网络安全实验-访问控制列表讲解

实验一访问控制列表（路由器的防火墙功能）

任务1 （标准访问控制列表）

网络拓扑结构见图1。请在packet tracert 软件中仿真实现该网络。自行设计分配IP地址，检查网络连通性。

设计实现访问控制列表，不允许计算机PC0向外网发送IP数据包，不允许计算机PC2向外网发送任何IP数据包。

图1 ACL访问控制列表实验网络拓扑结构图

报告要求：

1、IP地址分配表

2、路由器0的访问控制列表命令，并解释含义

3、路由器1的访问控制列表命令，并解释含义

4、测试及结果（加拷屏）

任务2（扩展访问控制列表）

网络拓扑结构见图1。要求实现只允许计算机PC0 访问web服务器，只允许计算机PC2访问FTP服务器。禁止其他一切网络间的数据通信。

报告要求：

1、IP地址分配表

2、路由器0的访问控制列表命令，并解释含义

3、路由器1的访问控制列表命令，并解释含义

4、测试方案及结果（加拷屏）

任务3 基于上下文的访问控制协议CBAC）的防火墙设置

基本原理

CBAC(context-based access control)即基于上下文的访问控制。通过检查通过防火墙的流量来发现&管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表，允许为受允许会话返回流量和附加数据连接，临时打开返回数据通路。受允许会话是指来源于受保护的内部网络会话。另外CBAC在流量

过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面都能应用。

网络拓扑结构见图2。请在packet tracert 软件中仿真实现该网络。分配的IP地址如表１所示，请配置好地址和路由（要使用静态路由），并检查网络连通性。

设计实现访问控制列表，不允许外部网络与内部网络通信，但是允许内部网络使用ＨＴＴＰ, ICMP协议访问外部网络的资源。

图２ＣＢＡＣ实验网络拓扑结构

表１ＩＰ地址分配表

实验步骤：

第１步：搭建好网络平台，配置地址和路由信息，（要使用静态路由）检查网络的连通性。

用ＰＣ-Ｃping ＰＣ-A

用ＰＣ-A ping ＰＣ-Ｃ

用ＰＣ-Ｃ访问ＰＣ-AＷＷＷ服务器

用ＰＣ-Ｃ访问ＰＣ-A FTP服务器

第２步：在Ｒ３上设置限制外网访问内网任何资源。

Router(config)#access 101 deny ip any any

Router(config)#interface Serial0/0/1

Router(config-if)#ip access-group 101 in

第３步检查连通性，检查外部网络是否能访问内网

用ＰＣ-Ｃping ＰＣ-A

用ＰＣ-A ping ＰＣ-Ｃ

用ＰＣ-Ｃ访问ＰＣ-AＷＷＷ服务器

第４步产生ＣＢＡＣ检查规则,允许内网icmp，http流量访问外网。

Router(config)# ip inspect name IN-OUT-IN icmp

Router(config)# ip inspect name IN-OUT-IN http

将ＣＢＡＣ检查应用于接口Ｓ０/０/１上

Router(config)#interface Serial0/0/1

Router(config-if)# ip inspect IN-OUT-IN out

第５步检查内网是否能访问外网的ＷＷＷ服务器和使用ＰＩＮＧ命令。

用ＰＣ-Ｃping ＰＣ-A

用ＰＣ-A ping ＰＣ-Ｃ

用ＰＣ-Ｃ访问ＰＣ-AＷＷＷ服务器

用ＰＣ-Ｃ访问ＰＣ-A FTP服务器

是否验证内网可以访问外网，外网无法访问内网？

检查CBAC的配置:

show ip inspect config

show ip inspect interfaces

show ip inspect sessions

(选做) 自己考虑怎么能让内网用户可以访问外网的FTP服务器, email服务器?

第6步审计

使用192.168.1.3 作为日志服务器，在路由器R3上，设置日志服务器的IP地址，并开启记录事件功能，例如记录每一次成功登陆和退出路由器的时间，以及CBAC事件记录。

Router(config)#

Router(config)#logging host 192.168.1.3

Router(config)# loggin on

Router(config)#ip inspect audit-trail

设置后用在企业内部访问外网，访问过程将会在日志服务器中记录下来。

报告要求：

1、任务要求

2、总结路由器设置步骤，并要求拷屏。

3、解释每个设置命令的含义

4、测试及结果（加拷屏）

任务４ZFW基于区域策略的防火墙设置(CCNP实验ZFW)

基本原理

ZFW（Zone-Based Policy Firewall），是一种基于区域的防火墙，基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效，在同一个区域内的数据是不会应用任何策略的，所以我们就可以将需要使用不同策略的接口划入不同的区域，这样就可以应用我们想要的策略。

