网络安全技术及其应用分析
一、 实验目标:
使用Windows操作系统服务器中的路由和远程访问组件,通过配置组件中的静态路由、虚拟专用网络(VPN),以及设置IPSec策略、数据包筛选器、NAT协议、建立相对应的服务器等操作,实现以下内容:
多个网络的互联(内网和外网) 禁止某一台内网的计算机上公网
只允许上公网的计算机访问公网的Web
服务 只允许访问DNS服务器的DNS的端口 禁止Ping服务器
内网的计算机可以访问公网
Internet有权限用户可以访问DMZ服务器 内网计算机与DNS服务器通信需要加密
二、根据实验要实现的内容,拓扑图设计如下:
三、所需设备:
根据拓扑图可以看出实验需要:五类(或超五类)直通双绞线7根,交换机(集线器)一台,具有多以太网卡、Windows操作系统服务器计算机4台。
四、技术支撑:
1、VPN
虚拟专用网络(VPN)属于远程访问技术,简单地说就是利用公
网链路架设私有网络。之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专用网络所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN的优势:建立网络快速方便、降低建立网络的成本、网络安全可靠(建立逻辑隧道及网络层的加密)、简化用户对网络的维护及管理。 2、IPSec
Internet协议安全性(IPSec),通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯,这样也防止专用网络与 Internet 的攻击,例如VPN。在通信过程中只有发送方和接收方才是唯一了解IPSec保护的计算机。作用目标:保护 IP 数据包的内容、通过数据包筛选及受信任通讯的实施来防御网络攻击、其中以接收和发送最为重要。 3、NAT协议
网络地址转换(NAT)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。 4、防火墙技术
防火墙是确保信息安全的设备,按照特定的规则,允许或者是阻止传输的数据通过。在Windows防火墙设置中,防火墙可以阻止网络恶意攻击,也可以阻止病毒的入侵。
现在许多防火墙在默认情况下也启用了ICMP过滤的功能,因为有
效防止ICMP攻击,防火墙应该具有状态检测、细致的数据包完整性检查和很好的过滤规则控制功能。Internet控制报文协议(ICMP)它是一种面向连接的协议,用于传输出错报告控制信息,对网络中的安全特别重要,因为它能侦测远端主机是否存在、建立及维护路由资料、资料流量控制。 5、入侵检测:
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 6、数据加密:
数据加密技术是为了提高信息系统与数据的安全性和保密性,防止机密数据被外部破解。它是利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。
五、网络安全技术解决的问题:
保护数据包在传输的安全问题:例如数据包会被窃取、偷听等,对于这种现象,网络安全采用了对通信的信道进行了加密,这样以来通信的安全得到了保障。
计算机的安全问题:就是利用防火墙和入侵检测技术来完成网络中的恶意攻击和病毒的入侵。
网络攻击的问题:就是利用IPSec策略通过数据包筛选及受信任通讯的实施来防御网络中的攻击。
漏洞问题:计算机通过利用自身和各种软件结合对漏洞进行及时的修复,以防止黑客的入侵。
六、实验步骤:
如拓扑图所示,以内网计算机IP地址为192.168.10.2为例进行实验,其IP地址设置如下图所示:
在内网计算机(192.168.10.2)上启用路由和远程访问服务,本地连接是本机的IP的地址、子网掩码、网关等信息,本地连接2是路由器左右两个网络的网关地址和子网掩码,如上图所示。
DMZ内的一台计算机IP地址设置,如上图所示。
在 在
在外网计算机(192.168.12.2)上设置三块网卡,本地连接1是本机的IP的地址、子网掩码、网关等信息,本地连接2是路由右边的IP地址信息,本地连接3是路由左边的IP地址信息,如上图所示。
如上图所示,在IP地址为192.168.10.2的内网计算机对IP地址为192.168.11.2执行了ping命令,结果显示了四次发包全部接收,并无丢包现象,也就是相互通的。其它计算机之间的ping也是差不多的,就是四次发包要全部接收到。
