《网络安全》实验指导书

《《网络安全》实验指导书》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

目录实验一：DES对称密码算法实验（N01）1实验二：RSA非对称密码算法实验（N02）6实验三：网络扫描实验（N03）11实验四：网络监听实验（N04）20实验五：证书服务和Web服务器证书应用实验（N05）26实验六：电子邮件证书应用实验（N06）39实验七：PPTPVPN配置及应用实验（N07）43实验八：IPSecVPN配置及应用实验（N08）531 实验一：DES对称密码算法实验（N01）一、实验名称和性质所属课程信息安全实验名称DES密码技术及实现实验学时2实验性质□验证√综合□设计必做/选做√必做□选做二、实验目的通过对DES算法进行分析，并使用DES算法对数据进行加密和解密，进一步理解DES的实现和加解密原理。三、实验的软硬件环境要求运行Windows操作系统的计算机，具有VC等C语言编译环境。四、知识准备1.密钥处理从用户处获得64位密钥，其中每第8位为校验位，为使密钥有正确的奇偶校验，每个密钥要有奇数个“1”位。具体过程如下:（1）舍弃64位密钥中的奇偶校验位，根据下表（PC-1）进行密钥变换得到56位的密钥，在变换中，奇偶校验位已被舍弃。PermutedChoice1(PC-1)57494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124（2）把变换后的密钥等分成两部分,前28位记为C[0],后28位记为D[0]。（3）计算子密钥(共16个)，从i=1开始。分别对C[i-1],D[i-1]作循环左移来生成C[i],D[i]。(共16次)。每次循环a)左移位数如下表所示：循环次数12345678910111213141516左移位数1122222212222221b)串联C[i],D[i]，得到一个56位数，然后对此数按下表（PC-2）作如下变换以产生48位子密钥K[i]。PermutedChoice2(PC-2)64 1417112415328156211023191242681672720132415231374755304051453348444939563453464250362932a)从1.2.3.1处循环执行，计算出16个子密钥。2．对64位数据块的处理（1）把数据分成64位的数据块，不够64位的以补零方式填补。（2）对数据块按下表（IP）变换。InitialPermutation(IP)58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157（3）将变换后的数据块等分成前后两部分，前32位记为L[0],后32位记为R[0]。（4）用16个子密钥对数据加密，初始I=1。a)根据下面的扩冲函数E，扩展32位的成48位Expansion(E)3212345456789891011121312131415161716171819202120212223242524252627282928293031321b)用E{R[i-1]}与K[i]作异或运算。c)把所得的48位数分成8个6位数。1-6位为B[1]，7-12位为B[2],……43-48位为B[8]。d)按S表变换所有的B[J]，初始J=1。所有在S表的值都被当作4位长度处理。i.将B[J]的第1位和第6位组合为一个2位长度的变量M，M作为在S[J]中的行号。64 i.将B[J]的第2位到第5位组合，作为一个4位长度的变量N，N作为在S[J]中的列号。ii.用S[J][M][N]来取代B[J]。SubstitutionBox1(S[1])1441312151183106125907015741421311061211953841148136211151297310501512824917511314100613S[2]1518146113497213120510313471528141201106911501471110413158126932151381013154211671205149S[3]1009146315511312711428137093461028514121115113649815301112125101471101306987415143115212S[4]7131430691012851112415138115615034721211014910690121171315131452843150610113894511127214S[5]2124171011685315130149141121247131501510398642111101378159125630141181271142136150910453S[6]1211015926801334147511101542712956113140113891415528123704101131164321295151011141760813S[7]411214150813312975106113011749110143512215861411131237141015680592611138141079501514231264 S[8]1328461511110931450127115138103741256110149271141912142061013153582114741081315129035611i.