《《网络安全技术与实践》实验报告+思考题及答案 实验8VPN技术的应用.docx》由会员分享,可在线阅读,更多相关《《网络安全技术与实践》实验报告+思考题及答案 实验8VPN技术的应用.docx(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、实验8 VPN技术的应用【实验目的】令熟悉加密技术与完整性校验在VPN技术当中的应用。令掌握在华为防火墙上实现GRE VPNo令掌握在华为防火墙上实现站点到站点的IPSec VPNo【学时分配】2学时【实验设备】PC机一台;、eNSP; Win 7/11操作系统。【实验任务】任务8-1:使用GRE VPN实现加密传输任务8-2:使用IPSec的ESP协议实现站点到站点VPN任务8-1 :使用GRE VPN实现加密传输【任务目标】Bob为WYL公司的安全运维工程师,根据网络安全的要求,总公司访问分公司 的服务器时需要对数据流进行加密传输,经该公司网络部门决定使用GRE VPN来 实现,拓扑如图1
2、所示。【能力观测点】了解GR助口密隧道;熟练掌握华为防火墙上的GRE VPN配置。【实验内容及过程】分公司总公司GW:PC1Ethernet 0/0/1Trust GE 1/0/0GE 1/0/1FV1UnTrustGRE TunnelGE 1/oA公网IP地址:Tunnel IP地址:GE 1/0/0TrustEthernet一 |0/0/010.1GW:.2.1/24图1拓扑图以上场景中组网需求如下:(1)基础配置:配置接口 IP地址和接口划分进对应安全区域。任务8-2 :使用I PSec的ESP协议实现站点到站点VPN【任务目标】Bob为WYL公司的安全运维工程师,根据网络安全的要求,实
3、现Bob所在的公 司总部与Alice所在的公司分部之间建立站点到站点的VPN,如此以来,就可以通 过IPSec的ESP协议保证Alice与Bob之间在互联网上频繁传送公司机密文件时的 安全性,拓扑如图5所示。【能力观测点】了解IPSec VPN原理;熟练掌握华为防火墙上的IPSec VPN配置。【实验内容及过程】T rustClientlj EthernetFW4TrustGE 1A)/6EthernetServeri图5拓扑图(1)配置FW1和FW2的各接口 IP地址和所属安全区域。FW1interface GigabitEthernet 1/0/1FWl-GigabitEthernetl/
4、0/1ip address 202.1.1.1 24FWl-GigabitEthernet1/0/1undo shutdownFWl-GigabitEthernet1/0/1 quitFW1interface GigabitEthernet 1/0/6 FWl-GigabitEthernetl/0/6ip address 10.91.74, 254 24 FWl-GigabitEthernet1/0/6undo shutdownFWl-GigabitEthernetl/0/6quitFW1FW2interface GigabitEthernet 1/0/1FW2-GigabitEthernet
5、l/0/lip address 202.1.2.2 24FW2-GigabitEthernet1/0/1undo shutdownFW2-GigabitEthernetl/0/lquitFW2interface GigabitEthernet 1/0/6FW2-GigabitEthernetl/0/6ip address 10.91.65,254 24FW2-GigabitEthernet1/0/6undo shutdownFW2-GigabitEthernetl/0/6quitFW2FW1firewall zone trustFWl-zone-trustadd interface Gigab
6、itEthernet 1/0/6FWl-zone-trustquitFW1firewall zone untrustFWl-zone-untrustadd interface GigabitEthernet 1/0/1FWl-zone-untrustquitFW1FW2firewall zone trustFW2-zone-trustadd interface GigabitEthernet 1/0/6FW2-zone-trustquitFW2firewall zone untrustFW2-zone-untrustadd interface GigabitEthernet 1/0/1FW2-
7、zone-untrustquitFW2(2) FW1和FW2配置到达对端的默认路由。FW1 ip route-static 0. 0. 0. 0 0. 0. 0. 0 202. 1. 1. 2FW2 ip route-static 0. 0. 0. 0 0. 0. 0. 0 202. 1. 2. 1(3)定义需要保护的数据流,使用ACL进行流量抓取。FWlacl number 3000FWl-acl-adv-3000rule permit ip source 10. 91. 74. 0 0. 0. 0. 255 destination 10.91.65.0 0. 0. 0. 255 /抓取需要
8、进入IPSec VPN加密的 数据流FWl-acl-adv-3000 quitFW1FW2acl number 3000FW2-acl-adv-3000rule permit ip source 10. 91. 65. 0 0. 0. 0. 255destination 10. 91. 74. 0 0. 0. 0. 255抓取需要进入IPSec VPN加密的数据流FW2-acl-adv-3000quitFW2(4)配置IKE安全协议。FW1 ike proposal 1FWl-ike-proposal-1encryption-algorithm aes-256IKE的加密算法为aes-256F
9、Wl-ike-proposal-1 dh group 14 交换及密钥分发组为14FWl-ike-proposal-1authentication-algorithm sha2-256IKE的认证算法为sha2-256FWl-ike-proposal-1authentication-method pre-shareIKE认证方式为预共享字符串FW1-ike-proposal-1integrity-algorithm hmac-sha2-256完整性算法为hmac-sha2-256FWl-ike-proposal-1prf hmac-sha2-256FWl-ike-proposal-1quitF
