网络安全策略之请求管理以及NAT转换

1、上海电机学院课程设计报告课程名称：网络平安技术课程设计课题名称：网络平安策略之请求管理以及NAT转换姓 名:陈瓒班级:网络1611学号：指导老师：熊飕报告日期：2018曰.24电子信息学院首先看能否ping通外网（试验台）C：Docunents and SettingsAdministratorping 172Pinging 172.21.3.8 with 32 bytes of data：ReplyReplyReplyReplyf rom from from from172.21.3.8: bytes=32172.21.3.8： bytes=32172.21.3.8： bytes=32172

2、.21.3.8： bytes=32tine=4ms tinelms time=1rs t inelirisTTL=128TTL=128TTL=128TTL=128Ping statistics for 172.21.3.8：Packets： Sent = 4, Received Approxinate round trip tines inPing statistics for 172.21.3.8：Packets： Sent = 4, Received Approxinate round trip tines in=4. Lost = 0 , nilli-seconds：Minimum =

3、01ns. Maximum = 4ms, Auerage = 1ms如下图，可以看出是能够ping的通的。验证网络连通性输入测试到达这个ip需要经过哪些路由。由图可知，中间经过了 172.2021才到达的172.2138编写目的NAT规那么点击“添加”。|n| x选择NAT类型|源地址NAT3源地力卜| 172721 T 3 T 9/ 33转换地址| 1727 21 T 3 T 8-把外网的地址转换成内网能达的地址。目的地址为任意IP地址的数据包被NAT为1722139, Ping该目的地址。C： Docunents and Sett ingsfldrninistratorping 172Pi

4、nging 172.21.3.9 with 32 bytes of data：Replyfrom172.21.3.9：bytes=32tine=6nsTTL=128Replyfrom172.21.3.9：bytes=32tine=lnsTTL=128Replyfrom172.21.3.9：bytes=32tine=lmsTTL=128Replyfrom172.21.3.9：bytes=32tine=lmsTTL=128Ping statistics for 172.21.3.9：Packets： Sent = 4 Receiued = 4, Lost = 0 如这张图所示，在编辑了 NAT规那

5、么之后，能够ping通外网了。点击“添加”，添加防火墙规那么。再次访问 . asp ,源地址被转换成 172.20.1.30,I i KrjATE 吟播 JEhh LI.占右 H添加完规那么之后，外网访问内网所需经过的网关就是服务器名称：172.2L3.9 服务器IP： 172. 21.3.9 容户端主机客户端主机名称：172.验证源NAT实验结果4. 2请求管理选择“等待颁发的申请”项，在“证书请求列表”中出现未处理的申请证书。 点击要颁发拒绝的证书，右侧“证书请求详细信息”内可查看相关信息。 点击“颁发”或“拒绝”按钮，系统给予提示信息。2f：16：f8：6c：3e：ef：75：7d72：

6、 dfExponent： 65537 (0 x10001)Attributes：Requested Extensions：X509v3 Basic Constraints：CA:FALSE颁发证书成功?颁发证书成功?)9v3 Key Usage： Certificate Sign)9v3 Extended Key Usage：Code SigningQgori thm: shalWi thRSAEncrypt:确定如下图，证书颁发成功。用户可根据需要在“申请状态”栏中选择不同申请状态的单项选择按钮来查看证书申造力卜钾怙X?造力卜钾怙X?教学演示课件实验工具箱Win询LinuxS；1 彳 r j

7、 2 例如上图所示为查看失败的申请。五、思想总结我这次分配到的实验是比拟简单的涉及防火墙和PKI的实验，我做了一个NAT转换以及请 求管理，做下来的步骤虽然比拟简单，但是值得深思的东西有很多，在NAT转换中，要仔 细配置主机和试验台的IP地址，考验的是对实验是的理解和自己的耐性，而且运用到了网 络设备的知识，比方添加路由项什么的，也懂得了地址转换的规那么的添加，了解了内外网是 如何通信的。第二个实验就是请求管理，在证书申请的情况下，去查看证书是否能颁发之类 的，虽然简单，但是我们要从PKI的整个工作工程去进行思考，去体会PKI如何利用公钥 加密和证书去构建一个平安的网络平安环境。参考文献网络平

8、安实战与详解计算机网络平安网络平安评估网络平安概论网络平安使用技术网络平安基础张敏波 田立勤（美）曼佐克刘建伟 贾铁军William Stallings 电子工业出版社 人民邮电出版社 科学出版社电子工业出版社 机械工业出版社 清华大学出版社11上海电机学院实训/课程设计任务书课程名称网络平安技术课程设计课程老师熊鹏实训/课程 设计 课题清单1.网络平安技术实训一一网络平安策 略周一第一二节课 周一第五六节课 周一第三四节课 周一第七八节课2.网络平安技术实训一一入侵检测与 防御3.网络平安技术实训一一网络编程周二第三四节课 周二第七八节课4.网络平安技术实训IP攻击检测与防御周三第一二节课