从i处循环执行，直到B[8]被替代完成。ii.将B[1]到B[8]组合，按下表（P）变换，得到P。PermutationP1672021291228171152326518311028241432273919133062211425b)异或P和L[I-1]结果放在R[I]，即R[I]=PXORL[I-1]。c)L[I]=R[I-1]d)从a)处开始循环执行，直到K[16]被变换完成。e)组合变换后的R[16]L[16]（注意：R作为开始的32位），按下表（IP-1）变换得到最后的结果。五、实验内容分析实例代码，并对程序进行编译运行，实际演示和体验DES算法的实现过程。六、综合性实验1．实验要求（1）按步骤完成任务，撰写实验报告。（2）对给出的DES源程序进行编译运行，对输入的数据进行加密和解密。2．实验步骤（1）分析给出的DES源程序代码；（2）对给出的源程序进行编译连接；（3）运行DES程序。64 图1－1DES实验结果3．实验结果64 实验二：RSA非对称密码算法实验（N02）一、实验名称和性质所属课程信息安全实验名称RSA密码技术及实现实验学时2实验性质□验证√综合□设计必做/选做√必做□选做二、实验目的通过分析RSA算法，并使用RSA算法及工具对数据进行加密和解密，从而理解RSA的实现和加密原理。三、实验的软硬件环境要求运行Windows操作系统的计算机，具有VC等C语言编译环境。四、知识准备1．密钥生成（1）生成两个大的质数(素数)p和q.(质数就是只能被自己和1整除的数)。（2）n=p*q。（3）m=(p-1)*(q-1)。（4）生成较小的数e,使e与m互质，即e和m的最大公约数为1。（5）生成d,使d*e%m=1,%代表求余数。至此公钥为e和n，私钥为d和n。至于p,q,m马上丢弃。2．加密过程产生密文c的公式为:c=p^e%n，即p的e次方除以n求余，可见加密是用公钥进行的，加密只牵涉到明文和公钥。至此可以把密文传出去了，这样就是被截获也搞不懂原文是什么。3．解密过程收到密文c后产生明文(解密)p的公式为:p=c^d%n，即c的d次方除以n求余。可见解密只牵涉到私钥和密文。因此从整个过程来看，只要你保管好私钥，不泄密，可以放心的把密文和公钥公开。举个例子:本例用较小的质数为例，以计算方便，但小质数并不安全。（1）密钥生成:a)p=7，q=19。b)n=p*q=7*9=133。c)m=(p-1)*(q-1)=(7-1)*(19-1)=108。d)生成较小的数e，使e与108互质,2,3,4都不对,5是最小的，于是e=5。e)生成d，使d*e%m=1，d*5%108=1，d*5除以108余数为1,...于是算出d=65。至此公钥e=5，n=133。私钥d=65，n=133。密钥计算完毕。（2）加密过程:64 RSA的原则是被加密的信息应该小于p和q的较小者，所以在这个例子中，我们要指明被加密的数字要小于7。于是我们取6为例。加密:c=p^e%n=6^5%133=7776%133=62,于是密文为62。把62传出去。（1）解密过程:解密:p=c^d%n=62^65%133=62*62^64%133经过好一阵子运算，余数为6。五、实验内容分析RSA算法源代码，理解RSA的加解密原理和过程。六、综合性实验1．实验要求（1）按步骤完成实验任务，撰写实验报告。（2）使用RSA加解密工具RSATool生成公私钥对，并对一段输入的数据进行加解密，以进一步了解RSA算法原理及应用。2．实验步骤（1）双击RSATool程序图标，启动RSATool程序，RSATool主窗口如下1－2图所示：（2）确定要生成的密钥的长度Keysize，如64位，如图1－3所示。（3）单击Start按键，生成随机数，如图1－4所示。（4）生成随机数后，单击Generate按钮，生成密钥，如图1－5所示。（5）单击Test按钮，打开RSA加密测试对话框，如图1－6所示。（6）在Messagetoencrypt文本框中输入要加密的文字，如图1－7所示。（7）单击Encrypt按钮，对所输入的文字进行加密，如图1－8所示。（8）单击Decrypt按钮，对第（7）步的加密结果进行解密，如图1－9所示：图1－2RSATool主窗口64 图1－4生成随机数图1－3确定要生成的密钥的长度Keysize64 图1－8对所输入的文字进行加密图1－7输入要加密的文字图1－5生成密钥图1－6RSA加解密测试对话框64 图1－9对加密结果进行解密64 实验三：网络扫描实验（N03）一、实验名称和性质所属课程信息安全实验名称网络扫描实验学时2实验性质□验证√综合□设计必做/选做√必做□选做二、实验目的通过实验掌握使用综合扫描及安全评估工具，进行网络系统漏洞扫描并给出安全评估报告的方法和过程，加深对各种网络和系统漏洞的理解。掌握流光软件和MBSA的应用，并根据扫描结果撰写安全评估报告。三、实验的软硬件环境要求两台或更多台运行Windows2000Server操作系统的计算机，通过网络相连。使用流光（Fluxay5）和MBSA。四、知识准备1．漏洞扫描技术漏洞扫描通常是在端口扫描的基础上，对得到的信息进行相关处理，进而检测出目标系统存在的安全漏洞。