说明:在IP地址为192.168.11.2的计算机上安装DNS服务器、file服务器,在IP地址为192.168.12.2的计算机上 安装Web服务器。 1、使Internet有权限用户可以访问DMZ中的服务器 进行设置如下:
(1)、在外网计算机(192.168.12.2)上配置并启用路由和远程访问,建立VPN,如下图所示:
如下图所示,选择虚拟专用网络(VPN)和NAT
。
如下图所示,为VPN连接选择一个Internet网络接口。也就是本地连接2:192.168.12.1。
如下图所示,为VPN客户端选择要指派的网络,也就是本地连接3:192.168.11.3。
为VPN设置一个
IP
地址范围,如下图所示,本实验选择的是192.168.11.100~192.168.11.254。
如下图所示,为VPN设置可以访问的网络接口,也就是本地连接3:
192.168.11.3。
如下图所示,建立VPN完成了,并且启动路由和远程访问。
在计算机(192.168.12.2)上新建用户,如下图所示:
如下图所示,新建用户liu,并设置密码。
如下图所示,为用户liu设置远程允许访问的权限。
如上图所示,在计算机(192.168.12.2)上新建连接,选择网络连接类型为连接到我的工作场所的网络。
如上图所示,设置虚拟专用的网络连接,也就是通过VPN通过Internet连接到网络。
创建一个连接名为HP-liu,如上图所示。
如上图所示,设置IP地址为192.168.12.1。
如上图所示,完成新建连接,并在桌面上创建快捷方式。
如上图所示,连接HP-liu,输入用户名和密码。
如上图所示,在计算机(
192.168.12.2
)
命令模式下,运行“ipconfig”,可以看到新建VPN的随机获取的一个IP地址。
在计算机(192.168.11.2)上添加服务文件传输协议(FTP)服务,如下图所示:
如下图所示,在计算机(192.168.11.2)的默认FTP站点内新建文件111.txt。
文件111.txt的内容如下图所示:
(2)、以上VPN的配置和文件传输协议(FTP)服务配置都已完成,下面进行测试:
如上图所示,在计算机(192.168.12.2)的浏览器上输入ftp://192.168.11.2,可以看到在计算机(192.168.11.2)上建立的文件111.txt。
如上图所示,在计算机(192.168.12.2)上能看到文件111.txt的内容。到此VPN的配置和测试就完成了。
2、禁止某一台内网的计算机上公网
进行设置如下:
(1
)
、在内网计算机(192.168.10.2)上设置IP安全策略,禁止它访问公网。
开始程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如下图所示:
新建IP安全策略的名称为禁止上公网策略,如下图所示:
IP安全策略向导完成,并编辑属性,如下图所示:
打开新建禁止上公网策略的属性,并选择添加IP安全规则向导,如下图所示:
如下图所示,设置隧道终结点为192.168.12.2。
如下图所示,进行添加IP筛选器列表,名称为禁止上公网筛选器列表。
指定IP通信的源地址为192.168.10.2,如下图所示:
指定IP通信的目标地址为192.168.12.0,如下图所示:
如下图所示,选择IP协议类型为TCP协议。
完成IP筛选器向导,并编辑属性,如下图所示:
如下图所示,进行添加筛选器操作,名称为禁止上公网筛选器策略。
如下图所示,设置筛选器操作的行为为阻止。
如下图所示,完成安全规则向导,并编辑属性。
如下图所示,创建禁止上公网筛选器列表安全规则已完成。
如下图所示,指派新建的禁止上公网策略。
(2)、以上步骤完成了IP安全规则的创建,下面进行测试:
如上图所示,在命令模式下先刷新组策略,运行命令gpupdate /force,然后再运行命令ping 192.168.12.2,可以发现ping不通,也就是出现了超时。 3、禁止Ping服务器
进行设置如下:
(1)、在计算机(192.168.11.2)上进行实验,先使用ping命令,进行测试连通性,如下图所示:
如上图所示,计算机(192.168.11.2)与计算机(192.168.12.2)是相互连通的。
在计算机(192.168.10.2)上设置IP安全策略,禁止ping服务器。 开始程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如上图所示。
如上图所示,新建IP安全策略的名称为禁止ping服务器。
如上图所示,完成IP安全策略向导,并编辑属性。
如上图所示,对新建的IP安全策略添加IP安全规则。