10、W1FW2ike proposal 1FW2-ike-proposal-lencryption-algorithm aes-256IKE的加密算法为aes-256FW2-ike-proposal-l dh groupl4 交换及密钥分发组为14FW2-ike-proposal-lauthentication-algorithm sha2-256IKE的认证算法为sha2-256FW2-ike-proposal-lauthentication-method pre-shareIKE认证方式为预共享字符串FW2-ike-proposal-lintegrity-algorithm hmac-sha2
11、-256完整性算法为hmac-sha2-256FW2-ike-proposal-lprf hmac-sha2-256FW2-ike-proposal-lquitFW2(5)配置IKE对等体。FWlike peer FW2FWl-ike-peer-FW2exchange-mode autoFWl-ike-peer-FW2pre-shared-key huawei123预共享密钥,两边要一样,设置成huawei123FWl-ike-peer-FW2 ike-proposal 1 /关联IKE安全提议ike-proposal 1FWl-ike-peer-FW2 remote-address 202.
12、 1. 2. 2 配置对端建立IKE所用地址FWl-ike-peer-FW2quitFW1FW2ike peer FW1FW2-ike-peer-FWlexchange-mode autoFW2-ike-peer-FWlpre-shared-key huawei123 预共享密钥, 两边要一样,设置成huawei123FW2-ike-peer-FWl ike-proposal 1 关联IKE安全提议ike-proposal 1FW2-ike-peer-FWl remote-address 202. 1. 1. 1 配置对端建立IKE所用地址FW2-ike-peer-FWlquitFW2(6)配
13、置IPSec安全协议。LFW1FW1ipsec proposal 10FWl-ipsec-proposal-10esp authentication-algorithmsha2-256ESP认证算法为sha2-256FWl-ipsec-proposal-10esp encryption-algorithm aes-256ESP加密算法为aes-256FWl-ipsec-proposal-10quitFW1FW2ipsec proposal 10FW2-ipsec-proposal-10esp authentication-algorithmsha2-256FW2-ipsec-proposal-
14、10esp encryption-a1gorithm aes-256FW2-ipsec-proposal-101quitFW2(7)配置IPSec策略。FW1ipsec policy FW2 1 isakmp FWl-ipsec-policy-isakmp-FW2-lsecurity acl 3000 将ACL3000抓取的流量放进IPSec VPNFWl-ipsec-policy-isakmp-FW2-like-peer FW2设置对等体,调用IKE peer设置的名字 FWl-ipsec-policy-isakmp-FW2-lproposal 10应用IPSec安全提议10的认证和加密方式
15、 FWl-ipsec-policy-isakmp-FW2-lquitFW1FW2ipsec policy FW1 1 isakmp FW2-ipsec-policy-isakmp-FWl-lsecurity acl 3000 将ACL3000抓取的流量放进IPSec VPNFW2-ipsec-policy-isakmp-FWl-like-peer FW1设置对等体,调用IKE peer设置的名字 FW2-ipsec-policy-isakmp-FWl-lproposal 10应用IPSec安全提议10的认证和加密方式 FW2-ipsec-policy-isakmp-FWl-lquitFW2(8
16、)在对应接口上应用IPSec安全策略。FW1interface GigabitEthernet 1/0/1 FWl-GigabitEthernetl/0/1ipsec policy FW2 FWl-GigabitEthernet1/0/1quitFW1FW2interface GigabitEthernet 1/0/1FW2-GigabitEthernetl/0/lipsec policy FW1FW2-GigabitEthernetl/0/lquitFW2(9)配置FW1和FW2安全策略,放行指定的内网网段进行报文交互。 首先创建私网地址组FW1ip address-set public t
17、ype groupFWl-group-address-set-publicaddress 0 202. 1. 1. 0 mask 24 FWl-group-address-set-publicaddress 1 202. 1. 2. 0 mask 24 FWl-group-address-set-publicquitFW1ip address-set private type groupFWl-group-address-set-privateaddress 0 10.91.74.0 mask 24 FWl-group-address-set-privateaddress 1 10.91.65
18、.0 mask 24 FWl-group-address-set-private quit其次定义一个ike服务集FW1ip service-set ike type objectFWl-object-service-set-ikeservice 0 protocol udpdest inat ion-port 500FWl-object-service-set-ike quit接下来进入安全策略配置视图FW1security-policyFW1-policy-security rule name permit_client_to_serverFWl-policy-security-rule-
