（中职）单元四构建安全的园区网络ppt课件.ppt

《（中职）单元四构建安全的园区网络ppt课件.ppt》由会员分享，可在线阅读，更多相关《（中职）单元四构建安全的园区网络ppt课件.ppt（60页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、在此输入您的封面副标题（中职）单元四 构建安全的园区网络单元引言： 由于网络的迅猛发展，网络安全已成为网络发展的一个重要议题。园区网络的安全问题也日益突出，如果忽视了网络设备的安全设置，整个园区网络很可能就是一扇敞开的大门，庆幸的是，我们可以通过有针对性的一些设置来关闭这扇门，使它变成一堵安全的墙。本单元通过对交换、路由以及防火墙安全知识的阐述和实践，让学生最终掌握构建安全的园区网络的能力。本单元应会的内容：静态实现端口与MAC地址的绑定设置网络设备访问密码访问控制列表的应用路由器间通过PPP-PAP建立安全连接防火墙基本配置本单元应知的内容：动态实现MAC地址与端口绑定MAC地址表实现绑定和

2、过滤基于时间的访问控制列表路由器间通过PPP-CHAP建立安全连接任务一 实现计算机的安全接入o任务描述任务描述 在日常工作当中，管理员经常遇到单位员工电脑中毒的情况，如冲击波病毒可造成整个园区网络变慢甚至瘫痪，虽然通过数据流监控软件可以分析出中毒计算机的MAC地址，但由于并未做相关的设置，所以出现问题时查找定位问题主机很困难，这给管理带来很大的麻烦。为了安全和方便管理，我们需要将MAC地址与端口进行绑定，在MAC地址与端口进行绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其它端口进入，该端口可以允许其它MAC地址的数据流通过。这样一旦网络当中有哪台计算机出了问题，我们都能很快定位出来

3、，及时采取有效措施。任务一 实现计算机的安全接入o任务分析任务分析 本任务是通过MAC地址与端口绑定技术来实现计算机的安全接入，该任务在交换机上完成，任务实施过程当中应按如下几点要求操作。o 交换机设置管理IP地址为，PC1的IP地址设置为，PC2的IP地址设置为。o 在交换机上对PC1的MAC地址作端口绑定。o 将PC1分别连接到绑定的端口和未绑定的端口PING交换机IP，检验理论是否和实验一致。1. 将PC2分别连接到绑定了PC1的MAC地址的端口和未绑定的端口PING交换机IP，检验理论是否和实验一致。任务一 实现计算机的安全接入o所需设备：所需设备：oDCS-5650 交换机1台oPC

4、机2台oConsole线一根1.直通线2根任务一 实现计算机的安全接入o实验拓扑实验拓扑(图4-1) ：任务一 实现计算机的安全接入o方法与步骤方法与步骤 步骤一：获取PC1的MAC地址。步骤二：交换机恢复出厂设置，配置交换机管理地址。步骤三：使能端口1 的MAC 地址绑定功能。步骤四：添加端口静态安全MAC地址，缺省端口最大安全MAC地址数为1。步骤五：使用ping命令验证实验结果步骤六：在一个以太网上静态捆绑多个MAC动动手：动动手：动态实现MAC地址与端口绑定o所需设备：所需设备：oDCS-5650 交换机1台oPC机2台oConsole线一根1.直通线2根 动动手：动动手：动态实现MA

5、C地址与端口绑定o实验拓扑：实验拓扑：动动手：动动手：动态实现MAC地址与端口绑定o工作过程：工作过程：步骤一：获取PC1的MAC地址。步骤二：交换机恢复出厂设置，配置交换机管理地址。步骤三：使能端口1 的MAC 地址绑定功能，动态学习MAC并转换。步骤四：验证配置：步骤五：使用ping命令验证任务二 按不同权限使用网络设备 o任务描述任务描述 网络设备是园区网络硬件设备中的重要组成部分，网络设备的配置和管理是实现网络的正常运作必不可少的一个环节，但如果网络设备没有进行必要的安全设置的话就有可能给整个网络的安全带来威胁，如任何用户都拥有特权模式使用权限的话，就有可能导致管理员以外的用户修改设备