如上图所示,为新建的安全规则指定一个隧道终结点:192.168.12.2。
如上图所示,选择网络类型为所有网络连接。
如上图所示,添加一个IP筛选器列表。
如上图所示,新建IP筛选器列表名称为禁止ping服务器列表。
如上图所示,IP通信的源地址为本地址,也就是192.168.11.2。
如上图所示,IP通信的目标地址为192.168.12.2。
如上图所示,选择协议类型为ICMP(传输控制报文协议)。
如上图所示,完成IP筛选器向导。
如上图所示,添加一个名称为禁止ping服务器的筛选器。
如上图所示,设置筛选器操作的行为为阻止。
如上图所示,选择禁止ping服务器筛选器,并点击下一步。
如上图所示,把新建禁止ping服务器的IP安全规则打勾,并单击确定。
如上图所示,指派新建的IP安全策略:禁止ping服务器。 (2)、禁止ping服务器的IP安全策略已配置完成了,下面进行测试。
如上图所示,本地IP地址为192.168.11.2,
当运行
ping 192.168.12.2时,会出现目标主机不可达现象。设置其它计算机的禁止ping,其原理都是差不多的。
4、只允许访问DNS服务器的DNS的端口 进行设置如下:
(1)、在内网计算机(192.168.10.2)上新建IP安全策略,在本地计算机上。只允许访问DNS服务器的DNS端口。
开始程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如上图所示。
如下图所示,新建的IP安全策略名称为只允许访问DNS端口IP安全策略。
如下图所示,完成IP安全策略向导,并编辑属性。
如下图所示,添加IP安全规则向导。
如下图所示,指定IP安全规则隧道终点为192.168.11.2。
如下图所示,选择网络类型为所有网络连接。
如下图所示,添加
IP
筛选器为只允许访问DNS端口IP筛选器列表。
如下图所示,指定IP通信的源地址为192.168.10.2(本机IP地址)。
如下图所示,指定IP通信的目标地址为192.168.11.2。
如下图所示,选择IP协议类型为UDP。
如下图所示,设置从任意端口到53号端口(DNS服务器端口)。
如下图所示,只允许访问DNS端口IP筛选器列表已完成了,单击下一步:
如下图所示,输入筛选器操作的名称为只允许访问DNS端口筛选器操作。
如下图所示,设置筛选器操作的行为为许可。
如下图所示,选择只允许访问DNS端口筛选器列表,并单击下一步。
如下图所示,选择刚才新建的IP安全规则只允许访问DNS端口IP安全策略,并打勾,单击确定。
如下图所示,指派只允许访问DNS端口IP安全策略。并完成了IP安全策略的建立。
如下图所示,在计算机(192.168.11.2)上,更改Windows防火墙设置,在例外选项卡中选择添加端口。
如上图所示,添加端口的名称为DNS端口,端口号为53,协议为UDP。
(2)、以上步骤完成了IP安全策略的创建和DNS服务器的端口添加, 也就是完成了内网只能访问DNS服务器的DNS的端口的设置。 5、只允许上公网的计算机访问公网的Web服务
进行设置如下:
(1)、在内网计算机(192.168.10.3)上做实验,进行访问公网的Web服务。
如上图所示,在命令模式下运行ipconfig,可以看到本机的IP地址、子网掩码、网关。
开始程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如下图所示。
如下图所示,创建名称为访问公网的Web服务安全策略。
如下图所示,完成IP安全策略向导,并选择编辑属性。
如下图所示,指定IP安全规则的隧道终结点为192.68.12.2。
如下图所示,选择网络类型为所有网络连接。
如下图所示,添加一个IP筛选器列表为访问公网Web服务列表。
如下图所示,指定IP通信的源地址,也就是本机的IP:
192.168.10.2
。
如下图所示,指定IP通信的目标地址,也就是要访问Web服务器的IP地址:192.168.12. 2。
如下图所示,选择IP协议类型为TCP协议。
如下图所示,指定IP协议从任意端口到80端口。
如下图所示,完成IP筛选器向导,并编辑属性。
如下图所示,可以看到新建的访问公网Web服务列表,并单击下一步。
如下图所示,添加一个筛选操作名称为访问Web服务的筛选器操作。
如下图所示,设置筛选器操作的行为为许可。
如下图所示,选择访问Web服务的筛选器操作,并单击下一步。
如下图所示,在访问公网的Web服务安全策略的属性选择访问公网Web服务安全策略,并单击下一步。
