cisco網(wǎng)絡(luò)安全專周實(shí)訓(xùn)報(bào)告

專周實(shí)訓(xùn)需求分析：四川北普網(wǎng)絡(luò)有限公司是一家有200名員工的中小型網(wǎng)絡(luò)公司，主要以IDC服務(wù)、云計(jì)算、無線互聯(lián)、游戲研發(fā)運(yùn)營為核心產(chǎn)業(yè)，并全心致力于互聯(lián)網(wǎng)高新技術(shù)產(chǎn)品的研發(fā)和運(yùn)營。公司目前在成都有一個(gè)運(yùn)營中心，約80臺(tái)計(jì)算機(jī)及一些服務(wù)器，在南充有一個(gè)辦事處，約30臺(tái)計(jì)算機(jī)及工作站；公司對網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。公司網(wǎng)絡(luò)安全需求：四川北普有限公司根據(jù)業(yè)務(wù)發(fā)展需求，現(xiàn)有Web、Mail、NTP、Syslog、SSH等服務(wù)器和辦公區(qū)客戶機(jī)。R1路由器作為成都運(yùn)營中心邊界路由器，并充當(dāng)CBAC防火墻，辦公區(qū)內(nèi)有NTP、Syslog、Mail服務(wù)器及一臺(tái)工作站，vlan劃分為財(cái)務(wù)部門（20臺(tái)）和業(yè)務(wù)部門（60臺(tái)），需要他們之間相互隔離。R2路由器作為南充辦事處的邊界路由器，該辦事處網(wǎng)絡(luò)內(nèi)有SSH服務(wù)器和Web服務(wù)器；vlan劃分為財(cái)務(wù)部門（5臺(tái)）、業(yè)務(wù)部門（12臺(tái)）及市場部（13臺(tái)）；同時(shí)由于考慮到Internet的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP欺騙、mac地址溢出等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）通過強(qiáng)密碼保護(hù)邊界路由器安全（3）為保證安全配置AAA認(rèn)證（4）配置SSH服務(wù)器保證加密安全（5）為路由器配置syslog服務(wù)器及NTP（6）在R1及R2路由器上配置CBAC及ZPF防火墻策略（7）保護(hù)局域網(wǎng)交換機(jī)安全及端口保護(hù)（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。安全實(shí)現(xiàn)：R3路由器連接R1、R2路由器，充當(dāng)ISP的角色，在R1和R2之間配置IpsecVPN以保證數(shù)據(jù)通信安全，合理劃分并命名各vlan以保證局域網(wǎng)安全及防范危害擴(kuò)散；通過防火墻策略實(shí)現(xiàn)運(yùn)營中心及辦事處網(wǎng)絡(luò)設(shè)備僅能被管理主機(jī)安全管理等需求。安全設(shè)計(jì)要求：IP地址劃分不限、設(shè)備選型不限、路由方式不限；但在實(shí)訓(xùn)報(bào)告中要求給出詳細(xì)地址表IP地址表：設(shè)備接口Ip地址子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)連接端口MS1F0/1SVI1S11F0/2F0/2SVI1S12-1F0/1F0/3S12-1F0/2F0/4S12-1F0/3F0/5R1F0/1R1F0/0S1F0/5F0/1MS1F0/5S0/3/0R3S0/3/0R3S0/3/010.3.11R1S0/3/0S0/3/1R2S0/3/0R2F0/0S2F0/1F0/1MS2F0/4S0/3/0R3S0/3/1MS2F0/1SVI2S21F0/2F0/2SVI2S22F0/2F0/3SVI23S23F0/1F0/4R2F0/1MailS1F0/1SyslogS1F0/2NTPS1F0/3WorkstationS1F0/4managementS1F0/6SSHS2F0/2Web10.2.25S2F0/32vlan劃分表設(shè)備VlanidVlannameIp地址子網(wǎng)掩碼備注VLAN11CaiwuMS1VALN12YewuMS2VLAN21CaiwuVLAN22YewuVALN23Shichang3密碼口令設(shè)備口令用戶名說明R1（控制臺(tái)及虛擬線路）r1net112R1R2（控制臺(tái)及虛擬線路）r2net112R2R3（控制臺(tái)及虛擬線路）r3net112R3S1s1net112S1S2s2net112S2MS1ms1net112MS1MS2ms2net112MS2SSHsshnet112SSHSYSLOGsyslognet112SYSLOGVPNvpnnet112VPNNTPntpnet112NTPAAAaaanet112AAA4安全目標(biāo)1根據(jù)密碼安全策略路由器密碼最小長度6并開啟密碼加密2配置路由器交換機(jī)控制線路及虛擬線路密碼；登出時(shí)間為5分鐘3在路由器上對窺探者聲明“nounauthorizedaccess”4在邊界路由器上開啟AAA服務(wù)5將R1路由器配置為NTP客戶端，并采用MD5加密認(rèn)證方式6將R1路由器配置為Syslog客戶端并