【正文】 3． 無線網(wǎng)絡(luò)接 入認(rèn)證 4．于用戶身份認(rèn)證的動態(tài) VLAN 分配 5．基于用戶身份認(rèn)證的動態(tài)訪問控制（ ACL） 四．實驗參考拓?fù)鋱D 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 3 五．實驗步驟： 身份認(rèn)證實驗 拓?fù)鋱D： 步驟一：配置路由器的 IP 地址。 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 2 實驗項目 第一部分 必修實驗 實驗一： 網(wǎng)絡(luò)身份識別 一 ． 實驗學(xué)時： 2學(xué)時 二．實 驗 目 的 ： 基于用戶身份的網(wǎng)絡(luò)安全管理是目前的網(wǎng)絡(luò)安全管理中的重要考慮之一，在實際的網(wǎng)絡(luò)環(huán)境中被頻繁的用到。 三、實驗項目設(shè)置 本課程實驗項目分為 2 部分：必修實驗與選修實驗。 二、實驗基本要求 理論聯(lián)系實際， 通過實驗，準(zhǔn)確掌握 網(wǎng)絡(luò)安全的基本范疇、實施方法和步驟； 通過實驗，熟練掌握各種網(wǎng)絡(luò)互聯(lián)設(shè)備的連接安全和安全 配置； 熟練運用 各種網(wǎng)絡(luò)安全技術(shù)進(jìn)行一些典型的網(wǎng)絡(luò)安全系統(tǒng)工程解決方案設(shè)計； 每一個必修實驗都具有綜合性、設(shè)計性性質(zhì)，每一個實驗都必須先完成實驗方案后才能進(jìn)行實驗，必須 對 方案的可靠性、實驗 結(jié)果進(jìn)行分析 。 31 實驗六：路由配置和簡單的路由程序 11 實驗二：網(wǎng)絡(luò)攻擊和應(yīng)對 5 實 驗三：中小型企業(yè)網(wǎng)絡(luò)安全方案設(shè)計 2 第一部分 必修實驗 1 實驗項目 網(wǎng)絡(luò)安全工程 實驗指導(dǎo)書 適用專業(yè)：網(wǎng)絡(luò)工程 雷文 編寫 四川理工學(xué)院 計算機(jī)學(xué)院 2020 年 3 月 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 I 目 錄 課程簡介 2 實驗一：網(wǎng)絡(luò)身份識別 2 實驗二：網(wǎng)絡(luò)訪問控制技術(shù)應(yīng)用 8 第二部分 選修實驗 11 實驗一： VPN 虛擬專用網(wǎng)設(shè)計 14 實驗三：網(wǎng)絡(luò)入侵檢測 19 實驗四：端點防護(hù) 29 實驗五：數(shù)字證書的申請 36 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 1 課程簡介 一、實驗課程教學(xué)性質(zhì)和目的 本課程為網(wǎng)絡(luò)工程專業(yè)的專業(yè)課程，通過實驗，學(xué)生可以掌握基本的信息保密技術(shù)的設(shè)計、實現(xiàn)等方法，以及具有一定的網(wǎng)絡(luò)攻擊防范能力和技術(shù)。 每個 必修實驗，均要完成相 應(yīng)的 實驗報告。必修實驗要求學(xué)生在《網(wǎng)絡(luò)安全工程》課程學(xué)習(xí)期間，必須完成的實驗環(huán)節(jié)內(nèi)容，列為期末成績考核；選修實驗是供對本課程有較大興趣的同學(xué)，在學(xué)習(xí)本課程之外，根據(jù)自己的實際情況，課外完成的實驗內(nèi)容，通過選作實驗 的學(xué)習(xí)，可以強(qiáng)化學(xué)生在該門課程以及擴(kuò)展內(nèi)容上的知識應(yīng)用及問題解決能力。通過網(wǎng)絡(luò)身份識別實驗，讓實驗者對網(wǎng)絡(luò)的接入控制進(jìn)行了全面了解，同時通過對用戶的分類等工作讓實驗者有了系統(tǒng)的管理理念。 步驟二：將 R1 的 s1 接口改為 ppp 協(xié)議 . 并配置雙向身份驗證 R1(config)inter serial 1 R1(configif)encapsulation ppp R1(configif)exit R1(config)hostname R1 R1(config)username R2 password cisco R1(config)interface serial 1 R1(configif)ppp authentication [ chap | pap ] 步驟三：將 R2 的 S0 改為 PPP 協(xié)議，并配置身份驗證 R2(config)host R2 R2(config)username R1 password cisco R2(config)interface serial 0 R2(configif)encapsulation ppp R2(configif)ppp authentication [ chap | pap ] 步驟四：確認(rèn)雙方是否可以 PING 通。 