网络安全技术课程设计报告

..信息工程系课程设计报告书2015-2016学年第2学期系部：信息工程系专业：计算机网络专业班级：14计算机网络1班课程名称：网络安全技术姓名__起迄日期:6月10日-6月24日课程设计地点:实验楼C211指导教师:庄晓华下达任务书日期:2015年06月16日内容要求独立设计一个小型网络的安全方案,采用的安全技术可以包括以下几种：加密技术、认证技术、VPN技术、防火墙技术、防病毒系统等局域网核心服务功能。其中必须用PacketTracer实现的功能为防火墙技术的配置与管理或网络安全隔离。评分标准〔一网络安全方案评分标准〔40分 网络安全方案及测试报告〔40分1、网络安全方案2000字〔30分相关概念定义准确。〔10分安全方案叙述完整清晰。〔10分3设计合理,符合实际应用需求。〔10分2、测试报告〔10分确定测试结果是否符合设计要求,完成测试总结报告。〔二网络设备系统配置评分标准〔60分1、系统设计〔10分1、在PacketTracer中实现,要求：网络设备选型合理,〔5分2、网络设备连接,要求：正确使用连接介质〔5分。2、网络设备配置〔40分PC机、服务器配置,要求：能作必要TCP/IP属性设置〔10分网络设备接口配置,要求：正确配置端口,实现网络连通。〔10分网络安全配置,要求：实现设定的网络安全防护〔20分3、安全防护测试〔10分使用正确测试方法,步骤完整.<10分>设计要求：1、所有PC机的默认网关地址中第四个数为学生学号,如"a.b.c.学号"〔注意：PC机的地址不能与此默认网关地址冲突。2、所有网络设备、PC机的名称以学生姓名开头,如"azgSW1"。设计成果形式及要求：提交网络安全方案〔.doc文档,文件命名格式：学号姓名.doc,如01安志国.doc。提交PacketTracer文档〔.pkt文档,文件命名格式：学号姓名.pkt,如01安志国.pkt。抄袭他人设计内容者成绩定为不及格。提交大作业时间：17周周五。〔企业网、政府网、校园网、电子商务网网络安全方案<2000字>防火墙技术的配置与管理在路由器中配置访问控制列表实现包过滤技术,可以利用PacketTracer5软件完成配置任务。要求：利用PacketTracer5画图并连线；配置各主机和设备的IP地址,WEB服务器开启HTTP服务；配置路由器各接口地址、默认路由、通过ACL+NAT的配置使得A、B和C主机可以NAT后访问外网主机D,A、B和C可利用内网地址00地址去访问WEB服务器,外部主机D也可以访问WEB服务器但是通过公网地址访问；④配置ACL功能,仅不允许主机B与主机D进行ICMP通信。00+x/2900+x/29路由器内部主机网络IP地址：4WEB服务器互联网内部主机网络IP地址：00+x00+x外部网络主机IP地址ABCD下面为利用PacketTracer5软件画完的网络图。需要注意的是如图中所示红色的连线说明可能是物理没有连通,经检查发现使用了直通线〔CopperStraight-Through,这里要选择交叉铜线〔CopperCross-Over。2、配置各主机和设备的的IP地址,WEB服务器开启HTTP服务配置各主机对应的IP及网关地址。路由器内网接口F0/0的IP地址为00+x。A、B、C对应IP为-,掩码都是,网关都是00+x；路由器外网接口F2/0的IP地址为00+x,掩码也是24位,此子网内的主机IP地址为：-。单击图中的主机,选择Desktop可以对主机配置IP地址网关等信息。D主机模拟公网上的主机,IP地址为,掩码为29位,即,为了检查到NAT的效果不要配置网关。路由器内网接口F1/0的IP地址为00+x。WEB服务器的配置3、路由器包过滤及NAT的配置配置路由器各接口地址、默认路由、通过ACL+NAT的配置使得ABC主机可以NAT后访问外网主机D并可利用内网地址00地址去访问WEB服务器<公网使用的IP地址>,外部主机D可以访问WEB服务器。对路由器的配置使用showrun命令进行查看,部分关键配置如下,可用于配置的实施参考：r1#showrunhostnamer1interfaceFastEthernet0/0ipaccess-group110in//符合110列表的规则数据包进行F0/0时进行相应的访问控制ipnatinside//接口F0/0为NAT地址转换的内部interfaceFastEthernet1/0ipaddressipnatinside//接口F1/0为NAT地址转换的内部interfaceFastEthernet2/0ipnatoutside//接口F2/0为NAT地址转换的外部access-list10permit55//定义NAT的源地址access-list10permit55//定义NAT的源地址ipnatinsidesourcelist10interfaceFastEthernet2/0overload//对于列表10中定义的源地址进行动态超载NAT〔PAT转换,并都转换为F2/0接口的公网地址00+x：端口号ipnatinsidesourcestatic00//定义WEB服务器的静态转换access-list110denyicmphosthost//禁止主机B与主机D进行ICMP通信access-list110permitipanyany//允许B主机以外的主机进行IP通信r1#1、配置路由器三个局域网接口2、配置NAT/PAT3、配置包过滤ACL4、显示运行配置文件1、对NAT转换的检查与测试在主机A上Ping主机D,正常为连通状态,但主机D上Ping主机A是不通的〔NAT屏蔽了内部主机。检查结果如下图所示〔截图,说明NAT动态转换是设置正确。2、对WEB服务器访问的检查与测试分别在A主机和D主机上访问WEB服务器,A访问WEB服务器的内网IP地址为00,而D主机WEB服务器的外网NAT静态转换后的