学院安全实验室建设方案设计时，将网络分区规划为网络接入区、安全实验A区以及安全实验B区。其中安全实验区域又细分为安全设备区及终端控制区。总体拓扑结构如图所示：2.2分区描述和部署方式2.2.1网络接入区网络接入区具有内网数据核心交换及互联网接入两项重要功能。该区域连接网内的所有网络区域，核心交换机将主要通过路由、交换协议对各区域间的数据流量进行集中转发，为保障核心交换机对信息流的处理能力，在核心交换机上将不会进行访问控制或限速等设置网络接入区同时为实验室内终端用户提供访问互联网服务，同时在本区域内也将对访问互联网的数据进行分类和制定访问策略以保障关键数据的正常传输。在核心交换区中，采用一台高可用性交换机作为核心交换机，通过千兆以太链路分别串接上网行为管理设备、外网防火墙以及互联网接入路由器。最终由互联网接入路由器上联至运营商，作为互联网出口。2.2.2安全实验A区安全实验A区是两个安全实验区域中的一个，与安全实验B区一起构成安全实验室的最主要功能区域。安全实验A区根据功能及设备的不同又被细分为安全设备区及终端控制区，下面将分别详细阐述。安全设备区安全设备区是进行网络安全实验的主要功能区域，该区域中包含了常见的网络安全设备，供学员进行安全攻防演示，其中包括一台DDOS清洗设备用于DDOS攻击的攻击与防护演示；一台WEB应用防火墙用于各种针对WEB服务的攻击与防护演示；一台传统型防火墙用于演示各种访问控制机制；一天入侵检测系统与防火墙联动，用于入侵检测与入侵防御的攻击与防护的演示。另外该区域还包含了各类应用服务器及一台高性能服务器汇聚交换机。该区域设备的具体部署方式为服务器汇聚交换机通过千兆以太链路上连分别串接防火墙、WAF以及DDOS清洗设备，最终连接至网络接入区中的核心交换机。同时汇聚交换机通过前兆以太链路分别与所有应用服务器相连。终端控制区终端控制区由若干学员操控的PC控制终端构成，通过一台以太网交换机连接至核心区域中的核心交换机，从而对整个网络中所有的安全设备进行操作和监控。同时终端控制PC也可以作为攻击的发起者，用于模拟CC攻击中的受控主机等。2.2.3安全实验B区安全实验B区与安全实验A区在功能及部署方式上完全相同。2.3方案特点网络分区保护模块化设计是本方案设计的主要特点。网络模块化设计是指对网络进行合理划分，形成各功能模块，各模块间彼此独立，通过核心交换区进行数据转发，在结构上实现了网络区域间的松耦合，以此来降低在进行网络区域调整或增减时对整个网络系统所产生的影响，提升网络的可扩展性。在本项目中，安全实验A区与安全实验B区既是两个彼此相对独立的实验区域，可以分别同时进行攻防实验。同时两个区域又可互为攻防源头及目标。同时通过核心区域高性能核心交换机的互联，两个区域又可以作为防护主体，检验来自数十台高性能控制终端PC的模拟攻击，从而实现全方位、多种方式的攻防实际演示。2.4设备清单设备类型序号设备名称数量(台)网络设备1核心交换机12互联网接入路由器13服务器汇聚交换机24终端接入交换机2安全设备5上网行为管理16防火墙57DDOS清洗系统28WAF29IDS2主机设备10机架式PC服务器811终端控制PC60合计863实验样例3.1DDOS攻击与防护3.1.1SYN Flood攻击与防护实验背景某公司使用防火墙作为网络出口设备连接到Internet，并且公司内部有一台对外提供服务的FTP 服务器。最近网络管理员发现Internet 中有人向FTP 服务器发起SYN Flood 攻击，造成FTP 上存在大量的半开放连接，消耗了服务器的系统资源。经相关人员初步分析，有可能为受到了SYN Flood类型的DDOS攻击。预备知识TCP协议的工作原理，SYN报文在TCP三次握手中的作用，以及相关安全产品的防护机制等。实验过程l 实验目标通过针对SYN Flood攻击的攻防实验，让实验参与人员详细了解该类型攻击的攻击过程及相关防护机制，并对相关外围知识进行更深刻更形象化的记忆。l 实验拓补l 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；DDOS清洗设备一台。l 实验步骤1. 