1）漏洞扫描技术的原理漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及启动的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。2）漏洞扫描技术的分类和实现方法漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描基于漏洞库，将扫描结果与漏洞库相关数据匹配比较得到漏洞信息。漏洞扫描还包括没有相应漏洞库的各种扫描，比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等，这些扫描通过使用插件（功能模块技术）进行模拟攻击，测试出目标主机的漏洞信息。2．流光简介流光并不是单纯的漏洞弱点扫描工具，而是一个功能强大的渗透测试工具。凭借流光的高度综合性和灵活性，流光在渗透测试（PenetrationTest）方面表现出了独特的优势。流光的漏洞扫描也是众多扫描中最具特色的一个，除了提供全面的扫描功能以处，利用C/S结构设计的扫描思想更是在众多复杂的应用场合脱颖而出。流光目前的漏洞扫描包括POP3、FTP、IMAP、TELNET、MSSQL、MySQL、Web、IPC、RPC、DAEMON等。流光的主要功能包括以下方面：1）暴力破解：提供POP3/FTP/IMAP/HTTP/PROXY/MSSQL/SMB/WMI的暴力破解功能。64 2）网络嗅探：利用ARP欺骗，对交换环境下的局域网内主机进行嗅探。和流光的漏洞扫描模块一样，网络嗅探也采用了C/S结构，可以提供远程网络的嗅探功能。3）渗透：流光包含了SQLCMD/NTCMD/SRV/TCPRelay等辅助渗透工具。4）字典：可以定制各种各样的字典文件，为暴力破解提供高效可用的字典。5）杂项工具：流光可以提供PcAnyWhere密码文件的解码等功能。3．MBSAWindows系统的“漏洞”就像它的GUI（图形用户界面）一样“举世闻名”，几乎每个星期都有新的漏洞被发现。这些漏洞常被计算机病毒和黑客们用来非法入侵计算机，进行大肆破坏。虽然微软会及时发布修补程序，但是发布时间是随机的，而且这些漏洞会因Windows软件版本的不同而发生变化，这就使得完全修补所有漏洞成为每个Windows用户的头号难题。 解决这个难题的简单方法就是：利用特定的软件对Windows系统进行扫描，检查是否存在漏洞，哪些方面存在漏洞？以便及时修补。微软开发的免费软件MBSA（MicrosoftBaselineSecurityAnalyzer，微软基准安全分析器），就能对Windows、Office、IIS、SQLServer等软件进行安全和更新扫描（如图1），扫描完成后会用“X”将存在的漏洞标示出来，并提供相应的解决方法来指导用户进行修补。MBSA的工作原理是：以一份包含了所有已发现的漏洞的详细信息（如：什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等）的安全漏洞清单为蓝本，全面扫描计算机，将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞，MBSA就会将其写入到安全报告中。五、实验内容1．按步骤完成实验任务，撰写实验报告。2．查看扫描结果，了解各种漏洞的原理和可能造成的危害，根据扫描结果对漏洞进行修复，然后再次进行扫描，对比漏洞修复前后的扫描结果。六、综合性实验1．实验要求安装并使用流光和MBSA对系统进行漏洞扫描，分析扫描结果，从而掌握使用工具软件进行漏洞扫描的方法和步骤，加深对网络攻击过程的理解。最后根据扫描结果撰写安全评估报告。2．实验步骤（1）流光软件的安装与使用a)双击安装程序，进入安装向导，如图2-1所示。b)根据安装向导，进行安装。安装完毕后，运行流光软件，进入主窗口，如图2-2所示。流光主窗口中各部分功能如下：l区域1：暴力破解的设置区域，主要用于设置暴力破解和其他相关的辅助功能。l区域2：控制台输出，用于查看当前工作的状态，包括扫描和暴力破解。l区域3：扫描得到的典型漏洞列表，在这个列表中大多数情况都可以直接单击，对漏洞加以进一步的验证。64 l区域4：扫描或暴力破解成功的用户帐号。l区域5：扫描和暴力破解时的速度控制（通过设置TCP的超时间来实现）。l区域6：扫描和暴力破解时的状态显示，包括并发的线程数目和扫描速度等。l区域7：中止按钮，可以中止暴力破解和扫描（IPC的暴力破解除外）。图2-1进入流光安装向导图2-2流光主窗口l区域8：扫描结果查询。a)选择“文件→高级扫描向导”命令进行漏洞扫描及帐户和口令破解。b)进入“设置”对话框，在这里可以进行扫描地址范围、目标系统、检测项目的选择设置，如图2-3所示。此项设置也可通过“探测→高级扫描工具”命令进行设置。64 图2-3扫描地址、目标及项目设置a)单击“下一步”按钮，分别对所选检测项目进行设置。图2-4高级扫描设置b)上述设置也可以通过“探测→高级扫描工具”命令进行设置，如图2-4所示。图2-5选择扫描引擎c)设置完成后弹出“选择流光主机”对话框，如图2-5所示。流光的扫描引擎可以安装在不同的主机上（包括本地主机）。d)在没有安装其他引擎情况下，默认选择本地主机，单击“开始”64 按钮开始扫描，窗口右侧及下侧将滚动显示扫描结果，同时，在窗口底端则显示破解用户的帐户与密码，如图2-6所示。