参考答案
一、 设计思路
根据该学院网络需求,将该学院网络划分为:出口层、核心层、汇聚层、接入层四个层次;
出口层使用防火墙一台,其DMZ区连接学院服务器,外网口连接Internet,内网口连接核心层;
使用两台三层交换机(Rs1-Rs2)组成网络核心层;四台三层交换机(Rs2-Rs6)组成网络汇聚层,核心层与汇聚层使用双链路以实现线路备份与负载均衡;
使用二层交换机若干台构成网络接入层,连接服务器和个人计算机。
二、 网络拓朴图
三、 防火墙端口和三层交换机VLAN接口配置
防火墙DMZ口:17216162/26
防火墙内网口1:10012/30(与Rs1点对点连接)
防火墙内网口2:100126/30(与Rs2点对点连接)
RS1:配置VLAN接口6个。
Vlan 11: 10011/30 用于与防火墙点对点连接;
Vlan 21: 10015/30 用于与Rs2点对点连接;
Vlan 31: 10019/30 用于与Rs3点对点连接;
Vlan 41: 100113/30 用于与Rs4点对点连接;
Vlan 51: 100117/30 用于与Rs5点对点连接;
Vlan 61: 100121/30 用于与Rs6点对点连接;
RS2:配置VLAN接口6个。
Vlan 12: 100125/30 用于与防火墙点对点连接;
Vlan 22: 10016/30 用于与Rs1点对点连接;
Vlan 32: 100129/30 用于与Rs3点对点连接;
Vlan 42: 100133/30 用于与Rs4点对点连接;
Vlan 52: 100137/30 用于与Rs5点对点连接;
Vlan 62: 100141/30 用于与Rs6点对点连接;
RS3:配置VLAN接口5个。
Vlan 13: 100110/30 用于与Rs1点对点连接;
Vlan 23: 100130/30 用于与Rs2点对点连接;
Vlan 33: 19216801/26 用于办公计算机接入;
Vlan 43: 192168065/26 用于教学计算机接入;
Vlan 53: 1921680129/25 用于科研用计算机接入;
RS4:配置VLAN接口3个。
Vlan 14: 100114/30 用于与Rs1点对点连接;
Vlan 24: 100134/30 用于与Rs2点对点连接;
Vlan 34: 19216811/24 用于研究生计算机接入;
RS5:配置VLAN接口5个。
Vlan 15: 100118/30 用于与Rs1点对点连接;
Vlan 25: 100138/30 用于与Rs2点对点连接;
Vlan 35: 19216821/24 用于250台实验用计算机接入;
Vlan 45: 19216831/24 用于250台实验用计算机接入;
Vlan 55: 19216841/24 用于250台实验用计算机接入;
RS6:配置VLAN接口5个。
Vlan 16: 100122/30 用于与Rs1点对点连接;
Vlan 26: 100142/30 用于与Rs2点对点连接;
Vlan 36: 19216851/24 用于250台实验用计算机接入;
Vlan 46: 19216861/24 用于250台实验用计算机接入;
Vlan 56: 19216871/24 用于230台实验用计算机接入;
四、 网段分配表
网段名 始地址 末地址 子网掩码 默认网关 接入三层交换机
服务器 1721611 17216161 255255255192 17216162 防火墙
办公用计算机 19216802 192168061 255255255192 19216801 RS3
教学用计算机 192168066 1921680125 255255255192 192168065 RS3
… … … … … …
… … … … … …
… … … … … …
… … … … … …
… … … … … …
… … … … … …
… … … … … …
… … … … … …
… … … … … …
… … … … … …
… … … … … …
(此表自己完善)
五、 路由设计
1、 静态路由
使用静态路由解决路由问题时,各三层交换机路由表如下表
三层交换机名 目标网段/掩码位数 下一跳IP 下一跳接口
RS1 1721610/26 10012 Vlan11
RS1 19216800/24 100110 Vlan31
Rs1 19216810/24 100114 Vlan41
Rs1 19216820/23 100118 Vlan51
Rs1 19216840/24 100118 Vlan51
Rs1 19216850/24 100122 Vlan61
Rs1 19216860/23 100122 Vlan61
Rs1 0000/0 10012 Vlan11
三层交换机名 目标网段/掩码位数 下一跳IP 下一跳接口
RS2 1721610/26 100126 Vlan12
RS2 19216800/24 100130 Vlan32
