亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        Web服務(wù)器安全實(shí)驗(yàn)在HCL仿真軟件中的設(shè)計(jì)與實(shí)現(xiàn)

        2022-05-25 04:48:16徐洪峰
        現(xiàn)代計(jì)算機(jī) 2022年6期
        關(guān)鍵詞:宿主機(jī)網(wǎng)卡IP地址

        徐洪峰

        (長沙民政職業(yè)技術(shù)學(xué)院軟件學(xué)院,長沙 410004)

        0 引言

        隨著信息化的快速發(fā)展,網(wǎng)絡(luò)安全問題日趨嚴(yán)重。國家網(wǎng)絡(luò)安全的維護(hù),需要網(wǎng)絡(luò)安全人才的培養(yǎng)。中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室等六部門于2016年6月聯(lián)合發(fā)布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》(簡稱《意見》)?!兑庖姟分赋?,鼓勵(lì)高校開設(shè)網(wǎng)絡(luò)安全基礎(chǔ)公共課程,提倡非網(wǎng)絡(luò)安全專業(yè)學(xué)生學(xué)習(xí)掌握網(wǎng)絡(luò)安全知識(shí)和技能。對于計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)的大學(xué)生,更要在專業(yè)教師的引導(dǎo)下,認(rèn)真學(xué)習(xí)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),努力掌握網(wǎng)絡(luò)安全實(shí)踐操作技能。

        在真實(shí)的實(shí)驗(yàn)環(huán)境下進(jìn)行網(wǎng)絡(luò)安全學(xué)習(xí)的操作勢必耗費(fèi)大量資金,學(xué)校財(cái)政壓力較大,同時(shí)受機(jī)房環(huán)境的制約,學(xué)生學(xué)習(xí)不便。HCL(H3C cloud lab)即華三云實(shí)驗(yàn)室,也稱H3C模擬器,是新華三公司推出的一款圖形化界面的全真網(wǎng)絡(luò)模擬軟件。隨著新華三公司規(guī)模擴(kuò)大以及市場份額的提升,HCL軟件成為廣大學(xué)生和技術(shù)人員學(xué)習(xí)使用的重要工具。

        本文使用HCL仿真軟件設(shè)計(jì)與實(shí)現(xiàn)一個(gè)基于ACL包過濾技術(shù)和NAT server技術(shù)的WEB服務(wù)器安全實(shí)驗(yàn),引導(dǎo)學(xué)生學(xué)習(xí)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),提升學(xué)生動(dòng)手實(shí)踐能力。

        1 相關(guān)技術(shù)介紹

        1.1 ACL包過濾技術(shù)

        ACL(Access Control Lists,訪問控制列表)是最基本的網(wǎng)絡(luò)安全工具之一,它實(shí)際上是一組規(guī)則的集合,這組規(guī)則定義了怎樣處理流入或流出設(shè)備的報(bào)文。根據(jù)業(yè)務(wù)需要,網(wǎng)絡(luò)管理員可以在路由器、交換機(jī)等設(shè)備上針對報(bào)文的源IP地址、目的IP地址、協(xié)議、端口號(hào),甚至源MAC地址和目的MAC進(jìn)行規(guī)則設(shè)置,以允許或拒絕報(bào)文通過。將配置好的規(guī)則應(yīng)用到設(shè)備的接口處,設(shè)備會(huì)對穿越該接口的報(bào)文進(jìn)行匹配分析,并按設(shè)置好的規(guī)則進(jìn)行處理。ACL包過濾技術(shù)通過控制數(shù)據(jù)流在網(wǎng)絡(luò)中的傳輸,保護(hù)敏感設(shè)備,防范未經(jīng)授權(quán)的訪問。

        新華三公司將ACL劃分為基本、高級(jí)、二層以及用戶自定義四種類型。對于基本ACL,規(guī)則只能針對報(bào)文的源IP地址設(shè)置;對于高級(jí)ACL,規(guī)則不僅可以針對報(bào)文的源IP地址、目的IP地址等三層信息,還可以針對端口號(hào)等四層信息進(jìn)行設(shè)置;對于二層ACL,規(guī)則可以針對報(bào)文的源MAC地址、目的MAC地址等二層信息進(jìn)行設(shè)置。在本實(shí)驗(yàn)中,ACL包過濾技術(shù)用到的是高級(jí)ACL。

        1.2 NAT ser ver技術(shù)

        NAT(network address translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)是將IP地址從一個(gè)地址域映射到另一個(gè)地址域的方法,為終端設(shè)備提供透明的傳輸。通過NAT的作用,一方面可以節(jié)約公網(wǎng)地址,另一方面可以隱藏私網(wǎng)地址。NAT的轉(zhuǎn)換方式可以分為靜態(tài)、動(dòng)態(tài)和內(nèi)部服務(wù)器三種。NAT server技術(shù)就是NAT內(nèi)部服務(wù)器技術(shù),它可以隱藏私網(wǎng)內(nèi)部服務(wù)器的IP地址,確保網(wǎng)站服務(wù)器的安全。