图2-8扫描报告之一图2-7询问用户是否查看扫描报告图2-6扫描结果a)扫描结束后，询问用户是否查看扫描报告，如图2-7所示。扫描报告如图2-8、图2-9所示。图2-9扫描报告之二（1）MBAS软件的安装与使用64 MBSA只能在Windows2000/XP/2003系统上运行。在微软的官方网站上可以下载到最新版的MBSA，而且只要按照“安装向导”的提示操作即可完成安装过程。安装完成后，依次单击“开始→程序→MicrosoftBaselineSecurityAnalyzer1.2.1”程序项（或双击“桌面”上的“MicrosoftBaselineSecurityAnalyzer1.2.1”快捷图标），就可弹出MBSA的主窗口。对一台计算机进行扫描是MBSA的基本功能，具体的操作步骤如下：第一步：单击MBSA主窗口中的“Scanacomputer”（或“Pickacomputertoscan”）菜单，将弹出“Pickacomputertoscan”对话框，如图2-10所示。图2-10MBSA主窗口中的“Scanacomputer”要想让MBSA成功扫描计算机，需在此对话框中进行正确地参数设置。（1）设定要扫描的对象告诉MBSA要扫描的计算机是扫描成功的基础。MBSA提供两种方法：方法1：在“Computername”文本框中输入计算机名称，格式为“工作组名计算机名”。默认情况下，MBSA会显示运行MBSA的计算机的名称，“WORKGROUP”是运行MBSA的计算机所属的工作组名称，“JXNO”是计算机名称。方法2：在“IPaddress”文本框中输入计算机的IP地址。在此文本框中允许输入在同一个网段中的任意IP地址，但不能输入跨网段的IP，否则会提示“Computernotfound.”（计算机没有找到）的信息。（2）设定安全报告的名称格式每次扫描成功后，MBSA会将扫描结果以“安全报告”的形式自动地保存起来。MBSA允许用户自行定义安全报告的文件名格式，只要在“Securityreportname”文本框中输入文件格式即可。MBSA提供两种默认的名称格式：“％D％-％C％(％T％)”（域名-计算机名(日期戳)）和“％D％-％IP％(％T％)”（域名-IP地址(日期戳)）。（3）设定扫描中要检测的项目MBSA允许检测包括Office、IIS等在内的多种微软软件产品的漏洞。在默认情况下，无论计算机是否安装了以上软件，MBSA都要检测计算机上是否存在以上软件的漏洞。这不但浪费扫描时间，而且影响扫描速度。用户可以根据自身情况进行选择，对于一些没有安装的软件可以不选，例如：若没有安装SQLServer，则可不选中“CheckforSQL64 vulnerabilities”复选项，这样能缩短扫描时间，提高扫描速度。基于这点考虑，MBSA提供了让用户自主选择检测的项目的功能。只要用户选中（或取消）“Options”中某个复选项，就可让MBSA检测（或忽略）该项目不过，允许用户自主选择的项目只有“CheckforWindowsvulnerabilities”（检查Windows的漏洞）、“Checkforweakpasswords”（检查密码的安全性）、“CheckforIISvulnerabilities”（检查IIS系统的漏洞）、“CheckforSQLvulnerabilities”（检查SQLServer的漏洞）等四项。至于其它项目（如：Office软件的漏洞等）MBSA会强制扫描。（1）设定安全漏洞清单的下载途径MBSA以一份包含了所有已发现的漏洞的详细信息的安全漏洞清单为蓝本，全面扫描计算机，将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞，MBSA就会将其写入到安全报告中。因此，要想让MBSA准确地检测出计算机上是否存在漏洞，安全漏洞清单的内容是否是最新的就至关重要了。由于新的漏洞不断被发现，所以我们要像更新防病毒软件的病毒库一样，及时更新安全漏洞清单。MBSA提供了两种更新方法：（1）从微软官方网站上下载微软会在它的官方网站上及时发布最新的安全漏洞清单，所以MBSA被默认设置为每一次扫描时自动链接到微软官方网站下载最新的安全漏洞清单。如果用户已经下载了最新的安全漏洞清单，则可取消“Checkforsecurityupdates”复选项。否则应该选中此复选项，以确保安全漏洞清单的内容是最新的。当然，此方法适用于能连入Internet的计算机用户。（2）从SUS服务器上下载有些局域网中架设了SUS（SoftwareUpdateServices，软件升级服务）服务器，所以此类用户可以选择此方法下载最新的安全漏洞清单，只要选中“UseSUSServer”复选框，并在其下的文本框中输入SUS的地址即可。图2-11“Scanning”对话框第二步：用户根据自身情况设置好各项参数后单击“Start64 Scan”菜单，将弹出“Scanning”对话框，如图2-11所示，MBSA将开始扫描指定的计算机。第三步：扫描完成后，MBSA会将扫描的结果以安全报告的形式保存到“X:DocumentsandSettingsusernameSecurityScans”（X：指Windows的系统分区符，username：是操作MBSA的用户名）文件夹中。