如下图所示,访问公网的Web服务安全策略已经被指派。
(2)、以上步骤完成了IP安全策略的创建和Web服务器的端口添加, 也就是完成了内网只能上公网的计算机访问公网的Web服务。 6、内网的计算机可以访问公网
进行设置如下:
能够保证内网的计算机与公网的计算机相互ping通以及有适当的权限就可以访问公网了。因特网包探索器(ping),是用于测试网络连接量的程序,ping发送一个ICMP(因特网信报控制协议),回声请求消息给目的地并报告是否收到,来判断网络的连通性。同时通过新建VPN给用户适当的权限,使用户有权限访问公网,其新建的方法与使Internet有权限用户可以访问DMZ中的服务器差不多的。
如下图所示,在内网计算机(192.168.10.3)上,命令模式下运行ipconfig,可以看到本机IP地址信息等;然后运行ping 192.168.12.2,可以看到发送的四个包全都全部接收了,也就是
ping
通了。
如下图所示,在内网计算机(192.168.10.2)上,命令模式下运行ipconfig,可以看到本机IP地址信息等;然后运行ping 192.168.12.2,可以看到发送的四个包全都全部接收了,也就是ping通了。
通过以上的相互ping,可以得知内网与公网是相互连通的,其实ping命令的原理就是利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通,时延是多少。
7、内网计算机与DNS服务器通信需要加密
进行设置如下:
(1)、在内网计算机(192.168.10.3
)上新建
IP安全策略,在本地计算机上;配置内网计算机与DNS服务器通信时加密。
首先,在内网上计算机(192.168.10.3)开启服务器上IPSec Services策略服务。如下图所示:
如下图所示,在内网计算机(192.168.10.3)的命令模式下运行ipconfig,可以看到本机的IP地址、子网掩码、网关;然后运行ping 192.168.11.2,可以看到发送的四个包全都全部接收了,也就是ping通了。
开始
程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如下图所示。
如下图所示,设置IP安全策略的名称为通道加密。
如下图所示,完成IP安全策略向导,并选中编辑属性。
如下图所示,指定IP安全规则的隧道终结点为192.168.11.2。
如下图所示,添加IP筛选器列表为通信加密筛选器列表。
如下图所示,指定IP通信源地址为我的IP地址,也就是192.168.10.3。
如下图所示,指定IP通信的目标IP地址为192.168.11.2。
如下图所示,选择IP协议类型为UDP协议。
如下图所示,调协IP协议端口都为任意的端口。
如下图所示,选择通道加密筛选器列表,并单击下一步。
如下图所示,添加一个名称为通信加密筛选器操作的筛选器操作。
如下图所示,设置筛选器操作的行为为许可。
如下图所示,选择通道加密筛选器操作,并单击下一步。
如下图所示,在通道加密的属性中选择通道加密筛选器操作,并单击确定。
如下图所示,指派新建的IP安全规则:通道加密。
(2)、以上步骤完成了IP安全策略的创建,也就是完成了内网计算机与DNS服务器通信时通道是加密的。其实对于通信加密是保证了数据的安全性,因为它对源节点和目标节点之间传输的数据进行加密保护。
七、学习体会和心得:
通过三个周的时间来学习《网络安全技术安全教程》这门课,对于提高我们的网络安个管理水平和积累网络安全实践,具有非常重要的意义。在这学期中,我接触到了比较全面而且比较系统的网络安全知识,比如有密码技术的应用、网络资源的扫描、网络攻防技术、操作系统安全等,有时候对于不懂的问题,我们利用网络搜索来解决问题,这也提高了我们的自学能力。
通过学习本门课程,我初步掌握了防范和攻击的技能,懂了很多软件的使用方法和相关配置技巧,在计算机安全方面又多了一份经验和能力,把书本知识与通过实验渠道获得的知识结合起来,在已掌握的知识和经验上既能增强动于能力,又加深对专业知识的学习,以便更好的提高白己的操作技能,锻炼了我分析问题、解决问题的能力,当我通过实验去学习理论知识时,自己动手得出的结论,不仅能加深我对网络安全知识的理解,更能加深我对此的记忆。
通过本课程的学习,不但收获了知识,更加提高了自身的精神境界,端正自己的学习态度,只有真正下功夫去学习,才能有收获,相信只要努力了,肯定会有收获的。在以后的学习中,我也会更加努力学习的,让自己的专业知识更加丰富,以便有效地解决网络中的问题。