Rs2 19216810/24 100134 Vlan42
Rs2 19216820/23 100138 Vlan52
Rs2 19216840/24 100138 Vlan52
Rs2 19216850/24 100142 Vlan62
Rs2 19216860/23 100142 Vlan62
Rs2 0000/0 100126 Vlan12
三层交换机名 目标网段/掩码位数 下一跳IP 下一跳接口
Rs3 0000/0 10019 Vlan13
(完善Rs4、Rs5、Rs6路由表)
2、 RIP路由协议(如果使用了静态路由,就可不必使用RIP协议)
在三层交换机上启用RIP协议。
其中Rs1作如下配置
Rs1(config)#router rip
Rs1(config router)#version 2
Rs1(config router)#network 10010
其中Rs2作如下配置
Rs2(config)#router rip
Rs2(config router)#version 2
Rs2(config router)#network 10010
其中Rs3作如下配置
Rs3(config)#router rip
Rs3(config router)#version 2
Rs3(config router)#network 10010
Rs3(config router)#network 19216800
其中Rs4作如下配置
Rs4(config)#router rip
Rs4(config router)#version 2
Rs4(config router)#network 10010
Rs4(config router)#network 19216810
其中Rs5作如下配置
Rs5(config)#router rip
Rs5(config router)#version 2
Rs5(config router)#network 10010
Rs5(config router)#network 19216820
Rs5(config router)#network 19216830
Rs5(config router)#network 19216840
(自己完善Rs6配置)
六、 网站设计与功能板块(略,参考自己学院网站,作描述即可)。
篇一: *** 作系统安全实验报告
一、实验目的
1、了解Windows *** 作系统的安全性
2、熟悉Windows *** 作系统的安全设置
3、熟悉MBSA的使用
二、实验要求
1、根据实验中的安全设置要求,详细观察并记录设置前后系统的变化,给出分析报告。
2、采用MBSA测试系统的安全性,并分析原因。
3、比较Windows系统的安全设置和Linux系统安全设置的异同。
三、实验内容
1、配置本地安全设置,完成以下内容:
(1)账户策略:包括密码策略(最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等)和账户锁定策略(锁定阈值、锁定时间、锁定计数等)
(2)账户和口令的安全设置:检查和删除不必要的账户(User用户、Duplicate User用户、测试用户、共享用户等)、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户(用户名为Administrator、权限
设置为最低)、不让系统显示上次登录的用户名。
篇二:《Windows系统安全原理与技术》 实验报告
实验目录
实验一:活动目录的安装
实验二:PKI证书申请(企业根,独立根) 实验三:IPsec 的配置 实验四:文件的共享访问 实验五:SSL Web站点的`设置 实验六:组策略下发 实验体会
课程简介:《Windows安全原理与技术》是信息安全专业网络安全
方向专业选修(限选)课程。本课程的目的在于使学生掌握Windows系统内核的基本原理和Windows安全技术。本课程内容: WINDOWS系统的内存管理,虚拟内存访问,文件的内存映射;动态链接库;活动目录、身份验证、访问控制、文件系统安全、网络传输安全、应用服务安全、组策略、安全配置与分析、安全审核和公钥基础结构等。
写在前面:
本 机ip:1921682031 虚拟机ip:19216820312
实验一:活动目录的安装
1登陆界面:
2 输入
CMD打开dos窗口后,输入Dcpromo 进入安装向导,按提示选择下一步 *** 作即可。
安装后结果如下:
实验二:PKI证书申请(企业根,独立根)
1 用户级证书通过网页申请,企业级证书步骤如下:
2 得到结果如下图所示:
实验三:IPsec 的配置
1、禁止其他计算机ping通计算机:
实验前后结果如下:
篇三: *** 作系统安全实验报告
中南大学
*** 作系统实验报告
姓名:
班级:
学号:
指导老师:
完成时间:
问答题:
1 /mls文件定义的是SELinux的分层安全结构,请解释其中的内容?