6、的配置，这将给管理员带来很大的麻烦，严重的甚至造成重大损失。因此，给各网络设备设置访问权限是网络安全管理的一个重要环节。任务二 按不同权限使用网络设备o任务分析任务分析1、使用配置线将路由器通过console口连接到PC1的COM口上；2、在PC1上通过“超级终端”对路由器进行配置管理。 任务二 按不同权限使用网络设备所需设备所需设备：oDCR-2626 路由器1台oPC机1台1.Console线一根任务二 按不同权限使用网络设备o 实验拓扑实验拓扑： 任务二 按不同权限使用网络设备o方法与步骤方法与步骤步骤一：设置特权模式密码步骤二：设置验证模式步骤三：配置需要通过用户名和密码登陆conso

7、le口步骤四：配置只需要通过输入密码登陆console口任务三 实现安全的网络访问控制o任务描述：任务描述：当某个端口连接含有敏感信息的存储设备或服务器时，可以通过只允许特定IP地址连接的方式，保护相应设备中的数据安全。当判定网络攻击来自某个IP地址或某段IP地址时，也可以设置访问列表来阻止来自该IP地址或IP地址段的访问。 任务三 实现安全的网络访问控制o任务分析：任务分析： 本任务禁止来自IP为的PC1访问PC2，因此，只需要使用标准访问控制列表将源IP为的数据包过滤掉。任务三 实现安全的网络访问控制o所需设备所需设备：1、DCR2600 两台2、PC 两台3、CR-V35MT 1条4、C

8、R-V35FC 1条5、交叉线2条任务三 实现安全的网络访问控制o实验拓扑实验拓扑：任务三 实现安全的网络访问控制o配置表配置表：IP地址子网掩码routerA的F0/0接口192.168.1.1255.255.255.0routerB的F0/0接口192.168.3.1255.255.255.0routerA的S0/1接口192.168.2.1255.255.255.0routerB的S0/1接口192.168.2.2255.255.255.0PC1192.168.1.2255.255.255.0PC2192.168.3.2255.255.255.0任务三 实现安全的网络访问控制方法与步骤：

9、方法与步骤： 步骤一：配置routerA基本配置步骤二：在routerA上配置到网段的静态路由步骤三：配置routerB的基本配置步骤四：在routerB上配置到网段的静态路由步骤五：PC1 ping PC2测试网络连通性步骤六：在routerA上配置标准访问控制列表，禁止PC1访问PC2。步骤七：测试列表使用效果步骤八：删除routerA上配置的访问控制列表步骤九：在routerB上配置标准访问控制列表，禁止PC1访问PC2。步骤十：测试访问控制列表使用效果步骤十一：验证动动手：使用扩展访问控制列表禁止PC1访问PC2o所需设备所需设备：1、DCR2600 两台2、PC 两台3、CR-V35

10、MT 1条4、CR-V35FC 1条5、交叉线2条动动手：使用扩展访问控制列表禁止PC1访问PC2o实验拓扑实验拓扑：动动手：使用扩展访问控制列表禁止PC1访问PC2o配置表配置表：IP地址子网掩码routerA的F0/0接口192.168.1.1255.255.255.0routerB的F0/0接口192.168.3.1255.255.255.0routerA的S0/1接口192.168.2.1255.255.255.0routerB的S0/1接口192.168.2.2255.255.255.0PC1192.168.1.2255.255.255.0PC2192.168.3.2255.255.