网络安全技术及其应用分析
一、 实验目标:
使用Windows操作系统服务器中的路由和远程访问组件,通过配置组件中的静态路由、虚拟专用网络(VPN),以及设置IPSec策略、数据包筛选器、NAT协议、建立相对应的服务器等操作,实现以下内容:
多个网络的互联(内网和外网) 禁止某一台内网的计算机上公网
只允许上公网的计算机访问公网的Web
服务 只允许访问DNS服务器的DNS的端口 禁止Ping服务器
内网的计算机可以访问公网
Internet有权限用户可以访问DMZ服务器 内网计算机与DNS服务器通信需要加密
二、根据实验要实现的内容,拓扑图设计如下:
三、所需设备:
根据拓扑图可以看出实验需要:五类(或超五类)直通双绞线7根,交换机(集线器)一台,具有多以太网卡、Windows操作系统服务器计算机4台。
四、技术支撑:
1、VPN
虚拟专用网络(VPN)属于远程访问技术,简单地说就是利用公
网链路架设私有网络。之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专用网络所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN的优势:建立网络快速方便、降低建立网络的成本、网络安全可靠(建立逻辑隧道及网络层的加密)、简化用户对网络的维护及管理。 2、IPSec
Internet协议安全性(IPSec),通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯,这样也防止专用网络与 Internet 的攻击,例如VPN。在通信过程中只有发送方和接收方才是唯一了解IPSec保护的计算机。作用目标:保护 IP 数据包的内容、通过数据包筛选及受信任通讯的实施来防御网络攻击、其中以接收和发送最为重要。 3、NAT协议
网络地址转换(NAT)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。 4、防火墙技术
防火墙是确保信息安全的设备,按照特定的规则,允许或者是阻止传输的数据通过。在Windows防火墙设置中,防火墙可以阻止网络恶意攻击,也可以阻止病毒的入侵。
现在许多防火墙在默认情况下也启用了ICMP过滤的功能,因为有
效防止ICMP攻击,防火墙应该具有状态检测、细致的数据包完整性检查和很好的过滤规则控制功能。Internet控制报文协议(ICMP)它是一种面向连接的协议,用于传输出错报告控制信息,对网络中的安全特别重要,因为它能侦测远端主机是否存在、建立及维护路由资料、资料流量控制。 5、入侵检测:
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 6、数据加密:
数据加密技术是为了提高信息系统与数据的安全性和保密性,防止机密数据被外部破解。它是利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。
五、网络安全技术解决的问题:
保护数据包在传输的安全问题:例如数据包会被窃取、偷听等,对于这种现象,网络安全采用了对通信的信道进行了加密,这样以来通信的安全得到了保障。
计算机的安全问题:就是利用防火墙和入侵检测技术来完成网络中的恶意攻击和病毒的入侵。
网络攻击的问题:就是利用IPSec策略通过数据包筛选及受信任通讯的实施来防御网络中的攻击。
漏洞问题:计算机通过利用自身和各种软件结合对漏洞进行及时的修复,以防止黑客的入侵。
六、实验步骤:
如拓扑图所示,以内网计算机IP地址为192.168.10.2为例进行实验,其IP地址设置如下图所示:
在内网计算机(192.168.10.2)上启用路由和远程访问服务,本地连接是本机的IP的地址、子网掩码、网关等信息,本地连接2是路由器左右两个网络的网关地址和子网掩码,如上图所示。
DMZ内的一台计算机IP地址设置,如上图所示。
在 在
在外网计算机(192.168.12.2)上设置三块网卡,本地连接1是本机的IP的地址、子网掩码、网关等信息,本地连接2是路由右边的IP地址信息,本地连接3是路由左边的IP地址信息,如上图所示。
如上图所示,在IP地址为192.168.10.2的内网计算机对IP地址为192.168.11.2执行了ping命令,结果显示了四次发包全部接收,并无丢包现象,也就是相互通的。其它计算机之间的ping也是差不多的,就是四次发包要全部接收到。