配置相关DDOS清洗设备syn,tcp等防护触发参数；2. 配置相关web测试服务器，并配置好相关参数；3. 由专用攻击器向测试服务器发送SYN攻击流量，记下服务器的系统状态。l 验证测试查看DDOS清洗设备的处理结果及服务器访问状态。3.1.2UDP Flood攻击与防护实验背景某公司使用防火墙作为网络出口设备连接到Internet，并且公司内部有一台对外提供服务的FTP 服务器。最近网络管理员发现Internet 中有人向FTP 服务器发起UDP Flood 攻击，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定，造成整个网段的瘫痪。预备知识UDP协议的工作原理，如何防御UDP Flood方法；采取何种参数设置保护被攻击的端口以及相关安全产品的防护机制等。实验过程l 实验目标通过针对UDP Flood攻击的攻防实验，让实验参与人员详细了解该类型攻击的攻击过程及相关防护机制，并对相关外围知识进行更深刻更形象化的记忆。l 实验拓补l 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；DDOS清洗设备一台。l 实验步骤1. 配置DDOS清洗设备udp,tcp防护触发参数；2. 架设好测试服务器，并配置好相关参数；3. 向测试服务器发送攻击流量，记下服务器的系统状态；4. DDOS清洗设备开启攻击过滤时由专用攻击器向目标服务器发送udp flood等流量型数据包，查看DDOS设备状态及web服务器状态。l 验证测试由专用攻击器发送UDP流量型攻击报文；在UDP防护插件开启前后过程中，查看DDOS清洗设备的处理结果及服务器系统状态。3.1.3 CC攻击与防护实验背景某公司使用某防火墙作为网络出口设备连接到Internet，并且公司内部有一台对外提供服务的FTP 服务器。最近网络管理员发现Internet 中有人向FTP 服务器发起CC 攻击，导致网页打开很慢，实际访问量却很少；最终导致了正常访问的终止。预备知识CC攻击工作原理以及相关安全产品的防护机制等。CC攻击为模拟多个用户或进程不停地进行访问那些需要大量数据操作即需要大量CPU时间的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。直到服务器资源耗尽从而达到抗拒绝服务。实验过程l 实验目标通过针对CC攻击的攻防实验，让实验参与人员详细了解该攻击的攻击过程及相关防护机制，并对相关外围知识进行更深刻更形象化的记忆以及CC防护的重要性。l 实验拓补l 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；DDOS清洗设备一台。l 实验步骤1. 配置相关DDOS清洗设备web端口防护触发参数；2. 架设web测试服务器，并配置好相关参数；3. 向测试服务器发送连接性攻击时不开启防护插件，查看web的访问时间，记下服务器的系统状态；4. 开启防护插件前后，由终端控制PC作为傀儡机向web服务器的服务端口发送连接性攻击，查看web的访问时间并记录服务器系统状态。l 验证测试由终端控制PC作为傀儡机攻击目标服务器，设置开启防护插件前后，相关服务访问是否正常；查看DDOS清洗设备的处理结果及服务器系统状态3.2WEB服务器应用层攻防样例3.2.1 SQL注入攻防样例实验背景SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。预备知识数据库相关基础知识、网络相关基础知识以及WEB服务的相关基础知识。实验过程l 实验目标通过实验，验证WAF的工作机制-验证数据合法性，防止任意输入参数，对服务器造成破坏。了解SQL注入攻击的攻击原理，以及相关防护设备的防护机制。l 实验拓补l 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；WEB应用防火墙即WAF一台，汇聚交换机两台。l 实验步骤1. 在WAF中配置相关防护参数；2. 操作操作攻击机对WEB服务器输入相应的SQL注入字符串，进行SQL注入攻击；3. 