区域Zone是应用防火墙策略的最小单位，一个zone中可以包含一个接口，也可以包含多个接口。

区域之间的所有数据默认是全部被丢弃的，所以必须配置相应的策略来允许某些数据的通过。要注意，同区域的接口是不需要配置策略的，因为他们默认就是可以自由访问的，我们只需要在区域与区域之间配置策略，而配置这样的区域与区域之间的策略，必须定义从哪个区域到哪个区域，即必须配置方向，例如：配置从Zone1到Zone2的数据全部被放行。可以看出，Zone1是源区域，Zone2是目的区域。配置一个包含源区域和目的区域的一组策略，这样的一个区域组，被称为Zone-Pairs。因此可以看出，一个Zone-Pairs，就表示了从一个区域到另一个区域的策略，而配置一个区域到另一个区域的策略，就必须配置一个Zone-Pairs，并加入策略。当配置了一个区域到另一个区域的策略后，如果策略动作是inspect，则并不需要再为返回的数据配置策略，因为返回的数据是默认被允许的，如果策略动作是pass或drop则不会有返回流量或被直接被掉弃。如果有两个zone，并且希望在两个方向上都应用策略，比如zone1到 zone2 或zone2 到 zone1,就必须配置两个zone-pairs ,就是每个方向一个zone-pairs。

基于区域的策略防火墙ZFW配置步骤：

实验步骤：

网络拓扑结构见图３。请在packet tracert 软件中仿真实现该网络。分配的IP地址如表１所示，请配置好地址和路由（要使用静态路由），并检查网络连通性。实验具体目标：

1、允许内网（私有网）用户访问外网的TCP/IP的应用服务。

2、允许内网（私有网）用户访问DMZ的TCP/IP的应用服务。

3、允许外网（Internet）用户访问DMZ区的HTTP服务。

4、内网能ping通Internet 跟DMZ区域。

5、DMZ区域不能访问Internet和内网。

6、从外网（Internet）不能ping通内网和DMZ区域。

其他一切数据传输都被禁止！

第１步：搭建好网络平台，配置地址和路由信息，（要使用静态路由）检查网络的连通性。

1.用ＰＣ０ping 企业内部的计算机，非军事化区计算机。

2.用ＰＣ１ping外网Internet 计算机，非军事化区计算机。

3.用ＰＣ０浏览企业内部的计算机，非军事化区计算机ＷＷＷ服务器。

4.用ＰＣ１浏览外网Internet 计算机，非军事化区计算机ＷＷＷ服务器。

网络安全技术实验报告

中南林业科技大学 实验报告 课程名称：计算机网络安全技术 专业班级：2014 级计算机科学与技术 2班 姓名：孙晓阳 / 学号：

（ 目录 实验一java 安全机制和数字证书的管理 (5) 一实验名称 (5) 二实验目的 (5) 三实验内容 (5) 四实验结果和分析 (6) , 命令输入 (6) 分析 (7) 五小结 (8) 实验二对称密码加密算法的实现 (10) 一实验名称 (10) 二实验目的 (10) 三实验内容 (10) ? 四实验结果和分析 (10) 说明 (10) 实验代码 (10) 实验结果 (13) 五小结 (13) 实验三非对称密钥 (14) 一实验名称 (14) { 二实验目的 (14) 三实验内容 (14) 四实验结果和分析 (14)

实验代码 (14) 实验结果 (15) 五小结 (16) 实验四数字签名的实现 (17) — 一实验名称 (17) 二实验目的 (17) 三实验内容 (17) 四实验结果和分析 (17) 实验代码 (17) 实验结果 (19) 五小结 (19) ？ 总结 (19)

实验一java 安全机制和数字证书的管理》 一实验名称 java 安全机制和数字证书的管理 二实验目的 了解 java 的安全机制的架构和相关的知识； 利用 java 环境掌握数字证书的管理 三实验内容 java 安全机制（JVM,沙袋，安全验证码）。 & java 的安全机制的架构 加密体系结构(JCA，Java Cryptography Architecture) 构 成 JCA 的类和接口: :定义即插即用服务提供者实现功能扩充的框架与加解密功能调用 API 的核心类和接口组。 一组证书管理类和接口。 一组封装 DSA 与 RSA 的公开和私有密钥的接口。 描述公开和私有密钥算法与参数指定的类和接口。用 JCA 提供的基本加密功能接口可以开发实现含消息摘要、数字签名、密钥生成、密钥转换、密钥库管理、证书管理和使用等功能的应用程序。 加密扩展(JCE，Java Cryptography Extension) 构 成 JCE 的类和接口: :提供对基本的标准加密算法的实现，包括 DEs，三重 DEs(Triple DEs)，基于口令(PasswordBasedEncryptionstandard)的 DES，Blowfish。 （ 支持 Diffie 一 Hell-man 密钥。定义密钥规范与算法参数规范。 安全套接扩展(JSSE，Java Secure Socket1 Extension)JSSE 提供了实现 SSL 通信的标准 Java API。 JSSE 结构包括下列包: .包含 JSSE API 的一组核心类和接口。

