网络安全综合实训讲述.doc

实 习 报 告 （课程置换:网络安全综合实训） \  摘 要 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的企业级计算机处理系和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 因此计算机安全问题，应该像每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。 VPN隧道技术（VPN Tunneling）是一种通过使用互联网络的基础设施在网络之间传递数据的方式，对位于企业局域网端的企业服务器建立连接，对用户端透明，支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，是非常受欢迎的电信业务。通过对VPN技术的安全保障以及服务质量保证两个方面详细分析VPN技术的优点。设计了组建基于VPN的远程办公网络的组网方案，并详细列出了设计步骤、网络拓扑图、网络模拟实验结果等。 目 录 摘 要 I 第1章 中文配置校园网（大型企业）出口网关 1 1.1 组网需求 1 1.2 网络规划 1 1.3 操作步骤 4 1.3.1 配置Eudemon 各接口的IP 地址并将接口加入安全区域。 4 1.3.2 配置域间包过滤及ASPF 功能。 5 1.3.3 配置NAT outbound。 6 1.3.4 配置多条静态路由和两条缺省路由。 7 1.3.5 配置NAT Server。 8 1.3.6 配置DPI 控制P2P 行为。 8 1.4 结果验证 9 1.4.1 执行命令display nat al。 9 1.4.2 通过在网络中操作，检查业务是否能够正常实现。 10 1.4.3 执行命令display dpi statistic。 12 1.5 配置脚本 12 第2章 不同机构的员工通过不同VPN 访问公司内网 16 2.1组网需求 16 2.2网络规划 17 2.3操作步骤 19 2.3.1配置分支机构与总部之间的L2TP over IPSec 19 2.3.2 配置出差员工与总部之间的SSL VPN 25 2.3.3 配置合作伙伴与总部之间的IPSec 28 2.4结果验证 32 2.4.1 验证分支机构和总部之间的L2TP over IPSec 配置。 32 2.4.2 验证出差员工与总部之间的SSL VPN 配置 34 2.4.3 验证合作伙伴和总部之间的IPSec 配置 34 2.5配置脚本 36 2.5.1 Eudemon_A 的配置脚本 36 2.5.2 Eudemon_B 的配置脚本 39 2.5.3 Eudemon_C 的配置脚本 40 第4章 实习总结 42 第5章 实习日志 43  中文配置校园网（大型企业）出口网关 1.1 组网需求 l 学校有校内用户约500 个、提供对外访问的服务器2 台。校内用户主要分布在教学楼和宿舍区，校内2 台提供对外访问的服务器分布在图书馆，是该校主页、招生及资源共享等网站。 2 学校分别通过两个不同运营商链路连接到Internet，带宽都100Mbit/s。 两个运营商ISP1、ISP2 分别为该校分配了5 个IP 地址。ISP1 分配的IP 地址是 ～ ，ISP2 分配的IP 地址是 ～ 。 ISP1 提供的接入点为0，ISP2 提供的接入点为0。该学校网络需要实现以下需求： 3 校内用户能够通过两个运营商访问Internet，且为了提高访问速度，将需要去往不同运营商的流量分别由连接两个运营商网络的接口转发。当一条链路出现故障时，能够保证流量及时切换到另一条链路，避免网络长时间中 断。 4 校内用户和校外用户都能够访问学校提供对外访问的服务器。 5 由于该学校P2P 流量较大，对网络影响严重，需要对校内用户进行P2P 限流。 6 需要保护内部网络不受到SYN Flood、UDP Flood 和ICMP Flood 攻击。 1.2 网络规划 根据校园网络情况和需求，网络规划如下： l 为了实现校园网用户使用有限公网IP 地址接入Internet，需要配置NAPT 方式的NAT，借助端口将多个私