查看WAF相关日志及参数报表，并记录WEB服务器工作状态；l 验证测试观察并记录在WAF开启保护与关闭保护不同的工作方式下，WEB服务器的工作状态。3.2.2缓冲区溢出实验背景缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。理想的情况是：程序会检查数据长度，而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区，又被称为“堆栈”，在各个操作进程之间，指令会被临时储存在“堆栈”当中，“堆栈”也会出现缓冲区溢出。缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动等后果。预备知识数据库相关基础知识、网络相关基础知识以及WEB服务的相关基础知识。实验过程l 实验目标通过实验，验证WAF的工作机制-验证数据合法性，防止任意输入参数，对服务器造成破坏。了解缓冲区溢出攻击的攻击原理，以及相关防护设备的防护机制。l 实验拓补l 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；WEB应用防火墙即WAF一台，汇聚交换机两台。l 实验步骤1. 在WAF中配置相关防护参数；2. 针对WEB服务器提交相应攻击字符串，施行缓冲区溢出攻击；3. 查看WAF相关日志及参数报表，并记录WEB服务器工作状态。l 验证测试观察并记录在WAF开启保护与关闭保护不同的工作方式下，WEB服务器的工作状态。3.2.3目录遍历攻击实验背景对于一个安全的Web服务器来说，对Web内容进行恰当的访问控制是极为关键的。目录遍历是Http所存在的一个安全漏洞，它使得攻击者能够访问受限制的目录，并在Web服务器的根目录以外执行命令。许多Web 应用程序日常操作的一部分就是使用和管理文件。通过使用没有设计或部署好的输入验证方法，攻击者可以利用该系统读/写原本不能访问的文件预备知识网络相关基础知识以及WEB服务的相关基础知识。实验过程l 实验目标通过实验，验证WAF的工作机制-验证数据合法性，防止任意输入参数，对服务器造成破坏。了解缓冲区溢出攻击的攻击原理，以及相关防护设备的防护机制。并了解目录遍历攻击的具体过程及危害，同时了解WAF在防御目录遍历攻击过程中的工作方式。l 实验拓补l 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；WEB应用防火墙即WAF一台，汇聚交换机两台。l 实验步骤1. 在WAF中配置相关防护参数；2. 针对WEB服务器提交相应攻击字符串，施行目录遍历攻击；3. 查看WAF相关日志及参数报表，并记录WEB服务器工作状态。l 验证测试观察并记录在WAF开启保护与关闭保护不同的工作方式下，WEB服务器的工作状态。3.3通用防火墙样例3.3.1访问型VPN实验样例实验背景某高校为了将校园网的服务范围进一步沿伸，决定规划建设VPN服务器，来为远程用户提供校园网内部资源的访问权限，并通过VPN系统分配給远程用户的内网地址来访问购买国外数据库资源。国外数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户；而只要是从校园网出去的IP地址都是认可的，所以校园网上的所有上网计算机都可以使用。如果教师在家里上网，无论采用PSTN拨号、ADSL、小区宽带，使用的都是社会网络运营商提供的IP地址，不是校园网的IP地址范围，因此数据库服务商认为是非授权用户，拒绝访问。因此学校希望新建设的VPN系统可以保证合法的校外用户能够通过校园网VPN平台中转来访问校内资源和国外数据库资源。预备知识PPTP协议原理基础，策略路由的实现原理及配置，PPTP VPN的实现原理及配置，AAA授权认证原理及配置，ACL访问控制列表的匹配规则及配置，安全控制的原理及配置，相关通用防火墙的过滤机制。实验过程l 实验目标在实验室环境根据具体真实网络建设搭建模拟环境进行综合应用实验，指导学员如何规划实现远程VPN拨入访问网络，从而让学生对应用型VPN的原理以及实现过程有更加深入的了解。