网络安全实验报告[整理版]

一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer； 2. 熟练掌握Sniffer的使用； 3. 要求能够熟练运用sniffer捕获报文，结合以太网的相关知识，分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机，能互相访问，组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂，按照提示操作即可。 2、使用sniffer查询流量信息： 第一步：默认情况下sniffer pro会自动选择网卡进行监听，手动方法是通过软件的file 菜单下的select settings来完成。 第二步：在settings窗口中我们选择准备监听的那块网卡，把右下角的“LOG ON”勾上，“确定”按钮即可。 第四步：在三个仪表盘下面是对网络流量，数据错误以及数据包大小情况的绘制图。 第五步：通过FTP来下载大量数据，通过sniffer pro来查看本地网络流量情况，FTP 下载速度接近4Mb/s。 第六步：网络传输速度提高后在sniffer pro中的显示也有了很大变化，utiliazation使用百分率一下到达了30%左右，由于我们100M网卡的理论最大传输速度为12.5Mb/s，所以4Mb/s刚好接近这个值的30%，实际结果和理论符合。 第七步：仪表上面的“set thresholds”按钮了，可以对所有参数的名称和最大显示上限进行设置。 第八步：仪表下的“Detail”按钮来查看具体详细信息。 第九步：在host table界面，我们可以看到本机和网络中其他地址的数据交换情况。

计算机网络实验报告(7)访问控制列表ACL配置实验

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台；Router-PT 3 台；交叉线；DCE 串口线；Server-PT 1 台； 四、实验步骤 标准IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）路由器之间通过V.35 电缆通过串口连接，DCE 端连接在R1 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置路由器接口IP 地址。 （3）在路由器上配置静态路由协议，让三台PC 能够相互Ping 通，因为只有在互通的前提下才涉及到方控制列表。 （4）在R1 上编号的IP 标准访问控制。 （5）将标准IP 访问控制应用到接口上。 （6）验证主机之间的互通性。 扩展IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）分公司出口路由器与外路由器之间通过V.35 电缆串口连接，DCE 端连接在R2 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置PC 机、服务器及路由器接口IP 地址。 （3）在各路由器上配置静态路由协议，让PC 间能相互ping 通，因为只有在互通的前提下才涉及到访问控制列表。 （4）在R2 上配置编号的IP 扩展访问控制列表。 （5）将扩展IP 访问列表应用到接口上。 （6）验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置： PC0： PC1：

PC2：

PC1ping:

PC0ping: PC1ping: 扩展IP 访问控制列表配置：PC0： Server0：

网络安全设计方案.doc

目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来

2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即， 可用性：授权实体有权访问数据 机密性：信息不暴露给未授权实体或进程 完整性：保证数据不被未授权修改 可控性：控制授权范围内的信息流向及操作方式 可审查性：对出现的安全问题提供依据与手段 访问控制：需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制。 数据加密：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计：是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏 针对企业现阶段网络系统的网络结构和业务流程，结合企业今后进行的网络化应用范围的拓展考虑，企业网主要的安全威胁和安全漏洞包括以下几方面：（1）内部窃密和破坏 由于企业网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络，并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等)，因此这种风险是必须采取措施进行防范的。 （2）搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲，由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的，因此也是本方案考虑的重点。 （3）假冒 这种威胁既可能来自企业网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。 （4）完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/

访问控制列表ACL配置-实验报告

课设5：访问控制列表ACL的配置 【实验目的】： 1．熟悉掌握网络的基本配置连接 2．对网络的访问性进行配置 【实验说明】： 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】： 【实验过程记录】：

步骤1：搭建拓扑结构，进行配置 （1）搭建网络拓扑图： （2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址，所以本次实验将不再展示，其配置对应数据见上表。 （3）设置路由信息并测试rip是否连通

三个路由器均做route操作。 对rip结果进行测试，测试结果为连通。

（4）连通后对访问控制列表ACL进行配置 代码如下： Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end

步骤2：检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作，ping 。 检验结果：结果显示目的主机不可达，访问控制列表ACL配置成功。

网络安全防护工作总结

通信网络安全防护工作总结 为提高网络通讯防护水平，从网络结构安全、网络访问控制、边界完整性几个大方向上采取一系列技术手段保障通信网络安全稳定，总结如下： （1）网络冗余和备份 使用电信和网通双城域网冗余线路接入,目前电信城域网的接入带宽是20M,联通城域网的接入带宽是 20M.可根据日后用户的不断增多和务业的发展需求再向相关网络服务提供商定购更大的线路带宽。 （2）路由器安全控制业务服务器及路由器之间配置静态路由，并进行访问控制列 表控制数据流向。Qos保证方向使用金（Dscp32）,银（Dscp8）,铜（Dscp0）的等级标识路由器的 Qos 方式来分配线路带宽的优先级保证在网络流量出现拥堵时优先为重要的数据流和服务类型预留带宽并优先传送。 （3）防火墙安全控制 主机房现有配备有主备 juniper 防火墙和深信服 waf 防火墙，juniper 防火墙具备 ips 、杀毒等功能模块，深信服 waf 防火墙主要用于网页攻击防护，可防止 sql 注入、跨站攻击、黑客挂马等攻击。 防火墙使用 Untrust,Trunst 和 DMZ 区域来划分网络 ,使用策略