        使用NAT server技術(shù),可以將部署在組織內(nèi)部的服務(wù)器的私網(wǎng)IP地址轉(zhuǎn)換成公網(wǎng)IP地址,從而為組織外部網(wǎng)絡(luò)的用戶提供服務(wù)。外部用戶在接受服務(wù)的過程中,并不知道服務(wù)器位于私網(wǎng)內(nèi)部,更不知道服務(wù)器的真實(shí)IP地址。NAT server技術(shù)通過隱藏服務(wù)器的真實(shí)IP地址和所處位置,避免服務(wù)器遭到來自網(wǎng)絡(luò)外部的惡意攻擊。

        2 仿真實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)

        2.1 網(wǎng)絡(luò)設(shè)計(jì)

        為了綜合運(yùn)用ACL包過濾技術(shù)和NATserver技術(shù),提出如下網(wǎng)絡(luò)需求:A公司內(nèi)部部署一臺(tái)WEB服務(wù)器,該服務(wù)器僅為公司網(wǎng)內(nèi)員工以及位于網(wǎng)外的B公司員工提供服務(wù),禁止其他人員訪問。

        根據(jù)網(wǎng)絡(luò)需求設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu),如圖1所示。圖1中,“SERVER”是WEB服務(wù)器,安裝在A公司私網(wǎng)內(nèi)部,“PC1”和“PC2”分別是B公司和C公司的終端,“Internet”用于模擬互聯(lián)網(wǎng),“NAT”、“RT1”和“RT2”分別是A公司、B公司和C公司的出口路由器,“SW0”、“SW1”和“SW2”分別是A公司、B公司和C公司的接入交換機(jī)。一方面,“SERVER”為公司內(nèi)網(wǎng)員工開放WEB服務(wù);另一方面,通過在“NAT”配置NAT server技術(shù)為外網(wǎng)用戶提供服務(wù),但同時(shí)在“NAT”部署ACL包過濾技術(shù)禁止B公司以外的員工訪問。

        2.2 實(shí)驗(yàn)條件

        防火墻擔(dān)當(dāng)服務(wù)器,宿主機(jī)測試業(yè)務(wù)。HCL仿真軟件沒有專門用于提供WEB業(yè)務(wù)的服務(wù)器,也沒有具備瀏覽器功能的主機(jī),需要使用其它設(shè)備代替。HCL仿真軟件中的防火墻實(shí)現(xiàn)了真實(shí)設(shè)備F1060的功能,具有WEB管理功能,開放了“80”和“443”端口,啟用了http和https服務(wù),可以用于模擬WEB服務(wù)器。此外,HCL仿真軟件中“Host”終端其實(shí)是本地主機(jī),也就是HCL軟件安裝和運(yùn)行的宿主機(jī)。HCL安裝時(shí),會(huì)通過“Oracle VM VirtualBox”軟件在宿主機(jī)上創(chuàng)建一張?zhí)摂M網(wǎng)卡,這張?zhí)摂M網(wǎng)卡也是HCL工作臺(tái)中“Host”終端的網(wǎng)卡,將“Host”終端接入虛擬網(wǎng)絡(luò),實(shí)際上是將宿主機(jī)接入到虛擬網(wǎng)絡(luò),自然可以使用宿主機(jī)上的瀏覽器訪問虛擬網(wǎng)絡(luò)中的WEB服務(wù)器。因此,圖1中的“SERVER”設(shè)備用防火墻模擬,“PC1”和“PC2”是“Host”終端,也就是宿主機(jī)。

        圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

        2.3 IP地址及接口規(guī)劃

        實(shí)驗(yàn)共規(guī)劃六個(gè)IP地址段,其中私網(wǎng)IP地址段三個(gè),用于三個(gè)公司網(wǎng)絡(luò)終端使用;公網(wǎng)IP地址段三個(gè),用于路由器互聯(lián)使用,具體如表1所示。

        表1 IP地址規(guī)劃表

        各設(shè)備互聯(lián)接口規(guī)劃及IP地址分配如表2所示。其中“SERVER”服務(wù)器使用地址“192.168.1.10”,“PC1”服務(wù)器使用地址“172.31.2.10”,“PC2”服務(wù)器使用地址“10.10.3.10”。