接收路由器登錄信息并加以驗(yàn)證配置成功7在R2路由器上配置SSH服務(wù)，要求ssh超時(shí)時(shí)間為90秒，最大嘗試次數(shù)28位于運(yùn)營中心的管理主機(jī)可任意管理網(wǎng)絡(luò)設(shè)備及DMZ區(qū)的各個(gè)服務(wù)器（含辦事處）9運(yùn)營中心內(nèi)的工作站僅能被運(yùn)營中心所訪問10位于成都運(yùn)營中的mail服務(wù)器僅對內(nèi)網(wǎng)所有主機(jī)（含南充）提供收發(fā)郵件服務(wù)，外網(wǎng)主機(jī)無訪問權(quán)限11辦事處web服務(wù)器對外網(wǎng)正常服務(wù)；但外網(wǎng)主機(jī)不得ping探測web服務(wù)器12在R1路由器上部署CBAC防火墻防止來自外網(wǎng)的主機(jī)icmp探測13在R2路由器上部署ZPF防火墻防止來自外網(wǎng)主機(jī)的探測并應(yīng)用在正確的端口上14在內(nèi)部交換機(jī)上關(guān)閉接收DTP信息，設(shè)置風(fēng)暴控制值為40%，在各接入端口上開啟端口安全以及bpdu保護(hù)，trunk接口上啟用root保護(hù)15在連接管理主機(jī)的端口上開啟mac地址綁定，有非法主機(jī)接入時(shí)關(guān)閉端口以保證內(nèi)網(wǎng)安全5備注：實(shí)驗(yàn)報(bào)告中要求有每一臺(tái)網(wǎng)絡(luò)設(shè)備配置詳細(xì)命令信息及說明實(shí)驗(yàn)報(bào)告中無完整詳細(xì)拓?fù)浣Y(jié)構(gòu)圖0分無地址表及vlan劃分方案0分無用戶名密碼數(shù)據(jù)庫表0分實(shí)驗(yàn)報(bào)告未提供ACL及對應(yīng)測試結(jié)果0分實(shí)驗(yàn)報(bào)告未提供服務(wù)器測試結(jié)果0分周5下午提交PT文件及實(shí)驗(yàn)報(bào)告四川電力職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全專周實(shí)訓(xùn)報(bào)告姓名：鐘玉平學(xué)號(hào)：112034專業(yè)班級(jí)：計(jì)算機(jī)網(wǎng)絡(luò)一實(shí)訓(xùn)目標(biāo)通過公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃，搭建一個(gè)高速、安全、可靠的網(wǎng)絡(luò)結(jié)構(gòu)，使企業(yè)信息能夠高度共享、傳遞及管理，并能安全的與廣域網(wǎng)互聯(lián)。運(yùn)用所學(xué)的CCNA安全知識(shí)，通過對四川北普有限公司對網(wǎng)絡(luò)安全需求的分析，制定一套有效的強(qiáng)密碼和安全策略，保證公司內(nèi)部與外部通信時(shí)的網(wǎng)絡(luò)和數(shù)據(jù)安全，防止非法入侵。通過實(shí)訓(xùn)進(jìn)一步的理解網(wǎng)絡(luò)安全理論知識(shí)以及配置方法，提高網(wǎng)絡(luò)安全的設(shè)計(jì)和支持能力。二實(shí)訓(xùn)周期2013.11.182013.11.223.1內(nèi)容簡介隨著四川北普網(wǎng)絡(luò)有限公司的不斷發(fā)展，擁有成都運(yùn)營中心和南充辦事處兩個(gè)部分，該公司對網(wǎng)絡(luò)的依耐性不斷增強(qiáng)，原來的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，所以該公司需要構(gòu)建更加健全的網(wǎng)絡(luò)安全體系，保證公司內(nèi)外網(wǎng)的數(shù)據(jù)安全及網(wǎng)絡(luò)安全。3.2需求分析成都運(yùn)營中心有Mail、NTP、Syslog等服務(wù)器,需要配置SSH服務(wù)器保證加密安全，為路由器配置syslog服務(wù)器及NTP。運(yùn)營中心內(nèi)部分為財(cái)務(wù)部門和業(yè)務(wù)部門還有南充辦事處，在路由器之間配置IpsecVPN以保證數(shù)據(jù)通信安全，合理劃分并命名各vlan以保證局域網(wǎng)安全及防范危害擴(kuò)散。由于考慮到Internet的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP欺騙、mac地址溢出等。通過強(qiáng)密碼保護(hù)邊界路由器安全、配置CBAC及ZPF防火墻策略、交換機(jī)安全及端口保護(hù)，最終實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。3.3實(shí)驗(yàn)拓?fù)鋱D3.4任務(wù)目標(biāo)1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃，合理劃分并命名各vlan以保證局域網(wǎng)安全及防范危害擴(kuò)散。2）在成都運(yùn)營中心和南充辦事處之間配置IpsecVPN以保證數(shù)據(jù)通信安全。