来控制各个区域之间的安全访问。 （ 4）IP 子网划分 /地址转换和绑定 已为办公区域 ,服务器以及各个路由器之间划分 IP 子网段 , 保证各个子网的 IP 可用性和整个网络的 IP 地址非重复性。使用NAT,PAT,VIP,MIP 对内外网 IP 地址的映射转换 ,在路由器和防火墙上使用IP地址与MAC地址绑定的方式来防止发生地址欺骗行为。服务器及各个路由器之间划分 IP 子网划分 :172.16.0.0/16 （5）网络域安全隔离和限制 生产网络和办公网络隔离，连接生产必须通过连接 vpn 才能连接到生产网络。在网络边界部署堡垒机 ,通过堡垒机认证后才可以对路由器进行安全访问操作 ,在操作过程中堡垒机会将所有操作过程视频录像，方便安全审计以及系统变更后可能出现的问题，迅速查找定位。另外路由器配置访问控制列表只允许堡垒机和备机IP地址对其登陆操作，在路由器中配置3A认证服务,通过 TACAS 服务器作为认证 ,授权。 （6）网络安全审记 网络设备配置日志服务 ,把设备相关的日志消息统一发送到日志服务器上作记录及统计操作 .日志服务器设置只允许网管主机的访 问 ,保证设备日志消息的安全性和完整性。 logging buffered 102400 logging trap debugging logging source-interface Loopback0

网络安全实验报告

网络安全实验报告 务书 一、目的与要求根据实验内容的要求和实验安排，要求学生在掌握网络信息安全基本知识的基础上，能够设计出相应的软件，并且熟练地运用各种网络信息安全技术和手段，发现并解决各类安全问题，维护网络及操作系统的安全。 二、主要内容实验一加密认证通信系统实现设计实现一个通信系统，双方可以通过消息和文件通信，用户可选择一种加密算法和认证算法，对消息和文件进行加密通信和完整性验证。（要实现认证和加密，工具和语言不限，可以直接调用现有模块，认证和加密不限）实验二 综合扫描及安全评估利用常见的一些扫描工具可以检测本系统及其它系统是否存在漏洞等安全隐患，给出全面而完善的评估报告，帮助管理员发现存在的问题，进而采取有力措施予以弥补，从而提高系统的安全性能。实验三 网络攻防技术矛与盾的关系告诉我们，在研究网络安全技术时，只着眼于安全防范技术是远远不够的，知己知彼方能百战不殆，因此，很有必要同时研究攻击与防范技术，才能更有效地解决各种威胁。实验四 Windows系统安全配置方案作为网络节点，操作系统安全成为网络信息安全首先应予考虑的事务，然而人们往往忽视了OS的安

全性。其实，OS的安全不只体现在密码口令上，这仅仅是最基本的一个方面。除此之外，服务、端口、共享资源以及各种应用都很有可能存在着安全隐患，因此，应采取相应措施设置完善的本地安全策略，并使用防病毒软件、防火墙软件甚至入侵检测软件来加强系统的安全。其中实验一要求编程实现，可直接调用相关功能函数完成。实验二至实验四可在机房的网络信息安全综合实验系统上完成。 三、进度计划序号设计(实验)内容完成时间备注1接受任务，查阅文献，开始实现密码算法和认证算法第一天2完成加密认证通信系统第二至七天3上午完成综合扫描及安全评估实验，下午进行网络攻防实验第八天4上午完成网络攻防实验，下午进行系统安全配置实验第九天5撰写实验报告并验收第天 四、实验成果要求 1、要求程序能正常运行，并实现任务书要求功能。 2、完成实验报告，要求格式规范，内容具体而翔实，应体现自身所作的工作，注重对设计思路的归纳和对问题解决过程的总结。 五、考核方式平时成绩+程序验收+实验报告。 学生姓名： 指导教师：xx 年6 月13 日实验报告题目： 网络信息安全综合实验院系： 计算机系班级：