11、255.0动动手：使用扩展访问控制列表禁止PC1访问PC2o工作过程：工作过程：步骤一：配置routerA基本配置步骤二：在routerA上配置静态路由步骤三：配置routerB的基本配置步骤四：在routerB上配置静态路由步骤五：在PC1上测试与PC2的连通性。步骤六：在routerA上配置扩展访问控制列表，静止PC1对PC2的所有TCP连接步骤七：PC1 ping PC2可以通，因为ping不是采用TCP协议连接，而是icmp协议。从PC1 telnet PC2时由于扩展访问控制列表的作用，PC1无法连接到PC2。 动动手：禁止上班时间浏览网页o背景描述 你是某公司网管，为了保证公司上班

12、时间工作效率，公司要求网段上班时间不能访问IP地址为的WEB服务器上的网站，下班以后员工可以随意放松，访问网络不受限制。动动手：禁止上班时间浏览网页o工作过程工作过程 步骤一：配置routerA基本配置步骤二：在routerA上配置静态路由步骤三：配置routerB的基本配置步骤四：在routerB上配置静态路由步骤五：在PC1上测试与PC2的连通性。步骤六：配置禁止访问网页的时间步骤七：配置基于时间的访问控制列表步骤八：将列表绑定到相应端口任务四 实现路由器之间安全通讯o任务描述任务描述： 你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，你的客户端路由器与ISP进行链路

13、协商时要身份验证，配置路由器保证链路建立，并通过PAP认证保证路由器之间的连接安全性。 任务四 实现路由器之间安全通讯o任务分析任务分析： 本任务要求实现两台路由器之间的安全连接，在任务的完成过程中应注意以下几点： 1、先配置网络基本配置实现全网连通，即PC1能ping 通PC2；2、封装点对点（PPP）协议；3、实现PAP方式认证；4、aaa认证方式必须配置，路由器数据库中必须设置好要进行认证的用户名和密码。 任务四 实现路由器之间安全通讯o所需设备所需设备：1、DCR2600 两台2、PC 两台3、CR-V35MT 1条4、CR-V35FC 1条5、交叉线2条 任务四 实现路由器之间安全通

14、讯o实验拓扑实验拓扑：任务四 实现路由器之间安全通讯o配置表配置表：IP地址子网掩码routerA的F0/0接口192.168.1.1255.255.255.0routerB的F0/0接口192.168.3.1255.255.255.0routerA的S0/1接口192.168.2.1255.255.255.0routerB的S0/1接口192.168.2.2255.255.255.0PC1192.168.1.2255.255.255.0PC2192.168.3.2255.255.255.0任务四 实现路由器之间安全通讯o方法与步骤： 步骤一：配置routerA基本配置步骤二：配置router

15、B基本配置步骤三：测试routerA与routerB的连通性步骤四：在routerA上配置PAP验证步骤五：在routerB上配置PAP验证步骤六：查看routerB上的接口信息步骤七：在routerA上查看配置步骤八：在routerB上查看配置步骤九：测试routerA与routerB的连通性动动手：使用CHAP认证方式实现路由器安全通讯o所需设备所需设备：1、DCR2600 两台2、PC 两台3、CR-V35MT 1条4、CR-V35FC 1条5、交叉线2条动动手：使用CHAP认证方式实现路由器安全通讯o实验拓扑实验拓扑：动动手：使用CHAP认证方式实现路由器安全通讯o配置表配置表：IP地

16、址子网掩码routerA的F0/0接口192.168.1.1255.255.255.0routerB的F0/0接口192.168.3.1255.255.255.0routerA的S0/1接口192.168.2.1255.255.255.0routerB的S0/1接口192.168.2.2255.255.255.0PC1192.168.1.2255.255.255.0PC2192.168.3.2255.255.255.0动动手：使用CHAP认证方式实现路由器安全通讯o工作过程工作过程步骤一：配置routerA基本配置步骤二：配置routerB基本配置步骤三：查看routerA的接口信息步骤四：测