19、permit_client_to_serversource-z one trust untrustFWl-policy-security-rule-permit_client_to_serverdestinat ion-zone trust untrustFWl-policy-security-rule-permit_client_to_serversource-a ddress address-set privateFWl-policy-security-rule-permit_client_to_serverdestinat ion-address address-set privateF
20、Wl-policy-security-rule-permit_client_to_serveractionpermitFWl-policy-security-rule-permit_ client to serverquit 制以上安全策略为放行Client去往Server的数据包FWl-policy-security_FWl-policy-securityrule name permit_client_to_server_ikeFWl-policy-security-rule-permit_client_to_server_ikesour ce-zone untrust localFWl-p
21、olicy-security-rule-permit_client_to_server_ikedest ination-zone untrust localFWl-policy-security-rule-permit_client_to_server_ikesour ce-address address-set publicFWl-policy-security-rule-permit client to server ikedest ination-address address-set publicFWl-policy-security-rule-permit_client_to_ser
22、ver_ikeserv ice ikeFWl-policy-security-rule-permit_client_to_server_ikeserv ice espFWl-policy-security-rule-permit_client_to_server_ikeacti on permitFWl-policy-security-rule-permit_client_to_server_ikequit#以上是FW1对IKE封装后的流量进行放行首先创建私网地址组FW2ip address-set public type groupFW2-group-address-set-publicad
23、dress 0 202. 1. 1. 0 mask 24 FW2-group-address-set-publicaddress 1 202. 1. 2. 0 mask 24 FW2-group-address-set-publicquitFW2ip address-set private type groupFW2-group-address-set-privateaddress 0 10.91.74.0 mask 24FW2-group-addresssetprivateaddress 1 10.91.65.0 mask 24FW2-group-address-set-private qu
24、it其次定义一个ike服务集FW2ip service-set ike type objectFW2-object-service-set-ikeservice 0 protocol udpdestination-port 500FW2-object-service-set-ikequit接下来进入安全策略配置视图FW2security-policyFW2-policy-security rule name permit_server_to_clientFW2-policy-security-rule-permit_server to clientsource-z one trust untr
25、ustFW2-policy-security-rule-permit_server_to_clientdestinat ion-zone trust untrustFW2-policy-security-rule-permit_server_to_clientsource-a ddress address-set privateFW2-policy-security-rule-permit_server_to_clientdestinat ion-address address-set privateFW2-policy-security-rule-permit_server_to_clien
26、taction permitFW2-policy-security-rule-permit_server_to clientquit#以上安全策略为放行server去往client的数据包FW2-policy-security.FW2-policy-securityrule name permit_server_to_client_ikeFW2-policy-security-rule-permit_server_to_client_ikesour ce-zone untrust localFW2-policy-security-rule-permit_server_to_client_ike
27、 dest ination-zone untrust localFW2-policy-security-rule-permit_server_to_client_ikesour ce-address address-set publicFW2-policy-security-rule-permit_server_to_client_ikedest ination-address address-set publicFW2-policy-security-rule-permit_server_to_client_ikeserv ice ikeFW2-policy-security-rule-pe