计算机网络ACL配置实验报告

计算机网络ACL配置实验报告 件）学院《计算机网络》综合性、设计性实验成绩单开设时间：xx学年第二学期专业班级学号姓名实验题目ACL自我评价本次ACL的实验，模拟实现了对ACL的配置。在实验中，理解ACL对某些数据流进行过滤，达到实现基本网络安全的目的的过程。我加深了对网络中安全的理解，如何控制非法地址访问自己的网络，以及为什么要进行数据过滤，对数据进行有效的过滤，可以使不良数据进入青少年中的视野，危害青少年的身心健康发展。该实验加深了我对网络的理解，同时加强了自身的动手能力，并将理论知识应用到实践当中。教师评语评价指标：l 题目内容完成情况优□ 良□ 中□ 差□l 对算法原理的理解程度优□ 良□ 中□ 差□l 程序设计水平优□ 良□ 中□ 差□l 实验报告结构清晰优□ 良□ 中□ 差□l 实验总结和分析详尽优□ 良□ 中□ 差□成绩教师签名目录 一、实验目的3 二、实验要求3 三、实验原理分析3 四、流程图5 五、配置过程 51、配置信息 52、配置路由器R

1、R 2、R37（1）配置路由器R17（2）配置路由器R27（3）配置路由器R3 83、配置主机PC0、PC18（1）配置PC0的信息8（2）配置PC1的信息 94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1) 路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2) 路由器R3到R2的静态路由10六、测试与分析1 11、配置静态路由前1 12、配置好静态路由后1 23、结论13七、体会13实验报告 一、实验目的通过本实验，可以掌握如下技能： （1） ACL的概念（2） ACL的作用（3）根据网络的开放性，限制某些ip的访问（4）如何进行数据过滤 二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2，而只允许主机pc3访问路由器R2的tel 服务 三、实验原理分析ACL 大概可以分为标准，扩展以及命名ACL

网络安全实验-访问控制列表讲解

实验一访问控制列表（路由器的防火墙功能） 任务1 （标准访问控制列表） 网络拓扑结构见图1。请在packet tracert 软件中仿真实现该网络。自行设计分配IP地址，检查网络连通性。 设计实现访问控制列表，不允许计算机PC0向外网发送IP数据包，不允许计算机PC2向外网发送任何IP数据包。 图1 ACL访问控制列表实验网络拓扑结构图 报告要求： 1、IP地址分配表 2、路由器0的访问控制列表命令，并解释含义 3、路由器1的访问控制列表命令，并解释含义 4、测试及结果（加拷屏） 任务2（扩展访问控制列表） 网络拓扑结构见图1。要求实现只允许计算机PC0 访问web服务器，只允许计算机PC2访问FTP服务器。禁止其他一切网络间的数据通信。 报告要求： 1、IP地址分配表 2、路由器0的访问控制列表命令，并解释含义 3、路由器1的访问控制列表命令，并解释含义 4、测试方案及结果（加拷屏） 任务3 基于上下文的访问控制协议CBAC）的防火墙设置 基本原理 CBAC(context-based access control)即基于上下文的访问控制。通过检查通过防火墙的流量来发现&管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表，允许为受允许会话返回流量和附加数据连接，临时打开返回数据通路。受允许会话是指来源于受保护的内部网络会话。另外CBAC在流量

过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面都能应用。 网络拓扑结构见图2。请在packet tracert 软件中仿真实现该网络。分配的IP地址如表１所示，请配置好地址和路由（要使用静态路由），并检查网络连通性。 设计实现访问控制列表，不允许外部网络与内部网络通信，但是允许内部网络使用ＨＴＴＰ, ICMP协议访问外部网络的资源。 图２ＣＢＡＣ实验网络拓扑结构 表１ＩＰ地址分配表 实验步骤： 第１步：搭建好网络平台，配置地址和路由信息，（要使用静态路由）检查网络的连通性。 用ＰＣ-Ｃping ＰＣ-A 用ＰＣ-A ping ＰＣ-Ｃ 用ＰＣ-Ｃ访问ＰＣ-AＷＷＷ服务器 用ＰＣ-Ｃ访问ＰＣ-A FTP服务器

ACL配置实验报告

南京信息工程大学实验（实习）报告 实验（实习）名称ACL的配置实验（实习）日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 （1）了解路由器的ACL配置与使用过程，会运用标准、扩展ACL建立基于路由器的防火墙，保护网络边界。 （2）了解路由器的NA T配置与使用过程，会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 （1）实验资源、工具和准备工作。Catalyst2620路由器2台，Windows 2000客户机2台，Windows 2000 Server IIS服务器2台，集线器或交换机2台。制作好的UTP网络连接（双端均有RJ-45头）平行线若干条、交叉线（一端568A，另一端568B）1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 （2）实验内容。设置图8.39中各台路由器名称、IP地址、路由协议（可自选），保存配置文件；设置WWW服务器的IP地址；设置客户机的IP地址；分别对两台路由器设置扩展访问控制列表，调试网络，使子网1的客户机只能访问子网2的Web服务80端口，使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制，进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议（可自选），保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表，调试网络。使子网1的客户机只能访问子网2的Web服务80端口， 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制，进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。