说明:在IP地址为192.168.11.2的计算机上安装DNS服务器、file服务器,在IP地址为192.168.12.2的计算机上 安装Web服务器。 1、使Internet有权限用户可以访问DMZ中的服务器 进行设置如下:
(1)、在外网计算机(192.168.12.2)上配置并启用路由和远程访问,建立VPN,如下图所示:
如下图所示,选择虚拟专用网络(VPN)和NAT
。
如下图所示,为VPN连接选择一个Internet网络接口。也就是本地连接2:192.168.12.1。
如下图所示,为VPN客户端选择要指派的网络,也就是本地连接3:192.168.11.3。
为VPN设置一个
IP
地址范围,如下图所示,本实验选择的是192.168.11.100~192.168.11.254。
如下图所示,为VPN设置可以访问的网络接口,也就是本地连接3:
192.168.11.3。
如下图所示,建立VPN完成了,并且启动路由和远程访问。
在计算机(192.168.12.2)上新建用户,如下图所示:
如下图所示,新建用户liu,并设置密码。
如下图所示,为用户liu设置远程允许访问的权限。
如上图所示,在计算机(192.168.12.2)上新建连接,选择网络连接类型为连接到我的工作场所的网络。
如上图所示,设置虚拟专用的网络连接,也就是通过VPN通过Internet连接到网络。
创建一个连接名为HP-liu,如上图所示。
如上图所示,设置IP地址为192.168.12.1。
如上图所示,完成新建连接,并在桌面上创建快捷方式。
如上图所示,连接HP-liu,输入用户名和密码。
如上图所示,在计算机(
192.168.12.2
)
命令模式下,运行“ipconfig”,可以看到新建VPN的随机获取的一个IP地址。
在计算机(192.168.11.2)上添加服务文件传输协议(FTP)服务,如下图所示:
如下图所示,在计算机(192.168.11.2)的默认FTP站点内新建文件111.txt。
文件111.txt的内容如下图所示:
(2)、以上VPN的配置和文件传输协议(FTP)服务配置都已完成,下面进行测试:
如上图所示,在计算机(192.168.12.2)的浏览器上输入ftp://192.168.11.2,可以看到在计算机(192.168.11.2)上建立的文件111.txt。
如上图所示,在计算机(192.168.12.2)上能看到文件111.txt的内容。到此VPN的配置和测试就完成了。
2、禁止某一台内网的计算机上公网
进行设置如下:
(1
)
、在内网计算机(192.168.10.2)上设置IP安全策略,禁止它访问公网。
开始程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如下图所示:
新建IP安全策略的名称为禁止上公网策略,如下图所示:
IP安全策略向导完成,并编辑属性,如下图所示:
打开新建禁止上公网策略的属性,并选择添加IP安全规则向导,如下图所示:
如下图所示,设置隧道终结点为192.168.12.2。
如下图所示,进行添加IP筛选器列表,名称为禁止上公网筛选器列表。
指定IP通信的源地址为192.168.10.2,如下图所示:
指定IP通信的目标地址为192.168.12.0,如下图所示:
如下图所示,选择IP协议类型为TCP协议。
完成IP筛选器向导,并编辑属性,如下图所示:
如下图所示,进行添加筛选器操作,名称为禁止上公网筛选器策略。
如下图所示,设置筛选器操作的行为为阻止。
如下图所示,完成安全规则向导,并编辑属性。
如下图所示,创建禁止上公网筛选器列表安全规则已完成。
如下图所示,指派新建的禁止上公网策略。
(2)、以上步骤完成了IP安全规则的创建,下面进行测试:
如上图所示,在命令模式下先刷新组策略,运行命令gpupdate /force,然后再运行命令ping 192.168.12.2,可以发现ping不通,也就是出现了超时。 3、禁止Ping服务器
进行设置如下:
(1)、在计算机(192.168.11.2)上进行实验,先使用ping命令,进行测试连通性,如下图所示:
如上图所示,计算机(192.168.11.2)与计算机(192.168.12.2)是相互连通的。
在计算机(192.168.10.2)上设置IP安全策略,禁止ping服务器。 开始程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如上图所示。
如上图所示,新建IP安全策略的名称为禁止ping服务器。
如上图所示,完成IP安全策略向导,并编辑属性。