图2-12“Viewsecurityreport”对话框第四步：此时，MBSA还会自动弹出“Viewsecurityreport”对话窗，如图2-12所示，将刚生成的安全报告的内容显示出来。用户可以根据安全报告的“Score”列中不同颜色的图标来简单区分被扫描的计算机上哪些方面存在漏洞，哪些方面需要改进，如：●绿色的“√”图标表示该项目已经通过检测。●红色（或黄色）的“×”图标表示该项目没有通过检测，即存在漏洞或安全隐患●蓝色的“*”图标表示该项目虽然通过了检测但可以进行优化，或者是由于某种原因MBSA跳过了其中的某项检测。●白色的“i”图标表示该项目虽然没有通过检测，但问题不很严重，只要进行简单的修改即可。但是这种判断方法很不准确，正确的方法是查看检测项目的“Result”列中是否含有“Howtocorrectthis”（如何修正它）选项。只要有项目存在，用户就应该单击“Howtocorrectthis”选项。然后根据提供的解决方法，或是下载相应的补丁程序，或是修改相关的设置，就可修正存在的问题64 图2-13信息提示窗例如：安全报告提示“IEZones”（IE区域设置）项目没有通过检测，单击“Howtocorrectthis”选项后都将弹出信息提示窗，如图2-13所示，根据“Solution”（解决方法）处的文字信息得知，只要按照“Instructions”（提示信息）中的步骤更改IE的区域设置值即可解决。64 实验四：网络监听实验（N04）一、实验名称和性质所属课程信息安全实验名称网络监听实验学时2实验性质□验证√综合□设计必做/选做√必做□选做二、实验目的掌握协议分析器的使用方法，并根据实验总结针对网络监听的防范措施。三、实验的软硬件环境要求本实验采用一个已经连接并配置好的局域网环境。任何两台PC机都能互相访问。所有PC机上安装的都是Windows操作系统。四、知识准备协议分析器通过捕获网络上的数据包来获取网络上的有关信息，以监视网络的运行。发现网络中出现的问题，是网络管理的重要工具。嗅探器（Sniffer）是一种重要的网络协议分析工具，它工作在网络环境的底层，能拦截所有正在网络上传送的数据，并可以分析网络状态和整体布局。这些信息为网络管理员判断网络问题，进行网络管理提供了重要依据，也成为黑客使用的一种工具。1．协议分析器的功能协议分析器具有如下一些功能：（1）捕获数据包。协议分析器可以监视某个网络实体，捕获所有流经该实体的数据。高端协议分析器还可以制定捕获的计划和触发条件。（2）数据包统计。协议分析器可以对捕获到的数据包进行统计和分析，根据时间、协议类型和错误率等进行分析，甚至可以打印出各种直观的图表和报表。（3）过滤数据。许多协议分析器设置有过滤器，通过过滤，可以有选择地捕获数据包，或对所捕获的数据有选择地加以显示，以避免捕获大量数据包造成系统资源的太多消耗，降低系统性能。（4）数据包解码。协议分析器可以从捕获的0/1比特流表示的数据包中识别出封闭的头部信息、净负荷，并且要能适合多种协议的数据包解码。（5）读取其他协议分析器的数据包格式。一种协议分析器要能更好地利用其他协议分析器获得的数据，以提高其工作效率，扩大工作能力。2．嗅探器的功能64 嗅探器是一类功能更为强大的协议分析器，它除了可以完成协议分器的功能，通过捕获网络数据包用来进行网络数据包的流量分析外，还可以找出网络中潜在的问题，确定在通信所使用的多个协议中，属于不同协议的流量大小，哪台主机承担主要协议的通信，哪台主机是主要的通信目的地，报文发送的时间是多少，主机间报文传送的时间间隔等。这些功能可以在网络出现故障时，做出精确判断。这一强大的功能也常常被黑客利用，对网络进行安静的、消极的安全攻击。例如，用来捕获网络中传输的用户口令，用来捕获专用的、机密的或第三数据（如金融账号等），用来捕获更高级别的访问权限或危害网络邻居的安全，窥探底层的协议信息（如两台主机之间的接口地址、远程网络接口IP地址、IP路由信息和TCP连接序号等）。3．典型嗅探器――SnifferProSnifferPro是一个具有代表性的Sniffer工具软件，由NetworkAssociates公司发布。它具有如下一些功能：l为网络协议分析捕获网络数据包。l可识别250种以上的网络协议，可以基于协议、MAC/IP地址、匹配模式等设置过滤。l实时监控网络活动，用专家系统帮助分析网络及应用故障。l进行网络使用统计、错误统计、协议统计、工作站和服务器统计。l可以设置多种触发模式，如基于错误报文、外部事件。l且有可选的流量发生器，模拟网络运行，衡量响应时间、路由跳数计数，进行排错。五、实验内容安装Sniffer，进行网络分析监听，再对结果数据进行分析，撰写报告。六、综合性实验1．实验要求（1）学会在Windows环境下安装Sniffer；（2）熟练掌握Sniffer的使用；（3）要求能够熟练运用Sniffer捕获报文，结合以太网的相关知识，分析一个自己捕获的以太网的帧结构。2．实验步骤1．软件安装    Sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。需要说明的是:    在选择SnifferPro的安装目录时，默认是安装在c:Programfiles aiSnifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议按默认路径进行安装。