访问控制列表实验

0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表（ACL ）实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立FTP 、WEB ，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图， 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为WWW Server 和FTP Server ）。 【实验原理】 基于时间的ACL 是在各种ACL 规则（标准ACL 、扩展ACL 等）后面应用时间段选项（time-range ）以实现基于时间段的访问控制。当ACL 规则应用了时间段后，只有在此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生效，其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效，一般需要下面的配置步骤。

（1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。 （2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装FTP Server和WWW Server和配置路由器。 （3）在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U，下载安装后见如下界面。

网络安全试题答案

网络安全试题 一、填空题 1、网络安全的特征有：保密性、完整性、可用性、可控性。 2、网络安全的结构层次包括：物理安全、安全控制、安全服务。 3、网络安全面临的主要威胁：黑客攻击、计算机病毒、拒绝服务 4、计算机安全的主要目标是保护计算机资源免遭：毁坏、替换、盗窃、丢失。 5、就计算机安全级别而言，能够达到C2级的常见操作系统有：UNIX 、 Xenix 、Novell 3.x 、Windows NT 。 6、一个用户的帐号文件主要包括：登录名称、口令、用户标识号、组 标识号、用户起始目标。 7、数据库系统安全特性包括：数据独立性、数据安全性、数据完整性、 并发控制、故障恢复。 8、数据库安全的威胁主要有：篡改、损坏、窃取。 9、数据库中采用的安全技术有：用户标识和鉴定、存取控制、数据分 级、数据加密。 10、计算机病毒可分为：文件病毒、引导扇区病毒、多裂变病毒、秘 密病毒、异性病毒、宏病毒等几类。 11、文件型病毒有三种主要类型：覆盖型、前后依附型、伴随型。 12、密码学包括：密码编码学、密码分析学 13、网络安全涉及的内容既有技术方面的问题，也有管理方面的问题。 14、网络安全的技术方面主要侧重于防范外部非法用户的攻击。

15、网络安全的管理方面主要侧重于防止内部人为因素的破坏。 16、保证计算机网络的安全，就是要保护网络信息在存储和传输过程中的保密性、完整性、可用性、可控性和真实性。 17、传统密码学一般使用置换和替换两种手段来处理消息。 18、数字签名能够实现对原始报文的鉴别和防抵赖.。 19、数字签名可分为两类：直接签名和仲裁签名。 20、为了网络资源及落实安全政策，需要提供可追究责任的机制，包括：认证、授权和审计。 21、网络安全的目标有：保密性、完整性、可用性、可控性和真实性。 22、对网络系统的攻击可分为：主动攻击和被动攻击两类。 23、防火墙应该安装在内部网和外部网之间。 24、网络安全涉及的内容既有技术方面的问题，也有管理方面的问题。 25、网络通信加密方式有链路、节点加密和端到端加密三种方式。 26、密码学包括：密码编码学、密码分析学 二、选择题 1、对网络系统中的信息进行更改、插入、删除属于 A.系统缺陷 B.主动攻击 C.漏洞威胁 D.被动攻击 2、是指在保证数据完整性的同时，还要使其能被正常利用和操作。 A. 可靠性 B. 可用性 C. 完整性 D. 保密性 3、是指保证系统中的数据不被无关人员识别。 A. 可靠性 B. 可用性 C. 完整性 D. 保密性

网络安全实验报告

网络安全实验报告 姓名：杨瑞春 班级：自动化86 学号：08045009

实验一：网络命令操作与网络协议分析 一．实验目的： 1.熟悉网络基本命令的操作与功能。 2.熟练使用网络协议分析软件ethereal分析应用协议。 二．实验步骤： 1. 2.协议分析软件：ethereal的主要功能：设置流量过滤条件，分析网络数据包， 流重组功能，协议分析。 三．实验任务： 1．跟踪某一网站如google的路由路径 2．查看本机的MAC地址，ip地址 输入ipconfig /all 找见本地连接. Description . . .. . : SiS 900-Based PCI Fast Ethernet Adapte Physical Address.. . : 00-13-8F-07-3A-57 DHCP Enabled. . .. . : No IP Address. . . .. . : 192.168.1.5

Subnet Mask . . .. . : 255.255.255.0 Default Gateway .. . : 192.168.1.1 DNS Servers . . .. . : 61.128.128.67 192.168.1.1 Default Gateway .. . : 192.168.1.1 这项是网关.也就是路由器IP Physical Address.. . : 00-13-8F-07-3A-57 这项就是MAC地址了.