17、试routerA与routerB的连通性步骤五：在routerA上配置CHAP验证步骤六：查看routerA的接口信息步骤七：查看routerA的串口信息步骤八：在routerB上配置CHAP验证步骤九：再查看routerA的串口信息任务五 防火墙基本配置o任务描述任务描述： 园区由于网络扩大升级或出于安全考虑有可能在园区网络中引入防火墙设备，防火墙可以使用telnet、SSH、WebUI方式进行管理，通过对防火墙的基本配置，使用者可以很方便的使用几种方式进行管理。 任务五 防火墙基本配置o任务分析任务分析： 本任务设置防火墙使用telnet、SSH、WebUI方式进行管理，需对防火墙进行相关

18、基础配置。任务五 防火墙基本配置o所需设备所需设备： 1、防火墙设备 1台 2、 Console线 1条 3、 交叉网络线 1条 4、PC机 1台任务五 防火墙基本配置o实验拓扑：实验拓扑： 任务五 防火墙基本配置o方法与步骤方法与步骤： 步骤一：运行manage telnet 命令开启被连接接口的Telnet 管理功能。步骤二：:运行manage ssh 开启SSH管理功能。步骤三：配置PC机的IP地址为192.168.1.*,从PC尝试与防火墙的TELNET连接。步骤四：从PC尝试与防火墙的SSH连接。任务六 用防火墙隐藏内部网络地址保护内网安全o任务描述任务描述： 园区考虑到公网地址的有

19、限，从节约成本的角度讲也不能每台PC都配置公网地址访问外网。通过少量公网IP地址来满足多数私网ip上网，以缓解IP地址不足和节约园区成本；另外，通过防火墙隐藏内部网络地址保护内网安全。 任务六 用防火墙隐藏内部网络地址保护内网安全o任务分析任务分析： 需要将内部网络地址隐藏，使得外部用户不能轻易连接到内部网络，需要配置源NAT 。任务六 用防火墙隐藏内部网络地址保护内网安全o所需设备所需设备： 1、防火墙设备 1台 2、 交换机 n 台 3、 网线 n条 4、PC机 n台任务六 用防火墙隐藏内部网络地址保护内网安全o实验拓扑：实验拓扑： 任务六 用防火墙隐藏内部网络地址保护内网安全o方法与步骤

20、方法与步骤：步骤一：配置接口1、首先通过防火墙默认eth0接口地址登录到防火墙界面进行接口的配置通过Webui登录防火墙界面2、输入缺省用户名admin，密码admin后点击登录，配置外网接口地址3、内口网地址使用缺省步骤二：添加路由 添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址步骤三：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略 步骤四：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略动动手：防火墙DNAT配置o任务分析任务分析1、使用外网口IP为内网FTP Server及WEB ServerB做端口映射，并允许外网用户访问该Server的FT

21、P和WEB服务，其中Web服务对外映射的端口为TCP8000。2、允许内网用户通过域名访问WEB ServerB(即通过合法IP访问）。3、使用合法为Web ServerA做IP映射，允许内外网用户对该Server的Web访问。动动手：防火墙DNAT配置o所需设备所需设备1、防火墙设备1台2、 Console线1条3、 网络线n条4、 网络交换机n台5、PC机n台，服务器器n台动动手：防火墙DNAT配置o实验拓扑实验拓扑动动手：防火墙DNAT配置o工作过程工作过程要求一：外网口要求一：外网口IP为内网为内网FTP Server及及WEB ServerB做端口映射并允许做端口映射并允许外网用户访

22、问该外网用户访问该Server的的FTP和和WEB服务，其中服务，其中Web服务对外映射的服务对外映射的端口为端口为TCP8000。步骤一：配置准备工作步骤一：配置准备工作1、设置地址簿，在对象/地址簿中设置服务器地址2、设置服务簿，防火墙出厂自带一些预定义服务，但是如果我们需要的服务在预定义中不包含时，需要在对象/服务簿中手工定义 步骤二：创建目的NAT配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口步骤三：放行安全策略创建安全策略，允许untrust区域用户访问trust区域server的FTP和web应用关于服务项中我们这里放行的是FTP服