图2-15设置网络连接图2-14注册信息在注册用户时，注册信息随便填写即可，不过EMAIL一定要符合规范，需要带“@”，如图2-14所示，在随后出现的“SnifferProUsrRegistration”对话框中，大家注意有一行"SnifferSerialNumber"需要大家填入注册码“SA154-2558Y-255T9-2LASH”。64 接下来，需要设置网络连接状况，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——DirectConnectiontotheInternet，如图2-15所示。接下来才是真正的复制SnifferPro必需文件到本地硬盘，完成所有操作后出现SetupComplete提示，我们点Finish按钮完成安装工作。图2-16提示是否重新启动计算机    由于在使用SnifferPro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，如图2-16所示。2．使用Sniffer查询流量信息：重新启动计算机后我们可以通过SnifferPro来监测网络中的数据包。通过“开始->所有程序->SnifferPro->Sniffer”来启动该程序。    （1）第一步：默认情况下SnifferPro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要手工指定网卡了。方法是通过软件的File菜单下的selectsettings来完成。图2-17选择要监听的网卡（2）在Settings窗口中选择准备监听的那块网卡，记得要把右下角的“LOGON”前打上对勾才能生效，最后点“确定”按钮即可，如图2-17所示。（3）选择完毕后就进入了网卡监听模式，这种模式下将监视本机网卡流量和错误数据包的情况。首先能看到的是三个类似汽车仪表的图象，从左到右依次为：“Utilization%网络使用率”、“Packets/s数据包传输率”、64 “Error/s错误数据情况”。其中红色区域是警戒区域，如果发现有指针到了红色区域就该引起一定的重视了，说明网络线路不好或者网络使用压力负荷太大，如图2-18所示。图2-19图2-18网卡监听模式    （4）在三个仪表盘下面是网络流量、数据错误以及数据包大小情况的绘制图，可以通过点选右边一排参数来有选择的绘制相应的数据信息，可选网络使用状况包括数据包传输率、网络使用率、错误率、丢弃率、传输字节速度、广播包数量、组播包数量等，其他两个图表可以设置的参数更多，随着时间的推移图象也会自动绘制，如图2-19所示。    （7）除了上面三个仪表能看出比较大的差别外下面的数据大小绘制图也能看出明显区别。各个数据的峰值跳动很大。64     （8）如果在实际使用中使用的不是百兆而是千兆的话，默认设置的单位肯定不能满足需求，这时就需要点仪表上面的“SetThresholds”按钮了，之后可以对所有参数的名称和最大显示上限进行设置。图2-20    （9）如果为了统计的话还可以点仪表下的“Detail”按钮来查看具体详细信息，在这里可以看到各项参数的总流量以及平均流量，可以更好的了解到网络的基本情况，包括数据丢失率与组播广播数量，这些数据的异常都是网络出现问题的先兆，如图2-20所示。图2-23    （10）除了仪表按钮SnifferPro还为我们提供了很多显示面板，例如在HostTable界面，可以看到本机和网络中其他地址的数据交换情况，包括进数据量、出数据量以及基本速度等，当然所有显示信息都是根据MAC地址来判断的，如图2-21所示。   （11）在HostTable界面中点“ThisStation”可以查看本机与网络其他地址的流量图，这个图是一个圆，通过连线决定本机和网络其他地址的传输情况，连线的粗细决定了数据流量的多少，这种流量图可以让我们更加直观的了解本机网络的状况，如图2-22所示。    （12）也可以直接点“Matrix”按钮切换到流量图面板，这样看到的流量连接和传输情况会更加清晰，如图2-23所示。64 图2-23图2-2264 实验五：证书服务和Web服务器证书应用实验（N05）一、实验名称和性质所属课程信息安全实验名称证书服务和Web服务器证书应用实验学时2实验性质□验证√综合□设计必做/选做√必做□选做二、实验目的通过实验掌握Windows2000中证书服务的安装与使用；掌握常用证书的申请及安装；掌握Web服务器的证书应用，使得网络访问彩SSL协议。三、实验的软硬件环境要求硬件环境要求：运行WindowsServer2000操作系统的计算机。使用的软件名称、版本号以及模块：WindowsServer2000证书服务组件。四、知识准备1．数字证书与X.509格式数字证书，也称为数字身份证、数字ID，是由权威机构颁发给网上用户的一组数字信息，用于标明在网络上相互进行住处交流的种类终端褓和最终用户的身份。数字证书有以下几个特点：（1）它包含了身份信息，因此可以用于证明身份。（2）它包含了非对称密钥，不但可以用于数据加密，还可以用于数据签名，以保证通信过程的安全和不可抵赖。（3）由于是权威机构颁发的，因此具有很高的公信度。