3．telnet到linux服务器，执行指定的命令

5.nc应用：telnet，绑定程序（cmd,shell等），扫描，连接等。

实验报告hcna综合实验

HCNA实验手册 组名：一班一组 班级：网络安全一班

目录 实验一：HCNA 综合实验 (2) 实验目的： (2) 技术原理： (3) 实验拓扑： (3) 操作步骤： (4) 要求一: 内部客户端A属于VLAN 10，内部客户端B属于VLAN 20； (4) 要求二：内部三台交换机之间的双链路使用以太通道将链路聚合； (6) 要求三：内部三台交换机使用GVRP协议同步VLAN数据，内部三层交换机为SERVER角色； (9) 要求五: 边界两台路由器实现网关冗余，要求默认流量从边界路由器A向外传输；10要求六：内部路由使用OSPF协 (10) 要求七：分别映射两台WEB服务器的TCP 80端口至两台边界路由器的外部端口； (11) 要求八：不允许内部客户端A访问WEB服务器A；不允许内部客户端B访问WEB服务器的TCP 80端口。 (12) 基本配置九：ip地址的配置和一些vlan (13) 步骤七：测试 (15) 注意事项 (16) 实验：HCNA 综合实验 实验目的： 1 掌握hcna所学的所有技术的原理 2 掌握HCNA所学的所有技术的命令配置 1所使用的技术: vlan acl 三层技术 nat gvrp vrrp stp ip

技术原理： 1 vlan :虚拟局域网 2 acl：访问控制列表 3 三层技术：实验vlan间互通 4 nat :网络地址转换 5 gvrp：vlan 注册技术 6 vrrp : 虚拟路由冗余协议 7 stp :生成树 8 ip : 网际协议: 实验拓扑：

操作步骤： 要求一: 内部客户端A属于VLAN 10，内部客户端B属于VLAN 20； 1.内部客户端A属于VLAN 10 二层交换机 Sys SYSname 2SWA 1.2SWA 创建vlan vlan batch 10 interface Ethernet0/0/5 port link-type access port default vlan 10 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 4094 #

H3C实验报告大全【含18个实验】17.0-标准ACL

标准ACL 实验人：高承旺 实验名称：标准acl 实验要求： 不让1.1.1.1 ping通3.3.3.3 实验拓扑： 实验步骤： 网络之间开启RIP协议！ [R1]rip [R1-rip-1]ver 2 [R1-rip-1]undo summary [R1-rip-1]net 192.168.1.0 [R1-rip-1]net 1.0.0.0 [R1-rip-1]q [R2]rip [R2-rip-1]ver 2 [R2-rip-1]undo summary [R2-rip-1]net 192.168.1.0 [R2-rip-1]net 192.168.2.0

[R2-rip-1]q [R3]rip [R3-rip-1]ver 2 [R3-rip-1]net 192.168.2.0 [R3-rip-1]net 3.0.0.0 [R3-rip-1]q 通3.3.3.3 配置好动态路由后，测试能R1ping 配置ACL访问控制列表 [R2]firewall enable [R2]firewall default permit [R2]acl number ? INTEGER<2000-2999> Specify a basic acl INTEGER<3000-3999> Specify an advanced acl INTEGER<4000-4999> Specify an ethernet frame header acl INTEGER<5000-5999> Specify an acl about user-defined frame or packet head [R2]acl number 2000 [R2-acl-basic-2000]rule ? INTEGER<0-65534> ID of acl rule deny Specify matched packet deny permit Specify matched packet permit [R2-acl-basic-2000]rule deny source 1.1.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of source [R2-acl-basic-2000]rule deny source 1.1.1.1 0 [R2]int s0/2/0 [R2-Serial0/2/0]firewall packet-filter 2000 ? inbound Apply the acl to filter in-bound packets outbound Apply the acl to filter out-bound packets [R2-Serial0/2/0]firewall packet-filter 2000 inbound

网络安全实验报告

信息与科学技术学院学生上机实验报告 课程名称：计算机网络安全 开课学期：2015——2016学年 开课班级：2013级网络工程（2）班 教师姓名：孙老师 学生姓名：罗志祥 学生学号：37 实验一、信息收集及扫描工具的使用 【实验目的】 1、掌握利用注册信息和基本命令实现信息收集 2、掌握结构探测的基本方法 3、掌握X-SCAN的使用方法 【实验步骤】 一、获取以及的基本信息

1.利用ping 和nslookup获取IP地址（得到服务器的名称及地址） 2.利用来获取信息 二、使用工具获取到达的结构信息 三、获取局域网内主机IP的资源信息 1.ping -a IP 获得主机名； https://www.wendangku.net/doc/2c15711285.html,stat -a IP 获得所在域以及其他信息； https://www.wendangku.net/doc/2c15711285.html, view IP 获得共享资源； 4.nbtstat a IP 获得所在域以及其他信息； 四、使用X-SCAN扫描局域网内主机IP； 1.设置扫描参数的地址范围； 2.在扫描模块中设置要扫描的项目； 3.设置并发扫描参数； 4.扫描跳过没有响应的主机； 5.设置要扫描的端口级检测端口； 6.开始扫描并查看扫描报告； 实验二、IPC$入侵的防护

