防火墙与入侵检测技术实验报告.docx
- 文档编号:23274922
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:19
- 大小:337.50KB
防火墙与入侵检测技术实验报告.docx
《防火墙与入侵检测技术实验报告.docx》由会员分享,可在线阅读,更多相关《防火墙与入侵检测技术实验报告.docx(19页珍藏版)》请在冰豆网上搜索。
防火墙与入侵检测技术实验报告
《防火墙、入侵检测与VPN》
实验报告
2016/2017学年第1学期
班级13级计算接科学与技术
姓名夏磊
学号1310411064
授课老师程昆山
实验一PIX防火墙配置
一、实验目的
通过该实验了解PIX防火墙的软硬件组成结构,掌握PIX防火墙的工作模式,熟悉PIX防火墙的6条基本指令,掌握PIX防火墙的动态、静态地址映射技术,掌握PIX防火墙的管道配置,熟悉PIX防火墙在小型局域网中的应用。
二、实验任务
●观察PIX防火墙的硬件结构,掌握硬件连线方法
●查看PIX防火墙的软件信息,掌握软件的配置模式
●了解PIX防火墙的6条基本指令,实现内网主机访问外网主机
三、实验设备
PIX501防火墙一台,CISCO2950交换机两台,控制线一根,网络连接线若干,PC机若干
四、实验拓扑图及内容
图中DMZ区域没有配置,只是配置了内网R1和外网R4,
外网R4:
R4#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R4(config)#intf0/0
R4(config-if)#ipadd192.168.1.2255.255.255.0
R4(config-if)#noshut
R4(config-if)#exit
*Mar100:
02:
56.059:
%LINK-3-UPDOWN:
InterfaceFastEthernet0/0,changedstatetoup
*Mar100:
02:
57.059:
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
R4(config)#iproute0.0.0.00.0.0.0192.168.1.3
R4(config)#
内网R1:
R1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R1(config)#intf0/0
R1(config-if)#ipadd10.1.1.2255.255.255.0
R1(config-if)#noshut
R1(config-if)#
*Mar100:
01:
32.115:
%LINK-3-UPDOWN:
InterfaceFastEthernet0/0,changedstatetoup
*Mar100:
01:
33.115:
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
R1(config-if)#exit
R1(config)#iproute0.0.0.00.0.0.010.1.1.3
R1(config)#exit
R1#
*Mar100:
53:
05.287:
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R1#
防火墙上的配置:
pixfirewall#conft
pixfirewall(config)#hostnamepix
pix(config)#
pix(config)#
pix(config)#inte0
pix(config-if)#ipadd10.1.1.3255.255.255.0
pix(config-if)#nameifinside
INFO:
Securitylevelfor"inside"setto100bydefault.
pix(config-if)#noshut
pix(config-if)#exit
pix(config)#inte1
pix(config-if)#nameifoutside
INFO:
Securitylevelfor"outside"setto0bydefault.