l 实验拓补l 实验设备实验设备包括PC若干台，模拟远程VPN用户；服务器若干台，模拟校园网络内服务器；三层交换机2台；通用防火墙1台l 实验步骤1. 网络设备的基本配置，包括IP地址池配置，路由策略配置，ACL配置，VPN配置，AAA授权配置；2. SAM配置；3. 配置客户端VPN；4. 测试连通性。l 验证测试测试远程VPN用户接入校园网的情况，分配过VPN权限的可以访问到服务器上，没有被分配过权限的则无法对服务器进行访问。3.3.2站点到站点VPN实验样例实验背景某公司为了确保公司内部机密不被泄露，同时要保证其他分公司同事能够方便地获取总公司服务器上的资料，公司决定建设site-to-site VPN，并对每个分公司进行授权。架设好site-to-site VPN，经过授权的分公司可以随时获取公司内部服务器上的资料，未经授权的，则无法对公司内部服务器进行访问。预备知识site-to-site VPN的实现原理及配置步骤，通用防火墙的配置方式，策略路由的实现原理及配置，IKE的原理及配置，IPsec的原理以及配置，VPN接口的作用以及配置方式实验过程l 实验目标实现site-to-site VPN的连接，使两个内网用户可以跨过公网进行访问，进而使学生对site-to-site VPN的原理、配置方式和实用环境有更加深刻的理解。l 实验拓补l 实验设备实验设备包括PC若干台，用来模拟两个不同内网的用户；通用防火墙2台；三层交换机1台l 实验步骤1. 分别在2台通用防火墙上设置VPN接口；2. 分别在2台通用防火墙和三层交换机上配置策略路由；3. 配置IKE；4. 配置IPsec；5. 测试连通性。l 验证测试配置过site-to-site VPN的PC可以相互访问并通过公网进行数据传输，未配置过site-to-site VPN的用户无法相互访问。3.3.3访问控制实验样例实验背景校园网的用户非常复杂，不同的用户所拥有的权限也不尽相同。比如，普通学生就不允许访问校园办公网，图书馆的PC只能访问教育网，学校职工就可以访问互联网等。由于权限的不同，就必须针对不同的IP网段进行权限的设置。其次，校园网只是内网，校园网内的IP地址都是私有IP地址，而私有IP地址是不允许出现在互联网上的，所以校园网内的PC如果想上互联网，就必须转换成公有IP地址。但校园网内，不是所有的PC都可以随意登陆互联网的，也不是所有的PC都随意可以访问所有的网络的，所以哪些PC可以访问互联网上哪些网络，就必须根据具体情况进行不同的设置。预备知识标准及扩展ACL（访问控制列表）的匹配规则及配置方式，NAT（网络地址转换）的实现原理及配置方式，策略路由的实现原理及配置，通用防火墙及相关设备的配置方式实验过程l 实验目标配置ACL 和 NAT，使被ACL匹配上的IP网段可以访问Internet，其他的IP则无法访问互联网。同时，使学生对ACL、NAT的原理、配置以及使用环境、所实现的效果都有更加清晰、深刻的理解。l 实验拓补l 实验设备实验设备包括PC若干台，用来模拟被允许上互联网和不被允许上互联网的用户；通用防火墙1台，汇聚交换机1台。l 实验步骤1. 将若干PC分配在不同网段内，并给每台PC配置好相应的IP地址；2. 配置策略路由；3. 配置ACL匹配部分IP地址；4. 配置NAT，将被ACL匹配的私有IP地址转换成公网IP地址；5. 测试连通性。l 验证测试被ACL匹配上的私有IP地址都通过NAT技术转换成了公有IP地址，所以，配置有这些IP地址的PC可以访问互联网，其余未被ACL匹配上的私有IP地址，也就没有被NAT技术转换，无法访问互联网，同时还可以在通用防火墙上监控IP地址转换过程。3.4入侵检测攻防样例3.4.1 DDOS攻击入侵预警实验背景某公司由于同行之间业务上恶意竞争，经常遭受到黑客的攻击。加上使用者本身安全意识不强，黑客的攻击手段也在不断进步，新的攻击形式层出不穷，对网络造成了极大的危害。目前，虽然用户的安全意识有所上升，但是在用户看来，DDOS仍旧是一种新兴的攻击类型。DDOS攻击主要消耗服务器资源和带宽资源，导致网络瘫痪，不能为正常用户提供服务。但是由于D