如上图所示,对新建的IP安全策略添加IP安全规则。
如上图所示,为新建的安全规则指定一个隧道终结点:192.168.12.2。
如上图所示,选择网络类型为所有网络连接。
如上图所示,添加一个IP筛选器列表。
如上图所示,新建IP筛选器列表名称为禁止ping服务器列表。
如上图所示,IP通信的源地址为本地址,也就是192.168.11.2。
如上图所示,IP通信的目标地址为192.168.12.2。
如上图所示,选择协议类型为ICMP(传输控制报文协议)。
如上图所示,完成IP筛选器向导。
如上图所示,添加一个名称为禁止ping服务器的筛选器。
如上图所示,设置筛选器操作的行为为阻止。
如上图所示,选择禁止ping服务器筛选器,并点击下一步。
如上图所示,把新建禁止ping服务器的IP安全规则打勾,并单击确定。
如上图所示,指派新建的IP安全策略:禁止ping服务器。 (2)、禁止ping服务器的IP安全策略已配置完成了,下面进行测试。
如上图所示,本地IP地址为192.168.11.2,
当运行
ping 192.168.12.2时,会出现目标主机不可达现象。设置其它计算机的禁止ping,其原理都是差不多的。
4、只允许访问DNS服务器的DNS的端口 进行设置如下:
(1)、在内网计算机(192.168.10.2)上新建IP安全策略,在本地计算机上。只允许访问DNS服务器的DNS端口。
开始程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如上图所示。
如下图所示,新建的IP安全策略名称为只允许访问DNS端口IP安全策略。
如下图所示,完成IP安全策略向导,并编辑属性。
如下图所示,添加IP安全规则向导。
如下图所示,指定IP安全规则隧道终点为192.168.11.2。
如下图所示,选择网络类型为所有网络连接。
如下图所示,添加
IP
筛选器为只允许访问DNS端口IP筛选器列表。
如下图所示,指定IP通信的源地址为192.168.10.2(本机IP地址)。
如下图所示,指定IP通信的目标地址为192.168.11.2。
如下图所示,选择IP协议类型为UDP。
如下图所示,设置从任意端口到53号端口(DNS服务器端口)。
如下图所示,只允许访问DNS端口IP筛选器列表已完成了,单击下一步:
如下图所示,输入筛选器操作的名称为只允许访问DNS端口筛选器操作。
如下图所示,设置筛选器操作的行为为许可。
如下图所示,选择只允许访问DNS端口筛选器列表,并单击下一步。
如下图所示,选择刚才新建的IP安全规则只允许访问DNS端口IP安全策略,并打勾,单击确定。
如下图所示,指派只允许访问DNS端口IP安全策略。并完成了IP安全策略的建立。
如下图所示,在计算机(192.168.11.2)上,更改Windows防火墙设置,在例外选项卡中选择添加端口。
如上图所示,添加端口的名称为DNS端口,端口号为53,协议为UDP。
(2)、以上步骤完成了IP安全策略的创建和DNS服务器的端口添加, 也就是完成了内网只能访问DNS服务器的DNS的端口的设置。 5、只允许上公网的计算机访问公网的Web服务
进行设置如下:
(1)、在内网计算机(192.168.10.3)上做实验,进行访问公网的Web服务。
如上图所示,在命令模式下运行ipconfig,可以看到本机的IP地址、子网掩码、网关。
开始程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如下图所示。
如下图所示,创建名称为访问公网的Web服务安全策略。
如下图所示,完成IP安全策略向导,并选择编辑属性。
如下图所示,指定IP安全规则的隧道终结点为192.68.12.2。
如下图所示,选择网络类型为所有网络连接。
如下图所示,添加一个IP筛选器列表为访问公网Web服务列表。
如下图所示,指定IP通信的源地址,也就是本机的IP:
192.168.10.2
。
如下图所示,指定IP通信的目标地址,也就是要访问Web服务器的IP地址:192.168.12. 2。
如下图所示,选择IP协议类型为TCP协议。
如下图所示,指定IP协议从任意端口到80端口。
如下图所示,完成IP筛选器向导,并编辑属性。
如下图所示,可以看到新建的访问公网Web服务列表,并单击下一步。
如下图所示,添加一个筛选操作名称为访问Web服务的筛选器操作。
如下图所示,设置筛选器操作的行为为许可。
如下图所示,选择访问Web服务的筛选器操作,并单击下一步。
如下图所示,在访问公网的Web服务安全策略的属性选择访问公网Web服务安全策略,并单击下一步。