28、rmit_server_to_client_ikeserv ice espFW2-policy-security-rule-permit_server_to_client_ikeacti on permitFW2-policy-security-rule-permit_server_to_client_ikequit触以上是FW2对IKE封装后的流量进行放行(10)测试并且查看IPSec VPN建立情况,如图6、图7所示。Epci基础酉港命令行组播UD嗤包工具串口From10.91.65.1:bytes=32seq=2ttl=126time=15msFrom10.91.65.1:bytes=3
29、2seq=3ttl=126time=15msFrom10.91.65.1:bytes=32seq=4ttl=126time=16msFrom10.91.65.1:bytes=32seq=5ttl=126time=16msFrom10.91.65.1:bytes=32seq=6ttl=126time=31ms- 10.91.65.1 ping statistics 6 packet(s) transmitted5 packet(s) received16.67% packet lossround-trip min/avg/max = 0/18/31 msPing 10.91.65.1:From
30、10.91.65.1:From 10.91.65.1:From 10.91.65.1:From 10.91.65.1:From 10.91.65.1:32 data bytes,Press Ctrl C to breakbytes=32 bytes=32 bytes=32 bytes=32 bytes=32seq=l seq=2 seq=3 seq=4 seq=5ttl=126 ttl=126 ttl=126 ttl=126 ttl=126time=31 mstime=16 mstime=31 mstime=16 mstime=31 ms- 10.91.65.1 ping statistics
31、 5 packet(s) transmitted6 packet(s) received0.00% packet lossround-trip min/avg/max = 16/25/31 msPC图6 PCI测试连通性(2)隧道口配置:配置隧道IP地址、隧道的协议为GRE、隧道的源和 目的IP地址、隧道接口的所属安全区域为DMZ。(3)配置进入该隧道的路由。(4)配置对应方向安全策略。(5)连通性,并且抓取数据包,查看Protocal字段是不是47。(1)基础配置:配置接口 IP地址和接口划分进对应安全区域。FW1接口讣地址配置:FW1interface GigabitEthernet 1/
32、0/1FWl-GigabitEthernetl/0/1ip address 40.1.1.1 24FWl-GigabitEthernet 1/0/1undo shutdown 激活该端口Info: Interface GigabitEthernet 1/0/1 is not shutdown.该提 示信息为此接口已激活FWl-GigabitEthernet1/0/1 quitFW1interface GigabitEthernet 1/0/0FWl-GigabitEthernetl/0/0ip address 10. 1. 1. 254 24FWl-GigabitEthernet1/0/0un
33、do shutdownInfo: Interface GigabitEthernet1/0/0 is not shutdown.FWl-GigabitEthernet1/0/0quitFW1FWl接口安全区域划分:FW1firewall zone trustFWl-zone-trustadd interface GigabitEthernet 1/0/0 FWl-zone-trustquitFWlfirewall zone untrustFWl-zone-untrustadd interface GigabitEthernet 1/0/1FWl-zone-untrustquitFWlFW1z
34、PeerPort=500z LocalAdd ress=202.1.1.1, AuthMethod=pre-shared-keyz AuthID=202 1 2 2, IDType=IP) FW1Nov 26 2021 13:44:41 FW1 IPSEC/4/IPSECTUNNELSTART:1.3.6.1.4.1.2011.6.122.26.6.1 the IPSec tunnel is established. (Ifindex=7, SeqNum=lf Tunnellndex=2684354 561/ R uleNum=5, DstIP=202.1.2.2, InsideIP=0.0.
35、0.0, RemotePort=500z CpuID=0z SrcIP=202. 1.1.1, LifeSize=10485760z LifeTime=3600)FW1Nov 26 2021 13:44:48 FW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3 .1 configurations have been changed. The current change number is 47z the change loop count is 0z and the maximum number of records is
36、4095.FW1FW1dis ip sFW1dis ike saFW1dis ike saVPNFlag(s)RD|ST|ARD|ST|AIke sa information : Conn-IDPeerPhasev2:2v2:lNumber of SA entries : 2Number of SA entries of all cpu : 2图7 FW1查看IKE建立情况抓包看出来,原来的ICMP报文已经被封装成ESP报文进行传递,同时ESP 的报文头部源目的IP已经改变成公网IP,可以看出该IPSec VPN的模式为隧道 模式,封装了新的IP报头,如图8所示。1 0.000000ESP13