pix(config-if)#ipadd192.168.1.3
pix(config-if)#ipadd192.168.1.3255.255.255.0
pix(config-if)#noshut
pix(config-if)#exit
pix(config)#static(inside,outside)192.168.1.410.1.1.4netmask255.255.255.255
pix(config)#access-list100permiticmpanyany
pix(config)#access-gr
pix(config)#access-group100inint
pix(config)#access-group100ininterfaceoutside
pix(config)#exit
pix#
五、实验结果
内网ping外网:
外网ping内网:
总结:
pix防火墙默认情况下,从高安全级别到低安全级别的流量是被允许的,从低安全级别访问高安全级别的流量默认是被禁止的。
要使流量可以从低安全级别访问高安全级别,需要使用访问列表。
实验二IDS入侵检测规则配置
【实验名称】
IDS入侵检测规则配置
【计划学时】
2学时
【实验目的】
1、了解IDS系统自带检测规则库中的各种攻击类型;
2、初步掌握对用户自定义规则的配置。
【基本原理】
IDS系统自带庞大的检测规则库,同时也允许用户自定义规则。
在检测入侵行为的过程中,IDS系统根据预先设定的检测规则进行信息的捕获,拆分,分析以及匹配。
【实验拓扑】
【实验步骤】
一、系统自带检测规则
1、“入侵检测”“检测规则”,该页面显示所有IDS系统自带检测规则,用户可以查看已经勾选的规则库,或进行规则库的选择。
系统会定时自动下载更新规则库,以使用户得到及时的保护。
用户也可上传自定义补丁更新规则库。
注意:
建议用户只勾选必要的选择,以提高检测的速率和性能。
例如,如果内部网络中没有数据库服务器,则不必勾选数据库选项下的规则库。
一般情况下,勾选的规则越多,对进出数据包的检测匹配耗时越长,降低IDS设备处理性能。
2、“入侵检测”“检测规则”“规则设置”
分类罗列已有规则及其危害等级,并可对各规则进行编辑,选择对违反该规则的行为警报(Alert),通过(Pass),或者拒绝(Reject)。
3、“入侵检测”“检测规则”“自定义规则”
自定义规则可以让用户自行定义入侵检测规则。
自定义规则非常强大,但需要一定的网络安防专业知识才能配置使用。
4、“入侵检测”“检测规则”“统计规则”
统计规则指的是对一段时间内重复出现的低级别事件进行统计综合报警。
这样可以减少不必要的报警次数。
举例:
对“ICMPWindowsPING”事件,如果需要在60秒内重复出现10次才报警,则应配置如下所示:
其中,gid和sid可以通过查询进行查询。
【实验总结】
本实验主要介绍了IDS自带的检测规则库及用户自定义规则的配置。
IDS的检测规则,关联规则都需要根据网络的实际情况来进行配置,当出现入侵时,所有的入侵行为数据都会在IDS服务器内根据规则进行检测(捕获,拆分,分析,匹配)。
实验三ASA防火墙IPSec与VPN的配置
一、实验目的
通过该实验掌握ASA防火墙IPSec与VPN的配置。
二、实验任务
●配置ASA防火墙IPSec
●配置ASA防火墙VPN
●验证实验结果
三、实验设备
ASA5505防火墙两台,CISCO2950交换机两台,控制线一根,网络连接线若干,PC机若干,Sniffer软件一套
四、实验拓扑图及内容
VPN的基本配置
执行下列步骤:
1.确定一个预先共享的密钥(保密密码)
2.为SA协商过程配置IKE。
3.配置IPSec。
内网R2上的配置是:
interfaceFastEthernet0/0
ipaddress10.1.1.1255.255.255.0
duplexauto
speedauto
!
noiphttpserver
noiphttpsecure-server
iproute0.0.0.00.0.0.010.1.1.2
防火墙FW1上的配置是:
fw1#shrun
:
Saved
:
PIXVersion7.2
(1)
!
hostnamefw1
enablepassword8Ry2YjIyt7RRXU24encrypted
names
!
interfaceEthernet0
nameifoutside
security-level0
ipaddress192.168.2.1255.255.255.0
!
interfaceEthernet1
nameifinside
security-level100
ipaddress10.1.1.2255.255.255.0
!
interfaceEthernet2
shutdown
nonameif
nosecurity-level
noipaddress
!
interfaceEthernet3
shutdown
nonameif
nosecurity-level
noipaddress
!
interfaceEthernet4
shutdown
nonameif
nosecurity-level
noipaddress
!