        表2 設(shè)備互聯(lián)接口及IP地址表

        “NIC:VirtualBox Host-Only Network#6”是HCL安裝時(shí)生成的虛擬網(wǎng)卡,“NIC:VirtualBox Host-Only Network#7”是根據(jù)實(shí)驗(yàn)需要,手動(dòng)使用“Oracle VM VirtualBox”軟件創(chuàng)建而成?!?6”和“#7”分別代表宿主機(jī)上第6塊和第7塊網(wǎng)卡。

        2.4 數(shù)據(jù)配置

        2.4.1 IP地址等基本配置。

        根據(jù)設(shè)備互聯(lián)接口及IP地址表,在各設(shè)備上配置相應(yīng)的IP地址、默認(rèn)路由等。

        (1)“Internet”設(shè)備配置。與“NAT”互聯(lián)的接口Ser_1/0上配置IP地址“111.168.1.1”;在與“RT1”相連的接口Ser_2/0上配置IP地址“112.31.2.1”;在與“RT2”相連的接口Ser_3/0上配置IP地址“113.10.3.1”,掩碼長度都為24位。

        (2)“NAT”設(shè)備配置。在與“Internet”相連的接口Ser_1/0上配置IP地址“111.168.1.2”,與“SW0”互聯(lián)的接口GE0/0上配置IP地址“192.168.1.1”,掩碼長度都為24位,同時(shí)配置默認(rèn)路由。

        (3)“RT1”設(shè)備配置。在與“Internet”相連的接口Ser_1/0上配置IP地址“112.31.2.2”,與“SW1”相連的接口GE0/0上配置IP地址“172.31.2.1”,掩碼長度都為24位,同時(shí)配置默認(rèn)路由。

        (4)“RT2”設(shè)備配置。在與“Internet”相連的接口Ser_1/0上配置IP地址“113.10.3.2”,與“SW2”相連的接口GE0/0上配置IP地址“10.10.3.1”,掩碼長度都為24位,同時(shí)配置默認(rèn)路由。

        (5)“SERVER”設(shè)備配置。SERVER”設(shè)備是一臺(tái)防火墻,在與“SW0”相連的接口G1/0/0上配置IP地址“192.168.1.10”,掩碼長度為24位,同時(shí)配置默認(rèn)路由。

        2.4.2 安全域及策略配置

        實(shí)驗(yàn)中,“SERVER”是一臺(tái)防火墻,需對安全域、安全策略及規(guī)則進(jìn)行配置,確保報(bào)文正常轉(zhuǎn)發(fā)。將與“SW0”相連的接口G1/0/0加入“Trust”域,創(chuàng)建編號(hào)為“0”、名稱為“trust-local”的安全策略規(guī)則,配置“action pass”命令允許流量通過。

        2.4.3 靜態(tài)NAT配置

        分別在“RT1”和“RT2”設(shè)備中創(chuàng)建編號(hào)為“2000”的基本訪問控制列表,允許B公司和C公司內(nèi)網(wǎng)私有地址段為源的流量通過,并分別在接口Serial1/0進(jìn)行源地址轉(zhuǎn)換。

        2.4.4 NAT server配置

        在“NAT”設(shè)備外網(wǎng)側(cè)接口Ser_1/0上部署NAT server技術(shù)。將與Ser_1/0接口地址處于同一網(wǎng)段的公網(wǎng)地址“111.168.1.100”和端口號(hào)“1234”映射到“SERVER”服務(wù)器的真實(shí)私網(wǎng)地址“192.168.1.10”和端口號(hào)“443”上。

        [NAT-Serial1/0]nat server protocol tcp global 111.168.1.100 1234 inside 192.168.1.10 443

        2.4.5 ACL配置

        在“NAT”設(shè)備上創(chuàng)建編號(hào)為“3000”的高級(jí)訪問控制列表,允許源地址為“112.31.2.2”且目的地址為“111.168.1.100”、目的端口號(hào)為“1234”的數(shù)據(jù)包通過,阻止其它任何源地址且目的地址為“111.168.1.100”、目的端口號(hào)為“1234”的數(shù)據(jù)通過。在“NAT”設(shè)備的Ser_1/0接口入方向上應(yīng)用該ACL。

        3 實(shí)驗(yàn)結(jié)果驗(yàn)證

        3.1 B公司終端訪問“SERVER”服務(wù)器

        B公司訪問公網(wǎng)是通過出口路由器“RT1”將私網(wǎng)地址轉(zhuǎn)換為接口Ser_1/0的公網(wǎng)地址“112.31.2.2”實(shí)現(xiàn)的。在PC1,也就是宿主機(jī)的虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#6”配置私網(wǎng)IP地址“172.31.2.10”以及相應(yīng)的掩碼和網(wǎng)關(guān)。為避免沖突,禁用虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#7”。打開宿主機(jī)的瀏覽器,并在地址欄中輸入“https://111.168.1.100:1234”進(jìn)行測試,能正常訪問“SERVER”服務(wù)器,如圖2所示,證明NAT server技術(shù)部署成功。