3）通過防火墻策略實(shí)現(xiàn)運(yùn)營中心及辦事處網(wǎng)絡(luò)設(shè)備僅能被管理主機(jī)安全管理等需求。3.5任務(wù)實(shí)現(xiàn)(詳細(xì)命令與說明)R1配置ip地址及rip路由協(xié)議使網(wǎng)絡(luò)實(shí)現(xiàn)基層互通。R1(config)#routerripR1(config)#version2R1(config)#network2.密碼安全策略,路由器密碼最小長度6并開啟密碼加密:R1(config)#securitypasswordsmin-length6R1(config)#servicepassword-encryptionR1(config)#bannermotd"nounauthorizedaccess"3.配置R1的本地用戶名和密碼R1(config)#usernameR1R1(config)#enablesecretr1net1124.啟用AAA認(rèn)證R1(config)#usernameAAAsecretaaanet112R1(config)#aaanew-modelR1(config)#aaaauthenticationlogindefaultlocal5.配置控制線路及虛擬線路密碼,登出時(shí)間為5分鐘：R1(config)#linevty04R1(config-line)#passwordr1net112R1(config-line)#exec-timeout5R1(config-line)#loginlocalR1(config)#lineconsole0R1(config-line)#passwordr1net112R1(config-line)#login6.將R1路由器配置為Syslog客戶端并接收路由器登錄信息:R1(config)#logginghostR1(config)#loggingtrapR1(config)#loginon-successlog7.在R1上的安全策略相關(guān)ACL的配置R1(config)#ipaccess-listextendedVTY-ACLR1(config)#permittcphostanyeq23R1(config)#permiticmpanyanyR1(config)#denyipanyanyR1(config)#linevty04R1(config-line)#ipaccess-classVTY-ACLin(實(shí)現(xiàn)效果：位于運(yùn)營中心的管理主機(jī)可任意管理網(wǎng)絡(luò)設(shè)備及DMZ區(qū)的各個(gè)服務(wù)器（含辦事處）該配置和下面的R2配置是一體的，共同實(shí)現(xiàn)一個(gè)才效果)R1(config)#ipaccess-listextendedZX-ACLR1(config)#permittcp55hosteqsmtpR1(config)#permittcp55hosteqpop3(實(shí)現(xiàn)效果：位于成都運(yùn)營中的mail服務(wù)器僅對內(nèi)網(wǎng)所有主機(jī)（含南充）提供收發(fā)郵件服務(wù)，外網(wǎng)主機(jī)無訪問權(quán)限)R1(config)#denyicmp55hostechoR1(config)#permitipanyanyR1(config)#inters0/3/0R1(config-if)#ipaccess-groupZX-ACLin(實(shí)現(xiàn)效果：運(yùn)營中心內(nèi)的工作站僅能被運(yùn)營中心所訪問。注：為了將管理主機(jī)與工作站分開，是效果看著更加明顯，所以在服務(wù)器群區(qū)添加了一臺(tái)Management主機(jī))R1(config)#ipinspectnameout2inR1(config)#access-list101permiticmp55anyR1(config)#access-list101denyipanyanyR1(config)#inters0/3/0R1(config-if)#ipaccess-group101in(實(shí)現(xiàn)效果：部署CBAC防火墻防止來自外網(wǎng)的主機(jī)icmp探測)R21.配置ip地址及rip路由協(xié)議使網(wǎng)絡(luò)實(shí)現(xiàn)基層互通。R2(config)#routerripR2(config)#version2R2(config)#network2.密碼安全策略,路由器密碼最小長度6并開啟密碼加密:R2(config)#securitypasswordsmin-length6R2(config)#servicepassword-encryptionR2(config)#bannermotd"nounauthorizedaccess"3.配置R1的本地用戶名和密碼R2(config)#usernameR2R2(config)#enablesecretr2net1124.啟用AAA認(rèn)證R2(config)#usernameAAAsecretaaanet112R2(config)#aaanew-modelR2(config)#aaaauthenticationlogindefaultlocal5.R2上的SSH配置命令詳見“SSH配置板塊”6.