Linux及网络安全项目实训指导书一、 方案名称：“XXX企业Intranet应用服务构建方案”二、 方案背景XXX企业包括公司总部以及一个分支机构。在总公司中，大约有100名员工，分公司大约有20名员工。假定你是该公司的网络管理员，现在公司的网络要进行规划及实施。现有条件如下：总公司已租借了一个公网的IP地址；分公司租借了一个公网的IP地址。该公司申请的域名为jiaotong.com。总公司与分公司之间通过互联网互相连接。互联网通过由四台运行RIP动态路由协议的Linux机器来模拟。三、 用户需求该公司要求总公司与分公司互联互通，并相互间可以安全共享公司资源。其中，总公司将会对外提供NAT服务、VPN服务、DNS服务、Web服务，对内提供防火墙服务、NAT服务、Samba服务、NFS服务、DHCP服务、DHCP中继代理服务、Web服务；分公司将会对外提供NAT服务、VPN服务，对内提供ftp服务。总公司和分公司用户都使用Internet上的Email服务、DNS服务、Web服务器及Ftp服务器。四、 网络拓扑图假设网络管理员已作出以下的网络拓扑图设计：五、 全网服务及设备的配置要求1、 PC机的配置要求：l 总公司机器：PC5 PC9；分公司机器：PC10，PC12；Internet机器：PC1-PC4设备编号服务内容配置要求PC1路由转发1、启用路由转发；2、配置动态路由协议RIP。DNS服务器1、管理linux.com域： PC1的域名：dns.linux.com； PC2的域名：web.linux.com及dns2.linux.com；2、管理abc.com域并委派office.abc.com给PC3： PC1的域名：dns.abc.com； PC3的域名：ftp.abc.com； PC4的域名：email.abc.com。PC2路由转发1、启用路由转发；2、配置动态路由协议RIP。Web服务器1、Web服务器上的主目录是/var/web；2、Web服务器上有虚拟目录document，指向物理目录指向/tmp/doc;有虚拟目录auth，指向物理目录/tmp/auth；3、Web服务器的默认主页是default.html，侦听端口是8080；4、虚拟目录document仅允许总公司的机器访问；5、虚拟目录auth仅允许经过身份验证的用户访问，假设只有tom和jack用户，此目录的默认主页是auth.html。DNS服务器1、是PC1所有域的辅助DNS服务器PC3路由转发1、启用路由转发；2、配置动态路由协议RIP。Ftp服务器1、ftp服务器在左网卡（和PC1相连）的21端口上提供匿名用户访问服务：匿名用户的主目录是/var/myftp;匿名用户映射为本地用户myftp；匿名用户对目录/var/myftp/incoming具有可读写的权限；2、ftp服务器在右网卡（和PC4相连）的2121端口上提供本地用户访问服务：所有用户的主目录都是/var/userftp；禁止匿名用户访问；针对目录/var/userftp/thegroup，用户tom可读写，jack和alice都只读，其他人不具有读写权限；使得root用户也可以访问ftp服务。 DNS服务器1、接受PC1的委派，管理office.abc.com域：PC2的域名：web.office.abc.com；PC3的域名：dns.office.abc.com。PC4路由转发1、启用路由转发；2、配置动态路由协议RIP。Email服务器1、含有邮件域linux.com；2、支持smtp验证；3、支持使用邮件客户端收邮件；4、支持使用IE收发邮件；5、含有邮箱用户usera和userb。PC51. 启用路由服务2. NAT服务l 采用Windows 2003 系统l 启用路由并配置好静态路由及默认路由l 配置VPNl 开启动态NAPT，使得内网机器可以访问外网 开启静态NAPT，将内网web服务器映射到外网PC6路由转发1、启用路由转发；2、配置好静态及默认路由。防火墙1、禁止下列常见病毒入侵（含进入本机、转发及输出本机的数据包）： 冲击波病毒； 尼姆达病毒； 。