R1(config)interface serial 1 R1(configif)encapsulation ppp R1(configif)ppp chap hostname wy R1(configif)ppp chap password 123 R1(configif)exit 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 4 步驟七：確認(rèn)雙方是否可以 PING 通。 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 5 實驗二： 網(wǎng)絡(luò) 訪問 控制技術(shù)應(yīng)用 一．實驗學(xué)時： 4學(xué)時 二． 實驗?zāi)康模? 訪問控制是各種網(wǎng)絡(luò)訪問機(jī)制的集合，通過這些這些機(jī)制使管理者可以針對網(wǎng)絡(luò)中的流量，網(wǎng)絡(luò)中的各種行為實行控制。 三．實驗內(nèi)容： 1）基于訪問控制列表的網(wǎng)絡(luò)訪問控制； 2）端口限速的網(wǎng)絡(luò)訪問控制； 3）網(wǎng)絡(luò)訪問行為控制； 4）基于端口的網(wǎng)絡(luò)訪問安全控制。 四．實驗參考拓?fù)鋱D 五．實驗步驟 本實驗網(wǎng)絡(luò)拓?fù)浼僭O(shè)為某單位屬于不同網(wǎng)段的三個部門：辦公室、人事處和財務(wù)處，網(wǎng)絡(luò)地址分別為 、 ，如下圖所示。在路由器 RouterA與 RouterB 之間配置靜態(tài)路由協(xié)議。 Router configure terminal (進(jìn)入“全局配置”模式 ) Router（ config） (已進(jìn)入“全局配置”模式 ) Router（ config） hostname RouterA (將路由器的名稱更改為“ RouterA” ) RouterA（ config） interface fastether 0/0 （進(jìn)入路由器 fastether0/0 端口配置模式） RouterA(configif)ip address （將路由器 fastether 0/0 端口的地址配置為 ，子網(wǎng)掩碼為 ，本網(wǎng)段只有兩個合法的 IP 地址） RouterA(configif)no shutdown （開啟路由器的 fastether 0/0 端口） RouterA(configif)exit （返回全局配置模式） RouterA（ config） interface fastether 0/1 （進(jìn)入路由器 fastether0/1 端口配置模式） RouterA(configif)ip address （將路由器 fastether0/1 端口的地址配置為 ，子網(wǎng)掩碼為 ） RouterA(configif)no shutdown （開啟路由器的 fastether0/1 端口） RouterA(configif)exit RouterA（ config） interface fastether 0/2 RouterA(configif)ip address RouterA(configif)no shutdown RouterA(configif)exit 路由器 RouterB 的基本配置。 RouterA（ config） ip route RouterB（ config） ip route RouterB（ config） ip route 在路由器 RouterB 上配置標(biāo)準(zhǔn)訪問控制列表，名稱為 accesslist 10。 RouterB（ config） interface fastether0/1 RouterB（ configif） ip accessgroup 10 out （在 fastether0/1 的出站端口上調(diào)用 ACL） RouterB（ configif） end RouterBwrite memory 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 8 實驗三： 中小型企業(yè) 網(wǎng)絡(luò) 安全方案設(shè)計 一．實驗學(xué)時： 4學(xué)時 二． 實驗?zāi)康模? 熟悉安全系統(tǒng)（主要集中在網(wǎng)絡(luò)系統(tǒng)）的工程設(shè)計，掌握安全技術(shù)協(xié)作、溶合，熟練掌握網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃設(shè)計。 