【实验目的】 ?掌握IPC$连接的防护手段 ?了解利用IPC$连接进行远程文件操作的方法 ?了解利用IPC$连接入侵主机的方法 【实验步骤】 一：IPC$ 连接的建立与断开 通过IPC$ 连接远程主机的条件是已获得目标主机管理员的账号和密码。1.单击“开始”-----“运行”，在“运行”对话框中输入“cmd” 1.建立IPC$连接，键入命令 net use \\19 2.168.21 3.128\ipc$ 123 / user:administrator 2.映射网络驱动器，使用命令： net use y: 1.映射成功后，打开“我的电脑”，会发现多了一个y盘，该磁盘即为目标主机的C盘 1.在该磁盘中的操作就像对本地磁盘操作一

访问控制列表实验.详解

实验报告如有雷同，雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表（ACL）实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图，注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为和）。 【实验原理】 基于时间的ACL是在各种ACL规则（标准ACL、扩展ACL等）后面应用时间段选 项（time-range）以实现基于时间段的访问控制。当ACL规则应用了时间段后，只有在 此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生 效，其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效，一般需要下面的配置步骤。 （1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】

步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。（2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装和和配置路由器。 （3）在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U，下载安装后见如下界面。 先新建域：

计算机安全访问控制

一、访问控制矩阵（Access Contro1 Matrix）

主体 用户a R、W、Own R、W、Own 用户b R、W、Own 用户c R R、W 用户d R R、W 图4.9访问控制矩阵 二、访问控制表（Access Control Lists，ACLs） 图4.10 访问控制表 访问控制表ACLs是以文件为中心建立访问权限表，如所示。表中登记了该文件的访问用户名及访问权隶属关系。利用访问控制表，能够很容易的判断出对于特定客体的授权访问，哪些主体可以访问并有哪些访问权限。同样很容易撤消特定客体的授权访问，只要把该客体的访问控制表置为空。 出于访问控制表的简单、实用，虽然在查询特定卞体能够访问的客体时，需要遍历查询所有客体的访问控制表，它仍然是一种成熟且有效的访问控制实现方法，许多通用的操作系统使用访问控制表来提供访问控制服务。例如Unix和VMS系统利用访问控制表的简略方式，允许以少量工作组的形式实现访问控制表，而不允许单个的个体出现，这样可以便访问控制表很小而能够用几位就可以和文件存储在一起。另一种复杂的访问控制表应用是利用一些访问控制包，通过它制定复杂的访问规则限制何时和如何进行访问，而且这些规则根据用户名和其他用户属性的定义进行单个用户的匹配应用。 三、能力关系表（Capabilities Lists） 能力关系表与ACL相反，是以用户为中心建立访问权限表，表中规定了该用户可访问的文件名及访问权限，如图4.11。 利用能力关系表可以很方便查询一个主体的所有授权访问。相反，检索具有授权访问特定客体的所有主体，则需要遍历所有主体的能力关系表。

图4.11能力关系表 访问控制机制是用来实施对资源访问加以限制的策略的机制，这种策略把对资源的访问只限于那些被授权用户。应该建立起申请，建立，发出和关闭用户授权的严格的制度，以及管理和监督用户操作责任的机制。 为了获取系统的安全授权应该遵守访问控制的三个基本原则： 1、最小特权原则 最小特权原则是系统安全中最基本的原则之一。所谓最小特权（Least Privilege），指的是"在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权"。最小特权原则，则是指"应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。 最小特权原则使得用户所拥有的权力不能超过他执行工作时所需的权限。最小特权原则一方面给予主体"必不可少"的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体"必不可少"的特权，这就限制了每个主体所能进行的操作。 2、多人负责原则 即授权分散化，对于关键的任务必须在功能上进行划分，由多人来共同承担，保证没有任何个人具有完成任务的全部授权或信息。如将责任作分解使得没有一个人具有重要密钥的完全拷贝。 3、职责分离原则 职责分离是保障安全的一个基本原则。职责分离是指将不同的责任分派给不同的人员以期达到互相牵制，消除一个人执行两项不相容的工作的风险。例如收款员、出纳员、审计员应由不同的人担任。计算机环境下也要有职责分离，为避免安全上的漏洞，有些许可不能同时被同一用户获得。

ACL配置实验

ACL配置实验 一、实验目的： 深入理解包过滤防火墙的工作原理 二、实验内容： 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示，1,2,3是主机，4是服务器 1、配置主机，服务器与路由器的IP地址，使网络联通； 2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL； 3、配置扩展ACL，使得主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，4个主机间相互能够ping通。使该配置生效，然后再删除该条ACL； B.拓扑结构如下图所示(要求：跟拓扑上的ip地址配置不同)

１、配置ACL 限制远程登录（telnet）到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机，服务器与路由器的IP地址，使网络联通；

PC0 ping PC2

PC1 ping 服务器 服务器ping PC0

2、配置标准ACL，使得主机1可以访问主机3和4，主机2不能访问主机3和4。使该配置生效，然后再删除该条ACL；