在R2上的安全策略相關(guān)ACL的配置：R2(config)#ipaccess-listextendedVTY-ACLR2(config)#permittcphostanyeq23R2(config)#permiticmpanyanyR2(config)#denyipanyanyR2(config)#linevty04R2(config-line)#ipaccess-classVTY-ACLin(實(shí)現(xiàn)效果：位于運(yùn)營中心的管理主機(jī)可任意管理網(wǎng)絡(luò)設(shè)備及DMZ區(qū)的各個(gè)服務(wù)器（含辦事處），該配置和上面的R1配置是一體的，共同實(shí)現(xiàn)一個(gè)才效果)R2(config)#ipaccess-listextendedWEB-ACLR2(config)#denyicmp55hostechoR2(config)#permitipanyanyR2(config)#interf0/0R2(config-if)#ipaccess-groupWEB-ACLout(實(shí)現(xiàn)效果：辦事處web服務(wù)器對外網(wǎng)正常服務(wù)；但外網(wǎng)主機(jī)不得ping探測web服務(wù)器)R2(config)#zonesecurityinsideR2(config)#zonesecurityoutsideR2(config-cmap)#class-maptypeinspectforexampleR2(config-cmap)#matchaccess-group101R2(config)#access-list101permitip55anyR2(config)#policy-maptypeinspectinsidetooutsideR2(config-pmap)#classtypeinspectforexampleR2(config-pmap-c)#inspectR2(config)#zone-pairsecurityinsidetooutsidesourceinsidedestinationoutsideR2(config-sec-zone-pair)#service-policytypeinspectinsidetooutsideR2(config-sec-zone-pair)#exitR2(config)#inters0/3/0R2(config-if)#zone-membersecurityinside(實(shí)現(xiàn)效果：部署ZPF防火墻防止來自外網(wǎng)主機(jī)的探測并應(yīng)用在端口s0/3/0上)S11.配置控制線路及虛擬線路密碼S1(config)#linecon0S1(config-if)#passwords1net112S1(config-if)#loginS1(config)#linevty04S1(config-if)#passwords1net112S1(config-if)#login2.在連接管理主機(jī)的端口上開啟mac地址綁定。interfaceFastEthernet0/4switchportmodeaccess(注意：只有接入口（access）才能啟用portfast模式)S1(config)#interf0/4S1(config-if)#switchportport-securityS1(config-if)#switchportport-securitymac-addressstickyS1(config-if)#switchportport-securitymac-address000A.41CD.84AB3.有非法主機(jī)接入時(shí)關(guān)閉端口以保證內(nèi)網(wǎng)安全:S1(config-if)#switchportport-securityviolationshutdownS11創(chuàng)建vlan設(shè)置接口模式，并將接口劃分到vlanS11(config)#vlan11S11(config)#namevlan11S11(config)#interf0/1S11(config-if)#switchportmodeaccessS11(config-if)#switchportaccessvlan112.在內(nèi)部交換機(jī)上關(guān)閉接收DTP信息，設(shè)置風(fēng)暴控制值為40%，在各接入端口上開啟端口安全以及bpdu保護(hù)：S11(config)#interf0/1S11(config-if)#switchportport-securityS11(config-if)#spanning-treebpduguardenableS11(config-if)#storm-controlbroadcastlevel40(S12-1、S12-2、S12-3、S21、S23、S24的配置同S11配置)MS1創(chuàng)建vlan，啟用三層交換機(jī)的路由功能，建立SVI并配置iP地址。