23、务和TCP8000服务动动手：防火墙DNAT配置p工作过程工作过程要求二：允许内网用户通过域名访问要求二：允许内网用户通过域名访问WEB ServerB(即通过合法即通过合法IP访问）。访问）。实现这一步所需要做的就是在之前的配置基础上，增加Trust - Trust的安全策略要求三：使用合法为要求三：使用合法为Web ServerA做做IP映射，允许内外网用户对该映射，允许内外网用户对该Server的的Web访问。访问。步骤一：配置准备工作1、将服务器的实际地址使用web_serverA来表示2、将服务器的公网地址使用来表示步骤二：配置目的：配置目的NAT创建静态NAT条目，在新建处选择IP

24、映射步骤三：放行安全策略1、放行untrust区域到dmz区域的安全策略，使外网可以访问dmz区域服务器2、放行trust区域到dmz区域的安全策略，使内网机器可以公网地址访问dmz区域内的服务器项目实训 某市“数字政务”网络建设 o项目描述：项目描述： 某市政府计划实现“数字政务”，其中一是搭建数字化网络平台，实现电子政务网与各企事业单位的网络互联。二是提供统一的网络信息发布平台，实现信息资源共享。本项目的任务是将市政府网络与教育局网络实现对接。将本市的教育资源统一到数字化电子政务平台上，实现教育资源的统一管理。项目实训 某市“数字政务”网络建设 1 9 2 .1 6 8 .2 .2 /2

25、4 1 0 .1 .4 .2 /2 4 G W:1 9 2 .1 6 8 .2 .1 1 9 2 .1 6 8 .3 .2 /2 4 G W:1 9 2 .1 6 8 .3 .1 P C 4 P C 3 1 0 .1 .3 .2 /2 4 S w itc h B 1 0 .1 .3 .1 /2 4 R o u te B 市政府 教育局 R o u te A 1 0 .1 .4 .1 /2 4 P C 1 P C 2 S w itc h A 1 9 2 .1 6 8 .1 .3 /2 4 G W:1 9 2 .1 6 8 .1 .1 1 9 2 .1 6 8 .1 .2 /2 4 G W:1 9

26、 2 .1 6 8 .1 .1 V L A N 3 0 静态路由 1 .1 .1 .2 /2 4 1 .1 .1 .1 /2 4 V L A N 2 0 V L A N 1 0 项目实训 某市“数字政务”网络建设o项目要求：项目要求：1、按图示结构要求制作连接电缆并正确连接设备；2、按拓扑搭建市政府园区网络和教育局园区网络；3、按图示要求为网络设备命名，并完成相关基础配置；4、配置各设备的远程登陆用户名为admin，密码为admin123；配置CONSOLE口监控密码为wsykbc。5、市政府与教育局之间采用路由器连接，通过PPP-PAP实现安全的连接。6、通过静态路由协议实现全网连通；7、在

27、PC1架设WEB服务器(WEB服务器IP地址为1.1.1.3)；8、在PC1和PC2上实现端口与MAC地址的绑定；9、教育局管理者所属VLAN10和信息管理处所属VLAN20出于安全考虑不能互相访问，但都能够访问市政府网站。项目实训 某市“数字政务”网络建设o项目提示：项目提示： 完成本项目需认真审题，首先要根据给出的拓扑图能完成基本的网络配置，即全网连通。然后参照各知识点去逐步完善网络设计。项目实训 某市“数字政务”网络建设o项目评价：项目评价： 本项目综合应用到了本单元所学的安全知识，包括了计算机的安全接入、通过访问控制列表实现访问控制、设置网络设备权限、路由器的安全连接以及网线制作等非本单元的知识内容，所以必须要将这些知识点掌握熟练。通过本项目的训练，对学生了解网络的应用，提高动手能力和综合素质都有很好的帮助与促进。The end!Thank you!