9、周三第五六节课5.网络平安架构实训一一漏洞检测与 系统加固周三第三四节课 周三第七八节课6.网络女全架构实训WEB系统攻防与平安周四第一二节课 周四第五六节课7.网络平安技术实训 企业虚拟专 用网规划部署周四第三四节课 周四第七八节课8.网络平安技术实训网络平安整体规划与加固周五第一二节课 周五第五六节课设计时间2016年06月20日2016年06月24日一、实训/课程设计任务汇总.课题分配45人一组。.最终提供的主操作界面应该方便用户的操作。.最后提交的课程设计成果包括：a）实训课程实验报告打印稿。b）实训课程实验报告电子稿。C）小组课程设计报告打印稿d）小组课程设计报告电子稿二、对实训1/

10、课程设计成果的要求（包括实训1/课程设计报告、拓扑、实物等软 硬件要求）.分析课程设计题目的要求；写出详细的需求分析；.根据功能需求，写出详细的设计说明；（包括工作原理）.配置及搭建环境，调试设备使其能正确运行；.设计完成后提交课程实训的实训文档。.报告需要交电子版和打印版。三、实训1/课程设计工作进度计划：第一天网络平安设备实训，第二天企业典型网络平安架构部署实训第三天网络平安架构实训第四天网络平安整体规划与加固第五天提交实训报告和辩论。目录 TOC o 1-5 h z 一、课程概述1课程目的1 HYPERLINK l bookmark15 o Current Document 背景1 HY

11、PERLINK l bookmark17 o Current Document . 1 PKI1 HYPERLINK l bookmark19 o Current Document .2防火墙2 HYPERLINK l bookmark21 o Current Document 二、需求分析3课程题目：平安策略之请求管理以及NAT转换。3 HYPERLINK l bookmark23 o Current Document 课程设计要求： 3 HYPERLINK l bookmark25 o Current Document NAT 转换3 HYPERLINK l bookmark27 o Cu

12、rrent Document 222请求管理3 HYPERLINK l bookmark29 o Current Document 环境要求3 HYPERLINK l bookmark31 o Current Document 三、设计说明4 HYPERLINK l bookmark33 o Current Document 3. 1 NAT 转换4 HYPERLINK l bookmark35 o Current Document 2请求管理5四、设计实现6 HYPERLINK l bookmark37 o Current Document 1 NAT 转换6 HYPERLINK l boo

13、kmark4 o Current Document 2请求管理10 HYPERLINK l bookmark6 o Current Document 五、思想总结11 HYPERLINK l bookmark8 o Current Document 参考文献11一、课程概述1.1课程目的通过本实验初步掌握防火墙的基本配置方法和操作技能，掌握组建较大规模企业网时防火 墙策略的配置及应用，包括如下几个方面：,掌握防火墙的配置方法.掌握访问控制列表（ACL）的基本配置.掌握过滤规那么的配置. 了解防火墙的应用特点. 了解防火墙的工作原理熟悉DES加密算法，熟悉加密体制的概念，了解加密算法的使用。掌握

14、公钥的导出及数 字签名的原理。通过实验深入理解PKI系统的工作原理，了解数字证书和CA系统的主要功 能和作用1.2背景现代信息化社会中，网络系统的平安是重中之重，而且计算机网络的快速开展已然使信 息全球化成为了现实。因为计算机网络已经无时无刻的影响了我们的生活，并且互联网飞速 开展的同时，信息的复杂度也越来越高，网络平安逐渐成为一个潜在的巨大问题。网络平安 性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形 式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时， 它关心的对象是那些无权使用，但却试图获得远程服务的人。平安性也处理合法消息

15、被截获 和重播的问题，以及发送者是否曾发送过该条消息的问题。大多数平安性问题的出现都是由于有恶意的人试图获得某种好处或损害某 些人而故意引起的。可以看出保证网络平安不仅仅是使它没有编程错误。它包括 要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、 富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法 对那些惯于作案的老手来说，收效甚微。总之，为了保证网络中信息的平安保密性、完整性、可靠性、可用性等必须 制定符合实际的、高效的信息平安策略。网络平安策略是时代所需，是网络平安 的前提之一。1. 2. 1 PKIPKI是Public Key Infrastru