MS1(config)#noswitchportMS1(config)#vlan11MS1(config)#namevlan11MS1(config)#vlan12MS1(config)#namevlan12MS1(config)#intervlan11MS1(config-if)#ipaddressMS1(config)#noshutMS1(config)#intervlan12MS1(config-if)#ipaddressMS1(config)#noshut啟用IProuting,配置路由協(xié)議MS1(config)#iproutingMS1(config)#routerripMS1(config)#version2MS1(config)#networkMS1(config)#noauto-summary在MS1的trunk接口上啟用root保護(hù)：MS1(config)#interrangef0/1-4MS1(config-if-range)#spanning-treeguardroot（MS2的配置同MS1的配置）......SSH在R2路由器上配置SSH服務(wù)，要求ssh超時(shí)時(shí)間為90秒，最大嘗試次數(shù)2R2(config)#ipdomain-nameR2(config)#cryptokeygeneratersa(1024)R2(config)#ipsshversion2R2(config)#ipsshauthentication-retries2R2(config)#ipsshtime-out90R2(config)#linevty04R2(config-line)#transportinputsshSYSLOG將R1配置為Syslog客戶端并接收路由器登錄信息：R1(config)#logginghostR1(config)#logginloggingtrapR1(config)#loginon-successlogVPN由于實(shí)驗(yàn)一開始的iP地址劃分，使整個(gè)網(wǎng)絡(luò)都在同一個(gè)的網(wǎng)段中，所以完全的實(shí)現(xiàn)VPN功能，因此該實(shí)驗(yàn)未配置VPN。NTP將R1配置為NTP客戶端，并采用MD5加密認(rèn)證方式：R1(config)#ntpauthenticateR1(config)#ntpauthentication-key1md5ntpnet112R1(config)#ntptrusted-key1R1(config)#ntpserverkey1AAA在邊界路由器上啟用AAA認(rèn)證：R1(config)#usernameAAAsecretaaanet112R1(config)#aaanew-modelR1(config)#aaaauthenticationlogindefaultlocalR2(config)#usernameAAAsecretaaanet112R2(config)#aaanew-modelR2(config)#aaaauthenticationlogindefaultlocal3.6時(shí)間分配星期一星期二星期三星期四星期五根據(jù)公司的現(xiàn)有網(wǎng)絡(luò)規(guī)劃及安全需求構(gòu)建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，規(guī)劃ip地址，vlan地址，并整理出詳細(xì)列表。根據(jù)整理出的ip地址，vlan地址表，設(shè)備用戶名及命令表進(jìn)行配置，配置路由協(xié)議，使全網(wǎng)能夠相互訪問在全網(wǎng)互聯(lián)的基礎(chǔ)之上，配置相關(guān)的安全策略（強(qiáng)密碼設(shè)置、ACL創(chuàng)建、NTP、AAA、SYSLOG等）對實(shí)現(xiàn)的安全效果進(jìn)行最終的測試驗(yàn)證，整理詳細(xì)的專周實(shí)踐報(bào)告。四測試結(jié)果管理主機(jī)訪問管理任意網(wǎng)絡(luò)設(shè)備及服務(wù)器telnet登陸MS2：telnetPassword：ms2net112enablePassword:ms2net112telnet登陸MS1：telnet10.1.13Password：ms1net112enablePassword:ms1net112telnet登陸R1：telnet10.1.14username:AAAPassword：aaanet112enablePassword:r1net112ssh登陸R2：ssh-lAAAPassword：aaanet112enablePassword:r2net112內(nèi)外網(wǎng)主機(jī)無法訪問網(wǎng)絡(luò)設(shè)備及服務(wù)器運(yùn)營中心主機(jī)不能遠(yuǎn)程訪問R2和MS2效果:南充辦事處主機(jī)不能遠(yuǎn)程訪問R1和MS1效果：內(nèi)網(wǎng)主機(jī)可正常收發(fā)郵件，外網(wǎng)主機(jī)拒絕運(yùn)營中心內(nèi)主機(jī)PC16和PC5都能通過mail服務(wù)器進(jìn)行郵件收發(fā)，效果如下：南充辦事處主機(jī)PC5也能通過mail服務(wù)器收發(fā)郵件，效果如下：外網(wǎng)主機(jī)能訪問web服務(wù)，無法ping探測（注：此處由于iP地址劃分原因，未設(shè)置外網(wǎng)區(qū)域，所以此實(shí)驗(yàn)效果中對于南充辦事處來言，將成都運(yùn)營中心當(dāng)做外網(wǎng)展現(xiàn)配置效果）成都運(yùn)營中心的主機(jī)PC16通過可以訪問web服務(wù)器，但是不能夠p