passwd2KFQnbNIdI.2KYOUencrypted
ftpmodepassive
access-list101extendedpermiticmpanyany
pagerlines24
mtuoutside1500
mtuinside1500
nofailover
noasdmhistoryenable
arptimeout14400
global(outside)11192.168.2.74netmask255.255.255.255
routeoutside0.0.0.00.0.0.0192.168.2.41
timeoutxlate3:
00:
00
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00icmp0:
00:
02
timeoutsunrpc0:
10:
00h3230:
05:
00h2251:
00:
00mgcp0:
05:
00mgcp-pat0:
05:
00
timeoutsip0:
30:
00sip_media0:
02:
00sip-invite0:
03:
00sip-disconnect0:
02:
00
timeoutuauth0:
05:
00absolute
nosnmp-serverlocation
nosnmp-servercontact
snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart
cryptoipsectransform-setfw2esp-desesp-none
cryptomappix12matchaddress101
cryptomappix12setpeer192.168.2.4
cryptomappix12settransform-setfw2
cryptomappixinterfaceoutside
cryptoisakmpidentityaddress
cryptoisakmpenableoutside
cryptoisakmppolicy12
authenticationpre-share
encryption3des
hashsha
group2
lifetime86400
cryptoisakmppolicy65535
authenticationpre-share
encryption3des
hashsha
group2
lifetime86400
tunnel-group192.168.2.4typeipsec-l2l
tunnel-group192.168.2.4ipsec-attributes
pre-shared-key*
telnettimeout5
sshtimeout5
consoletimeout0
!
!
prompthostnamecontext
Cryptochecksum:
00000000000000000000000000000000
:
end
fw1#
内网R3上的配置是:
interfaceFastEthernet0/0
ipaddress20.1.1.1255.255.255.0
duplexauto
speedauto
!
noiphttpserver
noiphttpsecure-server
iproute0.0.0.00.0.0.020.1.1.2
防火墙FW2上的配置:
fw2#shrun
:
Saved
:
PIXVersion7.2
(1)
!
hostnamefw2
enablepassword8Ry2YjIyt7RRXU24encrypted
names
!
interfaceEthernet0
nameifoutside
security-level0
ipaddress192.168.2.4255.255.255.0
!
interfaceEthernet1
nameifinside
security-level100
ipaddress20.1.1.2255.255.255.0
!
interfaceEthernet2
shutdown
nonameif
nosecurity-level
noipaddress
!
interfaceEthernet3
shutdown
nonameif
nosecurity-level
noipaddress
!
interfaceEthernet4
shutdown
nonameif
nosecurity-level
noipaddress
!
passwd2KFQnbNIdI.2KYOUencrypted
ftpmodepassive
access-list101extendedpermiticmpanyany
pagerlines24
mtuoutside1500
mtuinside1500
nofailover
noasdmhistoryenable
arptimeout14400
global(outside)11192.168.2.84netmask255.255.255.255
routeoutside0.0.0.00.0.0.0192.168.2.11
timeoutxlate3:
00:
00
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00icmp0:
00:
02
timeoutsunrpc0:
10:
00h3230:
05:
00h2251:
00:
00mgcp0:
05:
00mgcp-pat0:
05:
00
timeoutsip0:
30:
00sip_media0:
02:
00sip-invite0:
03:
00sip-disconnect0:
02:
00
timeoutuauth0:
05:
00absolute
nosnmp-serverlocation
nosnmp-servercontact
snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart
cryptoipsectransform-setfw1esp-desesp-none
cryptomappix12matchaddress101
cryptomappix12setpeer192.168.2.1
cryptomappix12settransform-setfw1
cryptomappixinterfaceoutside
cryptoisakmpidentityaddress
cryptoisakmpenableoutside
cryptoisakmppolicy12
authenticationpre-share
encryption3des
hashsha
group2
lifetime86400
tunnel-group192.168.2.1typeipsec-l2l
tunnel-group192.168.2.1ipsec-attributes
pre-shared-key*
telnettimeout5
sshtimeout5
consoletimeout0
!
!
prompthostnamecontext
Cryptochecksum:
857539fcbacc4cb22811ddfb1c68679c
:
end
fw2#
五、实验总结
虚拟专用网被定义为通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 入侵 检测 技术 实验 报告