答:/mls文件的内容是多级安全策略,它是linux系统安全中对约束的一种实现(约束是在TE规则许可范围之外对TE策略提供了更多的限制)。
2 请谈谈你对SElinux架构以及 Flask体系架构的认识。
答:
LSM(Linux安全模型)反应了它的起源-安全微内核的探索,使用Linxu安全模型(LSM)框架将其自身集成到内核当中。它是一种轻量级的访问控制框架,适用于多种访问控制模型在它上面以内核可加载模块的形式实现。用户可以选择合适的安全模块加载到Linux内核上,也就是说允许安全模块已插件的形式进入内核,简单来理解我们可以认为SELinux是LSM的一个插件。这种设计思想的好处就是模块化,在最少改变内核代码情况下,提供一个能够实现强制访问的模块。因此LSM框架允许安全模块以插件形式载入内核,而SELinux就是作为一个安全模块载入Linux内核的。SELinux权限检查的流程中,策略强制服务器会检查AVC(Access Vector Cache;访问向量缓存,客体和主体的权限常常被缓存在AVC当中),如果AVC中有策略决策则会立刻返回给策略强制服务器,如果没有会转向安全服务器,安全服务器会根据系统初始化装载到内核的二进制策略做出决策,再将决策放到AVC中缓存起来,同事将决策返回给策略强制服务器。如果决策表示允许 *** 作,则主体可以完成对客体的 *** 作,反之被拒绝,被拒绝访问的信息会被记录到log文件。 Flask体系结构来源于DTOS系统原型,主要由两类子系统——客户端-对象管理器和安全服务器组成。它支持吊销机制,提供线程状态的及时、完全的输出,确保所有内核的 *** 作或是原子的、或是清楚地被划分为用户可视的原子阶段,并且安全服务器原型实现了绑定4个子策略的安全策略。Flask体系结构有两个用于安全性标签的与策略无关的数据类型——安全上下文和安全标识。安全性上下文是表示安全性标签的变长字符串。安全性标识 (SID) 是由安全性服务器映射到安全性上下文的一个整数。SID 作为实际上下文的简单句柄服务于系统。它只能由安全性服务器解释。Flask 通过称为对象管理器的构造来执行实际的系统绑定。它们不透明地处理 SID 和安全性上下文,不涉及安全性上下文的属性。任何格式上的更改都不应该需要对象管理器进行更改。
《 *** 作系统安全》实验一
Windows系统安全设置实验
一、实验目的
1、了解Windows *** 作系统的安全性
2、熟悉Windows *** 作系统的安全设置
3、熟悉MBSA的使用
二、实验要求
1、根据实验中的安全设置要求,详细观察并记录设置前后系统的变化,给出分析报告。
2、采用MBSA测试系统的安全性,并分析原因。
3、比较Windows系统的安全设置和Linux系统安全设置的异同。
三、实验内容
1、配置本地安全设置,完成以下内容:
(1)账户策略:包括密码策略(最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等)和账户锁定策略(锁定阈值、锁定时间、锁定计数等)
(2)账户和口令的安全设置:检查和删除不必要的账户(User用户、Duplicate User用户、测试用户、共享用户等)、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户(用户名为Administrator、权限设置为最低)、不让系统显示上次登录的用户名。
在网络存在的环境下,服务器可以提供的服务类型各不相同,所以服务器又分为几种,分别是文件服务器、数据库服务器、应用程序服务器以及web服务器,下面我们就以文件服务器为例来介绍一下服务器的设置方法吧。服务器的设置方法:
第一步:首先需要登录计算机的 *** 作系统,在登录时需要以管理员的身份进行,进入系统以后,使用鼠标选择开始菜单,然后再选择管理工具选项,进入管理工具选项以后,在列表当中选择相应的服务器,这时会自动d出一个窗口,然后点击添加选项,然后根据配置向导进行下一步 *** 作。
第二步:进行检测,然后选择自定义配置选项,进入下一步 *** 作。
第三步:选择页面当中的服务器角色按钮,然后选择其中的文件服务器选项,接着使用鼠标点击下一步选项。
第四步:这时就可以将文件服务器的磁盘配额打开了,接着再选择相应的复选框,根据实际要求进行相应的设置,输入最合适的数值。
第五步:将文件服务器的索引服务打开,然后选择是按钮,将索引服务启用,接着使用鼠标点击下一步选项。
第六步:进入下一步页面以后,使用鼠标点击选择总结选项,进入到相应的窗口以后,对完成的设置进行检查,没有差错就进入下一步。
第七步:通过添加向导 *** 作将所选用的服务进行启用 *** 作,然后页面就会出现共享文件夹的向导,完成以上 *** 作以后,点击下一步选项。