16、cture的首字母缩写，翻译过来就是公钥基础设施;PKI是一种遵 循标准的利用公钥加密技术为电子商务的开展提供一套平安基础平台的技术和规范。目的是 为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个平安的网 络环境。为了使平安和信任得到一致，使管理更加简洁，我们采用PKI体系管理密钥和证 书，能够透明的提供基于公钥的加密、认证、网络密钥管理、数字签名和抗抵赖等平安服务。防火墙古时，人们常在寓所之间砌起一道砖墙，一旦火灾发生,它能够防止火势蔓延到别的寓所。 以古为鉴，现在人们为了平安起见，可以在该网络和Internet之间插入一个中介系统，竖起 一道平安屏障。这道平安屏障的

17、作用是阻隔来自外部通过网络对本网络的威胁和入侵，提供 把守本网络的平安和审计的唯一关卡。它的作用与古时候的防火砖墙有类似之处。因此我们 把这个屏障叫做防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如 Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访 问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数 据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙， 公司内部的人就无法访问Interne3 1ntemet上的人也无法和公司内部的人进行通信。二、需求分析课程题目： 平安策略之

18、请求管理以及NAT转换。课程设计要求：随着企业网络的普及和网络开放性，共享性，互连程度的扩大，网络的信息平安问 题也越来越引起人们的重视。一个平安的计算机网络应该具有可靠性、可用性、完整性、保 密性和真实性等特点。计算机网络不仅要保护计算机网络设备平安和计算机网络系统平安, 还要保护数据平安。NAT 转换熟练掌握NAT地址转换技术的试验管理以及所需的硬件和软件配置。除此之外，还需注意 以下几个方面：1、练习使用Ping命令，了解其命令的具体含义。2、通过实验去验证，在不安装和设置防火墙的情况下，NAT转换能否正常实现。请求管理.平安审计：是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一

19、。具体 包括两方面的内容,一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为, 即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的 非法泄漏。环境要求SimplelSES信息平安实验教学系统以及其下的试验台三、设计说明3. 1 NAT转换在了解NAT地址转换技术知识的前提下，为了了解这项技术是如何实现的，我们需要设计严 谨的步骤来体悟它实现所需要的环境和它所实现的结果。按照要求设置主机和实验台的IP地址实验环境拓扑图如下图，其中：防火墙IP地址：内网IP地址：172.20. 2. 1/16连接防火墙实验显示的内网IP外部IP地址:172.21.2. 1

20、/16 连接防火墙实验显示的外网IP客户端IP地址：172. 20. 1. 8/255. 255. 0. 0可观察本地网络属性Windows实验台的IP地址：172.21. 3. 8,确保相互之间不会冲突。网关为防火墙外网IP地址:172.21.2. 1本实验的防火墙的默认规那么都是允许。一、连接防火墙服务器，开始实验启动实验客户端，选择“防火墙”中的“NAT转换实验”，点击“连接二连接成功后，会提示连接成功，主界面会显示连接IP信息及防火墙规那么操作画面。二、添加静态路由翻开本地主机 cmd 命令行，输入 route add 172. 21.0. 0 mask 255. 255. 0. 0

21、172. 20. 2. 1, 添加路由。三、验证网络连通性输入 ping 172. 21.3. 8o四、编写目的NAT规那么点击“添加二五、验证目的NAT实验结果目的地址为172. 21. 3. XXX任意IP地址的数据包被NAT为172. 21. 3. 9, Ping该目的地址。六、编写源NAT规那么点击“添加”，添加防火墙规那么。七、验证源NAT实验结果再次访问. 21. 3. 9/showip. asp ，源地址被转换成172. 20. 2. 1,从而实现隐藏源地址的作用。3. 2请求管理一、申请证书的颁发或拒绝选择“等待颁发的申请”项，在“证书请求列表”中出现未处理的申请证书。点击要颁

22、发拒绝的证书，右侧“证书请求详细信息”内可查看相关信息。(3)点击“颁发”或“拒绝”按钮，系统给予提示信息。二、查看证书申请处理情况用户可根据需要在“申请状态”栏中选择不同申请状态的单项选择按钮来查看证书申请处理情况。4. 1 NAT转换启动实验客户端，选择“防火墙”中的“NAT转换实验”，点击“连接”。连接成功后，会提示连接成功，主界面会显示连接IP信息及防火墙规那么操作画面。翻开本地主机 cmd 命令行，输入 route add 172.21.0.0 mask 255.255.0.0 172.20.2.1,c C: Iin)OSsyst e32cd. exe Microsoft Windo

23、ws XP-n|x版权所有1985-2001 Microsoft Corp.C：Docunentsand Settingsdninistratorroute add 172.21.0.0 mask 255.255.0.0 17C：DocunentsPinging 172.20.2.1 with 32 bytes of data：Reply fromReply fron Reply from Reply i*on： bytes=32： bytes=32： bytes=32： bytes=32time=lns t inelns t inelns t imelnsTTL=64TTL=64TTL=64TTL=64：Packets： Sent = 4. Received Approximate round trip tines in=4, Lost = 0 0z l