为了保障数字证书合理获取、撤销和验证过程，1988年ITU-T发表了X.509标准。这是一个基于公开密钥和数字签名的标准，它的核心是数字证书格式和认证协议。X.509宣言的数字证书格式包含如下域：l版本（version）：区分X.509的不同版本。l序列码（serialnumber）：某个CA给出的用来识别证书的唯一编号。l签字算法识别符（algorithmparameters）：CA签署证书所用的公开密钥算法及相应参数。l发证者（issuername）：建立和签署证书的CA的名称。l发证者识别码（issueruniqueidentifier）（可选）：用做CA的唯一标识。l主体名称（subjectname）：密钥拥有者的名称。l主体识别码（subjectname）（可选）：用做密钥拥有者的唯一标识。l公钥信息（algorithmparameterskey）：包括主体的公钥、该公钥的使用算法及参数。64 l有效期（notbeforenotafter）：开始时间和终止时间。l扩充域（extensions）：包括一个或多个扩充的数据域，仅用于第3版以上。l签字（algorithmparametersencryption）：此域是CA用自己的私密钥对上述域实施Hash值签名的结果，并包括签名算法标识符。使用数字证书需要一个适当的认证协议。例如，目前在Web系统中广为使用的协议是SSL（securesocketlayer）。该协议是由Netscape首先提出的用于网络数据安全传输的协议，其首要目的是在两个通信之间提供秘密而可靠的连接。利用这个功能，将部分具有机密性质的见面设置为加密传输模式，可以避免数据在网络上传送时不被其他人窃听。目前，大部分的Web服务器和浏览器都支持SSL加密传输协议。2．CA及其功能颁发数字证书的权威机构称为认证中心（certificateauthority，CA）它是可以信赖的第三方机构，并具有如下一些功能。l颁发证书。如密钥对的生成、私钥的保护等，并保证证书持有者都应有不同的密钥对。l管理证书。记录所有颁发过的证书以及所有被吊销的证书。l用户管理。对于每一个新提交的申请，都要和列表中现存的标识名相比照，若出现重复，就予以拒绝。l吊销证书。在证书有效期内使其无效，并发表CRL。l验证申请者身份。对每一个申请者进行必要的身份认证。l保护证书服务器。证书服务器必须是安全的，CA应采取相应措施保证其安全性。例如，加强对系统管理员的管理，防火墙保护等。l保护CA私钥和用户私钥。CA签发证书所用的私钥要受到严格的保护，不能被毁坏，也不能非法使用。同时，要根据用户密钥对的产生方式，在某些情况下有保护用户私钥的责任。l审计与日志检查。为了安全起见，CA对一些重要的操作应记入系统日志。在CA发生事故后，要根据系统日志做善后追踪处理——审计。CA管理员要定期检查日志文件，尽早发现可能的隐患。3．PKI及其职能公开密钥基础设施（PublicKeyInfrastructure,PKI）是一种以CA系统为核心，担负证书的创建、管理、存储、分布和撤销的一系列软件、硬件、人员、政策和过程的集合。它基于数字证书，使用户在虚拟的网络环境下能够相互验证身份，并提供敏感信息传输的机密性、完整性和不可否认性。一个典型的PKI系统主要有如下组件。lCA。l注册机构（RegistrationAuthority，RA）：负责接受用户的证书申请，核实用户的身份，并代理用户向CA提出证书请求，最后把证书发给用户。l证书操作阐述（CertificatePracticeStatement，CPS）：一些操作过程的详细文件，包括CA如何建立和运作，证书如何发行、接收和撤销，密钥如何产生、注册和认证等。这些数据可以提供给CA。64 l安全策略：建立和定义了组织或企业信息安全方面的指导方针，同时定义了密码系统的处理方法和原则。l基于PKI的应用接口，以提供多种安全应用服务。4．Windows2000PKI系统组成图3-1所示的是组成Windows2000PKI最高一层的系统组成图。其中，各个组成部分只是逻辑上的划分，并不意味着在物理上它们需要布置在不同的服务器上。事实上其中的许活动目录CA定位和策略分布认证服务认证登记和撤销客户机登录验证域控制器图3-1Windows2000PKI系统组成多功能都可以在一个单服务器上得以实现。（1）认证服务PKI中的一个关键部分是认证服务（CertificateServices）。通过它可以部署一个或多个企业性的CA。为支持建立CA，Windows2000内置了一整套颁发证书和管理证书的基础功能。最主要的配件是证书服务器（CertificateServer）。通过认证服务器，企业可以为用户颁发各种电子证书，比如用于网上购物的安全通道协议（SSL）使用的证书，用于加密本地文件（EFS）的证书等等。认证服务器还管理证书的失效、发布失效证书列表等。每个用户或计算机都有自己的一个证书服务器，其中既放置着自己从CA申请获得的证书，也有自己所信任的CA的根证书。（2）活动目录提供了CA的定位信息和CA策略，并可以公布有关认证发布和撤销的信息。PKI并没有取代已有的基于域控制器（DC）和密钥分配中心（KerberosKeyDistributionCenter，KDC）的Windows域信任。甚至，PKI可以与这些服务一同工作，并使应用服务更能满足广域网和因特网的实际要求。