第八步:将文件夹的路径打开,然后使用鼠标点击浏览选项,在相应的列表当中,找到公共资源的文件夹,然后点击确定按钮,然后进入下一步 *** 作。在一个使用TCP/IP协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址,DHCP(Dynamic Host Configure Protocol,动态主机配置协议)应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理,而不需要一个一个手动指定IP地址。
DHCP服务的安装
DHCP指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先,DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机;其次,担任DHCP服务器的计算机需要安装TCP/IP协议,并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下,DHCP作为Windows 2000 Server的一个服务组件不会被系统自动安装,必须把它添加进来:
1 依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”,打开相应的对话框。
2 用鼠标左键点击选中对话框的“组件”列表框中的“网络服务”一项,单击[详细信息]按钮,出现带有具体内容的对话框。
3 在对话框“网络服务的子组件”列表框中勾选“动态主机配置协议(DHCP)”,单击[确定]按钮,根据屏幕提示放入Windows 2000安装光盘,复制所需要的程序。
4 重新启动计算机后,在“开始→程序→管理工具”下就会出现“DHCP”一项,说明DHCP服务安装成功。
DHCP服务器的授权
出于对网络安全管理的考虑,并不是在Windows 2000 Server中安装了DHCP功能后就能直接使用,还必须进行授权 *** 作,未经授权 *** 作的服务器无法提供DHCP服务。对DHCP服务器授权 *** 作的过程如下:
1 依次点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。
2 在控制台窗口中,用鼠标左键点击选中服务器名,然后单击右键,在快捷菜单中选中“授权”,此时需要几分钟的等待时间。注意:如果系统长时间没有反应,可以按F5键或选择菜单工具中的“ *** 作”下的“刷新”进行屏幕刷新,或先关闭DHCP控制台,在服务器名上用鼠标右键点击。如果快捷菜单中的“授权”已经变为“撤消授权”,则表示对DHCP服务器授权成功。此时,最明显的标记是服务器名前面红色向上的箭头变成了绿色向下的箭头。这样,这台被授权的DHCP服务器就有分配IP的权利了。
添加IP地址范围
当DHCP服务器被授权后,还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后,当DHCP客户机在向DHCP服务器申请IP地址时,DHCP服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。添加IP地址范围的 *** 作如下:
1 点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。
2 选中DHCP服务器名,在服务器名上点击鼠标右键,在出现的快捷菜单中选择“新建作用域”,在出现的窗口中单击[下一步]按钮,在出现的对话框中输入相关信息,单击[下一步]按钮
3 在图1所示的窗口中,根据自己网络的实际情况,对各项进行设置,然后单击[下一步]按钮,出现如图2所示的窗口。
4 在图2所示的窗口中,输入需要排除的IP地址范围。由于校园网络中有很多网络设备需要指定静态IP地址(即固定的IP地址),如服务器、交换机、路由器等,此时必须把这些已经分配的IP地址从DHCP服务器的IP地址范围中排除,否则会引起IP地址的冲突,导致网络故障。
5 单击[下一步]按钮,在出现的“租约期限”窗口中可以设置IP地址租期的时间值。一般情况下,如果校园网络中的IP地址比较紧张的时候,可以把租期设置短一些,而IP地址比较宽松时,可以把租期设置长一些。设置完后,单击[下一步]按钮,出现“配置DHCP选项”窗口。
6 在“配置DHCP选项”窗口中,如果选择“是,我想现在配置这些选项”,此时可以对DNS服务器、默认网关、WINS服务器地址等内容进行设置;如果选择“否,我想稍后配置这些选项”,可以在需要这些功能时再进行配置。此处,我们选择前者,单击[下一步]按钮。