        圖2 B公司用戶可正常訪問“SERVER”服務(wù)器

        3.2 其它外網(wǎng)終端訪問“SERVER”服務(wù)器

        在PC2,也就是宿主機(jī)的虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#7”配置IP地址“10.10.3.10”以及相應(yīng)的掩碼和網(wǎng)關(guān),并禁用虛擬網(wǎng)卡“NIC:VirtualBox Host-Only Network#6”,模擬C公司(B公司以外)的外網(wǎng)用戶測試,不能訪問“SERVER”服務(wù)器,如圖3所示,證明ACL包過濾技術(shù)部署成功。

        圖3 C公司用戶不能訪問“SERVER”服務(wù)器

        4 結(jié)語

        習(xí)總書記曾說,沒有網(wǎng)絡(luò)安全就沒有國家安全。當(dāng)前網(wǎng)絡(luò)與信息安全問題突出,人人都需要增強(qiáng)意識(shí)、提高警惕,尤其在網(wǎng)絡(luò)相關(guān)課程教學(xué)過程中,要引導(dǎo)學(xué)生時(shí)時(shí)處處注意網(wǎng)絡(luò)與信息安全。本文采用ACL包過濾技術(shù)和NAT server技術(shù),在HCL仿真軟件中完成內(nèi)網(wǎng)服務(wù)器實(shí)驗(yàn)的搭建與部署。從實(shí)驗(yàn)結(jié)果來看,采用NATserver技術(shù),內(nèi)網(wǎng)服務(wù)器能通過公網(wǎng)地址為外網(wǎng)用戶提供正常的服務(wù),且隱藏了內(nèi)部服務(wù)器的真實(shí)信息,而采用ACL包過濾技術(shù)可以阻止不可信的數(shù)據(jù)包訪問,確保了服務(wù)器的安全。實(shí)驗(yàn)清晰直觀,對學(xué)生的實(shí)踐有很好的指導(dǎo)作用。

        猜你喜歡
        宿主機(jī)網(wǎng)卡IP地址
        在DDS 中間件上實(shí)現(xiàn)雙冗余網(wǎng)卡切換的方法
        鐵路遠(yuǎn)動(dòng)系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
        Server 2016網(wǎng)卡組合模式
        虛擬網(wǎng)絡(luò)實(shí)驗(yàn)室在農(nóng)村職校計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)教學(xué)中的應(yīng)用研究
        嵌入式計(jì)算機(jī)軟件測試關(guān)鍵技術(shù)的思考
        基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
        黑龍江電力(2017年1期)2017-05-17 04:25:16
        挑戰(zhàn)Killer網(wǎng)卡Realtek網(wǎng)游專用Dragon網(wǎng)卡
        嵌入式計(jì)算機(jī)軟件測試關(guān)鍵技術(shù)研究
        在不連接網(wǎng)線的情況下Windows與VM之間如何ping通
        巧識(shí)劣質(zhì)水晶頭
        日韩人妻精品视频一区二区三区| 啪啪免费网站| 国产一区二区三区精品久久呦| 国产白浆流出一区二区| 亚洲一区二区三区综合免费在线| 国产免费内射又粗又爽密桃视频| 粗了大了 整进去好爽视频| 欧美激情精品久久999| 麻豆视频黄片在线免费观看| 美女网站免费观看视频| 少妇无码一区二区三区| 又色又爽又黄高潮的免费视频| 日本午夜免费福利视频| 日韩av中出在线免费播放网站| 亚洲精品一区二在线观看| 欧美老肥婆牲交videos| 国产精品麻豆欧美日韩ww| 国产亚洲欧美日韩国产片| 亚洲av日韩综合一区尤物| 成视频年人黄网站免费视频| 精品国产三级在线观看| 国产三级视频在线观看视主播| 九七青青草视频在线观看| 97久久精品人妻人人搡人人玩| 又大又粗弄得我出好多水| 偷拍激情视频一区二区| 国产精品午夜夜伦鲁鲁| 97久久精品无码一区二区天美| 久久91综合国产91久久精品| 日本一道高清在线一区二区| 欲香欲色天天天综合和网| 中文人妻av久久人妻18| 国产成社区在线视频观看| 九九精品国产亚洲av日韩| 精品久久久久久无码人妻蜜桃| 亚洲精品国产成人AV| 国产偷拍盗摄一区二区| 国产极品美女高潮无套| 爱情岛永久地址www成人| 亚洲AV手机专区久久精品| 中文字幕色偷偷人妻久久一区|