三．實驗內(nèi)容： 結(jié)合企業(yè)實際應(yīng)用需求，綜合分析威脅企業(yè) 網(wǎng)絡(luò)安全的因素，根據(jù)所掌握的安全技術(shù)，規(guī)劃設(shè)計一個可行的網(wǎng)絡(luò)安全解決方案 具體實驗中，可以兩個小組的實驗臺進(jìn)行組合設(shè)計綜合安全實驗，主要以以太網(wǎng)、廣域網(wǎng)和無線局域網(wǎng)的安全技術(shù)為主要設(shè)計思想，覆蓋的主流安全網(wǎng)絡(luò)技術(shù)有： ? 認(rèn)證技術(shù) ? 端點安全準(zhǔn)入技術(shù) ? IDS 入侵防御系統(tǒng) ? IDS 入侵聯(lián)動 ? 防火墻系統(tǒng) ? 無線接入認(rèn)證技術(shù) ? 無線安全技術(shù) 四．實驗參考拓?fù)鋱D 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 9 五．實驗步驟 VPN 的模擬仿真運行 （ 1）指導(dǎo)思想 通過對基于 IPSEC 的虛擬專用網(wǎng) VPN 的配置和測試，進(jìn)一步了解網(wǎng)絡(luò)保密通信技術(shù)以及 VPN 技術(shù)所 實現(xiàn)的高層保密技術(shù)。 （ 3） 涉及的內(nèi)容或知識點 實驗涉及 TCP/IP 協(xié)議、 sniffer 工具、 VPN 技術(shù)等相關(guān)的內(nèi)容。 安全掃描器的實驗 （ 1）指導(dǎo)思想 通過綜合使用安全掃描工具，了解安全評估的基本工作手段，加深對各種網(wǎng)絡(luò)和系統(tǒng)的安全評估理解。 （ 3）涉及的內(nèi)容或知識點 實驗涉及 TCP/IP 協(xié)議、端口、安全評估、掃描原理與技術(shù)等相關(guān)的內(nèi)容。 防火墻實驗 （ 1）指導(dǎo)思想 通過對一個實際的防火墻進(jìn)行配置和測試，進(jìn)一步了解防火墻的概念和功能及其在構(gòu)筑信息安全體系結(jié)構(gòu)上的作用和意義，使學(xué)生能夠正確認(rèn)識防火墻的特點及其局限性。 （ 3）涉及的內(nèi)容或知識點 實驗涉及 TCP/IP 協(xié)議、 sniffer 工具、防火墻技術(shù)等相關(guān)的內(nèi)容。 入侵檢測實驗 （ 1）指導(dǎo)思想 通過對一個實際的 IDS 系統(tǒng)的配置和測試，進(jìn)一步了解 IDS 的概念和功能及其在構(gòu)筑信息安全體系結(jié)構(gòu)上的作用和意義，使學(xué)生能夠正確認(rèn)識 IDS 的特點及其局限性。 （ 3）涉及的內(nèi)容或知識點 實驗涉及 TCP/IP 協(xié)議、 sniffer 工具、 IDS 技術(shù)等相關(guān)的內(nèi)容。 無線接入安全技術(shù) （ 1）指導(dǎo)思想 在實驗室內(nèi) /實驗樓內(nèi)部署無線接入網(wǎng)絡(luò)，對無線接入點的路由選擇、用戶認(rèn)證以無線網(wǎng)絡(luò)安全等進(jìn)行配置，實現(xiàn)樓內(nèi)無線漫游。了解和掌握搭建安全無線網(wǎng)絡(luò)所需的各種技術(shù)和手段，為設(shè)計無線網(wǎng)絡(luò)打下堅實基礎(chǔ)?？梢钥吹揭呀?jīng)有一個電腦通過 WPAPSK 加密方式連接到路由器上。 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 11 第二部分 選修實驗 實驗一： VPN 虛擬專用網(wǎng)設(shè)計 一．實驗學(xué)時： 4學(xué)時 二． 實驗?zāi)康模? VPN 做為目前流行的網(wǎng)絡(luò)技術(shù)之一， VPN 技術(shù)利用公共互聯(lián)網(wǎng)或者服務(wù)提供商所共享的 IP 網(wǎng)絡(luò)來做為訪問內(nèi)部網(wǎng)絡(luò)的傳輸媒介，從而避免了采用 DDN 等其它廣域網(wǎng)連接方式所需的昂貴 的專線租用費用。 三．實驗內(nèi)容： 1．對點 IPSEC VPN 2．多點動態(tài) VPN 3． PPTP 4． L2TP 5． GW到 GW的 VPN 6． VPN承載路由協(xié)議 7． EASY VPN 四 ． 實驗參考拓?fù)鋱D 五．實驗步驟 vpn access server 的配置 （ 1） 配置 isakmp policy： crypto isakmp policy 1 encr 3des 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 12 authen preshare group 2 （ 2） 配置 v