7 在出现的窗口中,常常输入网络中路由器的IP地址(即默认网关的IP地址)或是NAT服务器(网络地址转换服务器)的IP地址,如WinRoute、SyGate等。这样,客户机从DHCP服务器那里得到的IP信息中就包含了默认网关的设定了,从而可以接入Internet。
8 单击[下一步]按钮,在此对话框中设置有关客户机DNS域的名称,同时输入DNS服务器的名称和IP地址。,然后单击[添加]按钮进行确认。单击[下一步]按钮,在出现的窗口中进行WINS服务器的相关设置,设置完后单击[下一步]按钮。
9 在出现的窗口中,选择“是,我想现在激活此作用域”后,单击[下一步]按钮,在出现的窗口中单击[完成]按钮,设置结束。此时,就可以在DHCP管理器中看到我们刚刚建好的作用域。
注意:如果您的校园网络是以工作组的形式存在的,可以在第6步的“配置DHCP选项”窗口中选择“否,我想稍后配置这些选项”,此时设置过程跳过第7、8步。如果您的校园网络是以域的形式存在的,建议您的网络配置顺序为:活动目录的建立→WINS的建立→DNS的建立→DHCP的建立,这样可以减少很多麻烦。
DHCP服务的测试
经过上述设置,DHCP服务已经正式启动,我们需要在客户机上进行测试。只需把客户机的IP地址选项设为“自动获取IP地址”,随后重新启动客户机。在客户机的“运行”对话框中键入“Ipconfig/all”,即可看到客户机分配到的动态IP地址。WebLogic Server Scripting Tool(WLST)是一种命令行脚本工具,BEA公司计划在WebLogic Server 90版本中包含它。现在,该工具及所有的服务包(service packs)都可以从BEA公司的dev2dev站点下载得到,并在WebLogic Server 70和80下运行。
背景知识
人们一直希望WebLogic Server支持一个脚本解决方案,以允许开发人员和系统管理员可靠地、交互式地对WebLogic Server配置执行简单和复杂的更改。当前,WebLogic Server 支持三个命令行工具:weblogicAdmin、weblogicDeployer和WLConfig Ant 任务工具。
这三个工具都需要一个运行的Weblogic Server实例。其中WeblogicAdmin和WLConfig用来修改配置和查询MBean,weblogicDeployer则严格用于部署应用程序。还有一些工具WebLogic Server不支持,但是用户很熟悉,例如WLShell、Config2Admin和MBeanExplorer等。
许多用例如果使用一个简单的脚本工具将会非常容易处理。例如,开发人员和管理员可能需要编写脚本来配置服务器,并且想要通过循环和其他流程控制结构来为服务器增加配置元素。类似这样的用例使人们迫切希望有一种可以读取用户脚本并且在WebLogic Server上运行的脚本语言解释器。
WLST试图解决一些当前WebLogic Server开发人员和管理员者所面临的难题。这包括捕捉那些可重复的配置和部署工作,其中配置工作主要是将环境(应用程序和依赖性)准备为大环境的一部分);在生命周期的某一级别或各个级别之间(例如开发和分段级别之间)的用户间共享复杂的配置更改;以及跨一个拓扑结构的多个节点或者在一些其他范围,迭代地应用相同的更改。向WebLogic Server增加对用户定义脚本编程的支持,可以极大地增强可用性,从而提高用户满意度。使用WLST,用户可以定制WebLogic Server,以满足自己的需要,简化日常任务,扩展其他功能。通过提供脚本来处理,重复的任务和复杂的过程现在可以被简化。脚本语言扩展了Java语言,提高了开发速度。
简介
WLST是WebLogic Server的一个命令行脚本接口。WLST脚本环境基于Java脚本解释器(Jython)。WLST使您能够利用所提供的WebLogic Server脚本功能,以及解释型语言的共同特性。这些特性包括局部变量、条件变量和流程控制语句。WebLogic Server开发人员和管理员可以根据Jython语法,扩展WebLogic Server脚本语言来适应自己的需要。
Jython是高级、动态、面向对象语言Python的一个与Java平台无缝集成的实现。Jython是100%纯Java的,由于它清晰简单的语法,使得Jython非常容易学习。Jython的一个主要优点是您可以通过Jython解释器调用任何Java对象。这就意味着用户可以重用自己编写的任何Java代码或者Java工具。本文我们对Jython不做太多深究。关于Jython的更多信息,请访问模块中使用。有关更多信息,请访问>
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)