DHCP服务器1、能够为总公司内的所有网段的机器分配IP地址（除了PC5、PC6、PC7外）；2、为PC8分配保留IP地址。NFS服务器1、NFS服务器的用户及用户组映射关系为：映射到mynfs用户及mynfsgrp用户组；2、创建共享文件夹/mynfs，对于所有网段的机器都可以读写；3、创建共享文件夹/myread，只读，并且“不将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组”。Web服务器1、主服务器Web服务器被NAT服务器映射到internet，对internet及内网都可以提供web服务；域名是web.jiaotong.com.；主目录是/webserver；2、虚拟主机 端口8888； 主目录是/webserver/8888。PC7路由转发1、启用路由转发2、配置好静态及默认路由DHCP中继代理配置好中继代理，使得能为直连网段的客户端分配IP地址。Samba服务器1、上面含有inout用户组，包含in、out两个用户；2、建立共享目录/var/samba/files，使得此目录对于in用户可读写，对out用户只读NFS客户端将NFS服务器上的共享目录挂载并访问Pc8samba客户端采用Windows XP系统。PC9入侵主机l 采用Windows XP系统。l 主机8通过网页登陆PC13 Mail服务器，注册用户名和密码后登陆，主机9通过ARP欺骗得到该用户名和密码。l 主机9通过站点漏洞攻下主机11Web站点，通过后台管理页面将网页木马（要有免杀过程）更名为图片上传，再通过数据库备份还原为asp文件，利用网页木马结合Server U上传灰鸽子2011（要有免杀过程），攻下整个服务器。l 主机9攻下主机11后，在其主页通过跳转方式实现网页挂马（木马采用灰鸽子2011，要免杀）。主机8通过浏览器登录Web站点后被主机9抓取。l 主机9通过135端口和灰鸽子2011（免杀）抓取肉鸡（主机12），并窃取原本需要身份认证才能下载的FTP资源。期间需要配置字典，特殊字符为lee，结合数字0-9，为节省密码扫描时间，将长度定为7位。PC101.启用路由服务2.NAT服务l 采用Windows 2003系统l 启用路由并配置好静态路由及默认路由l 配置VPNl 开启动态NAPT，使得内网机器可以访问外网开启静态NAPT，将内网web服务器映射到外网PC111. Web服务器2. FTP服务器l 采用Windows2003系统。l 作为企业Web服务器，通过PC10 NAT服务器发布至Internet。l 站点通过动态网页发布，需要建立后台（可自己制作站点，也可以下载含漏洞的模板），提供数据库备份和文件上传功能。站点存在安全漏洞，如数据库注入漏洞、万能密码漏洞（实在不会做时选择此漏洞）等。l 站点通过Server U（网络安全上课用的Serv-U雨林木风中文企业破解版）建立FTP服务，主目录为Web站点目录，用户名为组长姓名的字母拼音，如“zhangsan”，密码为其学号，并锁定主目录。l 安装360木马防火墙。PC12 FTP服务器l 采用Windows2003系统，操作系统用户名为“Administrator”，密码为“lee2011”。l 作为企业内部FTP服务，只允许公司内部网络访问，不能发布至Internet。l 站点通过Server U（网络安全上课用的Serv-U雨林木风中文企业破解版）建立FTP服务，用于发布企业内部资源，自定义用户名和密码访问。 l 安装360木马防火墙l Windows操作系统PC13Mail服务器l 采用Windows2003系统。l 作为企业内部邮件服务器，只允许公司内部网络访问，不能发布至Internet。l 采用WinWebMail 企业版配置Mail服务器。l 安装360木马防火墙2、 分组与IP的对应关系为防止抄袭及雷同，现要求设计时各组必须改变IP网段地址。变化的依据是：将ip网段的“第三个字节”改成“分组编号”；分组编号=班级号+小组序号。现举例如下：班级班级号小组序号分组编号09网络3班313109网络3班323209网络4班414109网络4班4242