如下图所示,访问公网的Web服务安全策略已经被指派。
(2)、以上步骤完成了IP安全策略的创建和Web服务器的端口添加, 也就是完成了内网只能上公网的计算机访问公网的Web服务。 6、内网的计算机可以访问公网
进行设置如下:
能够保证内网的计算机与公网的计算机相互ping通以及有适当的权限就可以访问公网了。因特网包探索器(ping),是用于测试网络连接量的程序,ping发送一个ICMP(因特网信报控制协议),回声请求消息给目的地并报告是否收到,来判断网络的连通性。同时通过新建VPN给用户适当的权限,使用户有权限访问公网,其新建的方法与使Internet有权限用户可以访问DMZ中的服务器差不多的。
如下图所示,在内网计算机(192.168.10.3)上,命令模式下运行ipconfig,可以看到本机IP地址信息等;然后运行ping 192.168.12.2,可以看到发送的四个包全都全部接收了,也就是
ping
通了。
如下图所示,在内网计算机(192.168.10.2)上,命令模式下运行ipconfig,可以看到本机IP地址信息等;然后运行ping 192.168.12.2,可以看到发送的四个包全都全部接收了,也就是ping通了。
通过以上的相互ping,可以得知内网与公网是相互连通的,其实ping命令的原理就是利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通,时延是多少。
7、内网计算机与DNS服务器通信需要加密
进行设置如下:
(1)、在内网计算机(192.168.10.3
)上新建
IP安全策略,在本地计算机上;配置内网计算机与DNS服务器通信时加密。
首先,在内网上计算机(192.168.10.3)开启服务器上IPSec Services策略服务。如下图所示:
如下图所示,在内网计算机(192.168.10.3)的命令模式下运行ipconfig,可以看到本机的IP地址、子网掩码、网关;然后运行ping 192.168.11.2,可以看到发送的四个包全都全部接收了,也就是ping通了。
开始
程序管理工具本地组策略IP安全策略,在本地计算机上,并创建IP安全策略。如下图所示。
如下图所示,设置IP安全策略的名称为通道加密。
如下图所示,完成IP安全策略向导,并选中编辑属性。
如下图所示,指定IP安全规则的隧道终结点为192.168.11.2。
如下图所示,添加IP筛选器列表为通信加密筛选器列表。
如下图所示,指定IP通信源地址为我的IP地址,也就是192.168.10.3。
如下图所示,指定IP通信的目标IP地址为192.168.11.2。
如下图所示,选择IP协议类型为UDP协议。
如下图所示,调协IP协议端口都为任意的端口。
如下图所示,选择通道加密筛选器列表,并单击下一步。
如下图所示,添加一个名称为通信加密筛选器操作的筛选器操作。
如下图所示,设置筛选器操作的行为为许可。
如下图所示,选择通道加密筛选器操作,并单击下一步。
如下图所示,在通道加密的属性中选择通道加密筛选器操作,并单击确定。
如下图所示,指派新建的IP安全规则:通道加密。
(2)、以上步骤完成了IP安全策略的创建,也就是完成了内网计算机与DNS服务器通信时通道是加密的。其实对于通信加密是保证了数据的安全性,因为它对源节点和目标节点之间传输的数据进行加密保护。
七、学习体会和心得:
通过三个周的时间来学习《网络安全技术安全教程》这门课,对于提高我们的网络安个管理水平和积累网络安全实践,具有非常重要的意义。在这学期中,我接触到了比较全面而且比较系统的网络安全知识,比如有密码技术的应用、网络资源的扫描、网络攻防技术、操作系统安全等,有时候对于不懂的问题,我们利用网络搜索来解决问题,这也提高了我们的自学能力。
通过学习本门课程,我初步掌握了防范和攻击的技能,懂了很多软件的使用方法和相关配置技巧,在计算机安全方面又多了一份经验和能力,把书本知识与通过实验渠道获得的知识结合起来,在已掌握的知识和经验上既能增强动于能力,又加深对专业知识的学习,以便更好的提高白己的操作技能,锻炼了我分析问题、解决问题的能力,当我通过实验去学习理论知识时,自己动手得出的结论,不仅能加深我对网络安全知识的理解,更能加深我对此的记忆。
通过本课程的学习,不但收获了知识,更加提高了自身的精神境界,端正自己的学习态度,只有真正下功夫去学习,才能有收获,相信只要努力了,肯定会有收获的。在以后的学习中,我也会更加努力学习的,让自己的专业知识更加丰富,以便有效地解决网络中的问题。