37、8 ESP(SPI=0x7e2d53d6)2 0, 000000ESP138 ESP(SPI=0X5fad283C)3 1.015000ESP138 ESP(SPI=0x7e2d53d6)4 1.031000ESP138 ESP(SPI=0x5fad283c)5 2.047000ESP138 ESP(SPI=0x7e2d53d6)6 2.062000ESP138 ESP(SPI=0x5fad283c)7 3.062000ESP138 ESP(SPI=0x7e2d53d6)8 3.078000ESP138 ESP(SPI=0x5fad283c)9 4.078000202,1,22ESP138 E
38、SP(SPI=0x7e2d53d6) Frame 1: 138 bytes on wire (1104 bits), 138 bytes captured (1104 bits) on interface 0 Ethernet II, Src: HuaweiTe_4e:18:30 (00:e0:fc:4e:18:30), Dst: HuaweiTe_7f:13:12 (00:e0:fc:7f:13:12/ 0100 . = Version: 4.0101 = Header Length: 20 bytes (5) Differentiated Services Field: 0x00 (DSC
39、P: CS0, ECN: Not-ECT)Total Length: 124Identification: 0x0036 (54) Flags: 0x0000Time to live: 255Protocol: Encap Security Payload (50)Header checksum: 0x2414 validation disabledHeader checksum status: Unverified Encapsulating Security Payload图8抓包测试思考题1、在企业网络中,如何保证数据的安全传输?数据传输中存在哪些安全风 险?又有哪些方法可以有效避免这些
40、风险?答案:在企业网络中,可以采用以下方法保证数据的安全传输:使用加密技术对数据进行加密,如HTTPS协议、SSL/TLS协议、IPSec协议等;使用VPN技术建立虚拟专用网络,对数据进行加密传输;使用防火墙和入侵检测系统等安全设备进行数据过滤和监测;对网络设备、操作系统和应用程序进行及时更新和维护,以避免已知的漏洞 被利用;加强员工的安全意识培训,避免不必要的安全风险。在数据传输过程中,存在以下安全风险:数据窃听:黑客可以通过网络拦截数据包,获取数据信息;数据篡改:黑客可以修改传输中的数据包,以达到攻击企业网络的目的;数据丢失:由于网络拥塞或其他原因,数据包可能会丢失;病毒攻击:黑客可能通过
41、恶意软件或病毒对企业网络进行攻击。为了避免这些安全风险,可以采取以下措施:加密数据传输;使用双因素认证和访问控制等措施保护网络安全;定期更新和升级网络设备和软件;实施安全审计和风险评估等措施,及时发现和处理安全问题;员工安全意识教育和培训,强化员工对网络安全的重视和安全意识。2、VPN技术在企业网络中的应用越来越广泛,它对企业网络安全有哪些贡献? 在使用VPN技术时需要注意哪些安全问题?答案:VPN技术可以通过对数据进行加密传输,保护数据的机密性和完整性;VPN技术可以通过隧道技术建立虚拟专用网络,实现点对点的安全通信;VPN技术可以通过双重认证和加密密钥管理等技术保证数据传输的安全性。 在使
42、用VPN技术时,需要注意以下安全问题:VPN的认证和密钥管理需要特别关注,防止被攻击者获取;VPN应该采用较高的加密级别,以提高安全性;VPN服务器应该在安全的环境下进行部署,避免被攻击;对VPN服务器进行安全审计和监控,及时发现和处理安全问题。3、企业网络安全是企业信息化建设中非常重要的一环,如何保障企业网络 安全?在建设企业网络安全中需要考虑哪些方面?答案:1、硬件设备安全:企业网络中的所有硬件设备都应该得到妥善的保护,包 括路由器、交换机、防火墙等网络设备,以及服务器、工作站等计算机设备。这 些设备需要设置强密码和访问控制,定期进行安全检查和更新,及时处理漏洞和 修复软件缺陷。2、软件安
43、全:软件是企业网络中最容易受到攻击的部分,因此需要确保软 件的安全性。企业应该使用合法的软件,并及时更新和修复软件中的漏洞。同时, 企业应该定期对软件进行安全检查和评估,以确保其安全性。3、认证与授权:企业需要建立严格的认证和授权机制,限制用户的访问权 限,并且确保用户的身份验证是可靠的。企业需要使用合适的身份验证技术,如 密码、生物识别等,并及时撤销离职员工的账号权限。4、数据加密:企业需要对敏感数据进行加密,以确保数据在传输和存储过 程中的安全性。企业可以使用各种加密技术,如SSL、VPN、IPSec等。5、防火墙和入侵检测:企业应该安装和配置防火墙,以过滤和监控网络流 量,同时应该使用入
44、侵检测系统(IDS)和入侵防御系统(IPS),以及定期对系统进 行漏洞扫描和安全评估。6、员工安全意识:企业应该对员工进行网络安全教育和培训,提高员工的 安全意识和防范意识,减少人为因素对企业网络安全的影响。7、灾难恢复和备份:企业应该建立完备的灾难恢复和数据备份机制,以保 障企业网络安全和业务连续性。FW2接口 IP地址配置FW2interface GigabitEthernet 1/0/1FW2-GigabitEthernetl/0/lip address 40.1.1.2 24FW2-GigabitEthernet1/0/1undo shutdownInfo: Interface Gig
45、abitEthernet1/0/1 is not shutdown.FW2-GigabitEthernetl/0/lquitFW2int GigabitEthernet 1/0/0FW2-GigabitEthernetl/0/0ip address 10.1.2. 254 24FW2-GigabitEthernet1/0/0undo shutdownInfo: Interface GigabitEthernet1/0/0 is not shutdown.FW2-GigabitEthernet1/0/0quitFW2FW2接口安全区域划分:FW2firewall zone trustFW2-zone-trustadd interface GigabitEthernet 1/0/0FW2-zone-trustqui