网络安全设计与实施项目三： 网间安全设计与实施.doc

班级： 网络112 学号： 110* 姓名： 徐逸以轩 成绩： 项目三 网间安全设计与实施一、实训目的1、理解数据包传输过程及在该过程中会遇到的安全问题。2、能够理解ARP攻击的原理和基本防御配置。3、能够进行个人网络防火墙配置。4、能够使用NAT协议和端口映射进行安全配置。二、实训内容1、包过滤的概念。2、进站与出站的概念。3、IPSec的体系结构。4、IPSec的应用场景。5、VPN架构的组成。6、VPN架构的应用场景。7、SSL与IIS的协同部署三、实训拓扑任务3-1：IPSec安全体系的部署。任务3-2：VPN架构的部署。四、实训步骤任务3-1：IPSec安全体系的部署。IPsec安全体系具有两种传输模式，分别为：隧道模式和传输模式安全协议有：AH(AuthenticationHeader) 协议 和ESP(EncapsulatedSecurityPayload) 协议 采用预置共享密钥进行认证在未进行IPsec配置时，计算机之间通信是不加密的，因此能Ping通是正常的用windows server 2003作软路由，使之配成一个路由连接两个不同网段的计算机（外网与内网IPsec加密）然后启动路由与远程访问，配置静态路由，路由表如下:机器A：192.168.1.10 255.255.255.0 192.168.1.1机器C：192.168.2.10 255.255.255.0 192.168.2.1 在windows server 2003内开始-管理工具-本地安全策略进行IPsec配置（IP安全策略）创建IP安全策略，测试内网192.168.1.10与外网192.168.2.10之间的IPsec通信 下一步后选择不激活默认响应规则完成后如上图所示，然后对这个刚建的IPsec安全策略1进行属性配置，其中因为我们在之前取消了默认响应规则，因此没有默认响应，需要我们添加进行新规则下一步后进行隧道终结点配置，因为为传输模式，而非隧道模式，我们选此规则不指定隧道 因为我给虚拟机就一块网卡，无需分那个端口加密或不加密，因此选所有网络连接 接着添加IP筛选器列表，默认的在之前已经取消，因此不管，然后添加一个IP筛选器选择IP通信源为本机的IP地址，而通信目标地址就为机器A了 协议类型为任意即可，然后完成。完成后如图所示，单击下一步 确定后选择刚建的那个IPsec筛选器列表，下一步，再在那个界面上添加跟IPsec 筛选器列表搭配的筛选器操作（为必须加密否则IPsec就白做了） 在安全措施内自定义设置我们想要的加密方式及完整性算法：MD5、SHA1、3DES下一步完成即可，然后选择刚才配置的IPsec筛选操作必须加密，当然你还可以对这个筛选操作进行再次编辑，以提高通信的更高安全性，如图，我又添加了一个完整性和加密这样每传100M数据后我们就可以换一种筛选操作，大大提高通信安全。然后下一步开始身份验证配置，我们选预共享密钥：xuzhongwei我的名字 完成后如图: 机器C未指派该策略前PING的情况：机器Cping机器A，PING的通 机器C指派该策略后PING的情况：机器Cping机器A，协商IP安全策略，一直不通过 机器C指派该策略后PING的情况：机器Aping机器C，未通过协商，超时我们要的就是计算机之间加密安全通信，所以在对方计算机上也要设上同样的IPsec安全策略才行，才可以通过协商，至于另一台计算机的IPsec安全策略配置在此略过，和上述步骤一致，只是换个名字，但：它所配置的IPsec策略的加密方式必须和加密通信方一致，预共享密钥一致！可事先做好协商！只贴最后的图： 所有完成后的结果如下： 双方都指派新建的IPsec安全策略，然后再互相PING对方： 机器C PING机器A：协商通过，完成 机器A PING 机器C：协商通过，完成IPsec还有一个传输方式，上述为传输模式，还有隧道模式就不再实验了。任务3-2：VPN架构的部署。在VPN部署之前应当在服务器上开启或禁用以下服务：Windows firewall 服务禁用Server服务开启Remote registry 服务开启Routing and remote access服务开启（VPN和NAT服务必备项）常用的隧道协议：PPTP、L2TP、IPsec等保证通信安全机器A：192.168.1.10 255.255.255.0 192.168.1.1 内网（公司）机器C：192.168.2.10 255.255.255.0 192.168.2.1 外网管理工具-路由和远程访问-远程访问（拨号或VPN）选择VPN选择本地连接2（外网网卡IP）IP地址指定为来自一个指定的地址范围选择计算机VPN连接后所分配的IP地址范围下一步选否完成后如图所示：选择端口-WAN微型端口pptp-配置：将远程访问连接和请求拨号路由选择连接都勾上：VPN建立好了，由于本服务器不是AD，所以要在计算机管理建立一个用户来作例子。新建用户 VPNtest然后点击其属性-拨入，给它允许访问权限以及分配一个VPN拨入后所获得的IP地址：192.168.3.11 下面来转向客户端，在这里要配置VPN连接。连接到我的工作场所的网络虚拟专用网络连接勾上公司名为VPNVPN服务器的IP地址为192.168.2.1只是我使用然后在客户端进行拨号连接连接成功查看WAN 微型端口的详细信息，看到确实分配的地址为192.168.3.11为了进一步认证客户端机器C是否分配有VPN服务器所授予的IP地址，我们可以在CMD中ipconfig一下，看看机器C目前的情况，发现PPP adapter VPN IP为192.168.3.11 再看服务器端，IPCONFIG一下，这是VPN服务器的地址，其中两个是实际网卡地址，一个是PPP ADAPTER地址，可以看到它的地址是192.168.0.10。这是在客户端机器C测试连接内网的机器A，可见可以连通了。再来看一下断掉VPN连接能不能PING通。可以看到，在客户端断掉了就连不通内部服务器了，而且内网机器Aping 外网客户端机器C也PING 不通接着做这个VPN客户端与内网机器A做IPsec加密通信机器C客户端做本地安全策略截图：内网机器A做对应的本地安全策略截图：内网机器A指派该策略后，PING 机器C，协商不通过当机器C也指派该策略后，内网机器Aping VPN客户端，协商通过当机器C也指派该策略后，VPN客户端ping 内网机器A，协商通过 这样这个VPN部署就完成了。五、思考问题1、网间通信的安全隐患。内网内的有害数据包渗透过防火墙或者外网内的攻击数据包绕过防火墙攻击内网计算机，计算机之间的重要通信被他人轻而易举捕获，通信不加密易泄露通信信息，外网用户未通过验证而通过VPN连接了内网造成攻击的可能性，