进一步地，PKI可以满足诸如伸缩性、分布式鉴定和认证、完整性和机密性的要求。（3）支持PKI的应用程序使用PKI来进行加密和认证的应用程序有MicrosoftInternetExplorer、MicrosoftInternetInformationService、MicrosoftOutlook、MicrosoftOutlookExpress、MicrosoftMoney和其他第三方程序。五、实验内容在WindowsServer2000上安装证书组件，实现证书服务六、综合性实验64 1．实验要求（1）按步骤完成实验任务，撰写实验报告。（2）掌握WindowsServer2000中证书服务的主要用途。（3）掌握Web服务器证书申请、安装和使用。2．实验步骤（1）安装证书服务。具体步骤如下：图3-2安装证书服务组件a)选择“开始→设置→控制面板”命令，在“控制面板”窗口中双击“添加/删除程序”图标，在打开的“添加/删除程序”窗口中单击“添加/删除Windows组件”按钮，在打开的“Windows组件向导”对话框中选取证书服务，如图3-2所示：图3-3系统提示b)系统将提示在安装证书服务后将不能修改计算机名，同时不能改变域的关系，如图3-3所示，单击“是”按钮，继续安装。c)选择安装证书服务机构的类型，级别从高到低。只有升级为域控制器的Windows2000Server才能安装成为企业根CA和企业从属CA。本实验选择“独立根CA”安装，如图3-4所示：d)输入CA注册信息，说明CA的属性，如图3-5所示。e)确定CA证书数据库、数据库日志及共享文件夹的存放位置，如图3-6所示。64 a)64 在CA安装过程中，如果计算机中运行有Internet信息服务（IIS服务），如图3-7所示，需要停止IIS服务。安装成功后，IIS服务和证书服务将自动启动。图3-7停止IIS服务图3-6指定证书数据库和数据库日志等的存入路径图3-5编辑CA标识信息图3-4选择证书颁发机构类型为独立根CA64 （2）Web服务器证书申请及应用。具体操作步骤如下：图3-8在“目录安全性”标签页中单击“服务器证书”a)单击“开始→程序→管理工具→Internet服务管理器”，在左边的树形结构中选择“默认Web站点”，右击鼠标，在快捷菜单中选择“属性”；单击到“目录安全性”标签页（如图3-8所示），单击“服务器证书”按钮，进入“Web服务器证书向导”的欢迎页，如图3-9所示。图3-9启动“Web服务器证书向导”b)阅读“Web服务器证书向导”的欢迎页面中的内容，当确定要创建一个证书时，单击“下一步”按钮，进入“IIS证书向导”的“服务器证书”页面，如图3-10所示。选择“创建一个新证书”，并单击“下一步”按钮确认。系统进入如图3-11所示的“稍候或立即请求”页面。c)选择“现在准备请求但稍候发送”，并单击“下一步”。系统依次进入下面的页面，并提示用户输入相应的数据。之后，进入“证书请求文件名”页面，如图3-12所示。64 a)最后系统会弹出一个证书确认页面，显示用户前面输入的信息列表，要求确认。最后进入“完成Web服务证书向导”页面。图3-12“证书请求文件名”页面图3-11“稍候或立即请求”页面图3-10在“IIS证书向导”中选择“创建一个新证书”b)回到“Internet信息服务”窗口，选中CertSrv，右击，在快捷菜单中选择“浏览”64 ，打开“证书服务”页面，如图3-13所示。选择“申请证书”，进行证书类型选择，如图3-14所示，选择“高级申请”，进入“高级申请”页面，选择“使用base64编码的PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件更新证书申请。”图3-14证书类型选择图3-13进入“证书服务”页面图3-15“提交一个保存的申请”页面a)进入“提交一个保存的申请”页面，如图3-15所示，插入相应证书申请，并提交，完成证书申请过程，如图3-16所示，得到一个挂起的证书。64 图3-17“证书颁发机构”颁发证书图3-16证书挂起a)单击“开始”→“程序”→“管理工具”→“证书颁发机构”，颁发刚刚申请挂起的证书。如图3-17所示。图3-18“证书已发布”页面b)点击“主页”，再次回到图3-14所示“证书服务”页面，选择“检查挂起的证书申请”，点击下一步，可以看到刚申请被挂起的证书，点击下一步，发布证书，如图3-18所示，并下载证书。c)回到图3-8所示“目录安全性”标签，再次点击“服务器证书”，进入“Web服务器证书向导”，如图3-19所示，处理刚刚挂起的证书。（注意，此时的页面和刚刚的“64 Web服务器证书向导”页面有所不同。）图3-20“挂起证书请求”页面图3-19“Web服务器证书向导”页面a)点击下一步，进入“挂起证书的请求”页面，如图3-20所示，，选择“处理挂起的请求并安装证书。图3-21“完成Web服务器证书向导”页面b)点击下一步，处理挂起的请求，安装刚下载的证书。根据向导，完成证书向导，如图3-21所示。64 图3-22“安全通信”页（3）IIS服务器的安全设置。完成证书的导入之后，IIS网站还没有启用SSL安全加密功能，需要对IIS服务器进行配置。在图3-8的“目录安全性”标签页中，单击安全通信中的“编辑”按钮，进入如图3-22所示的“安全通信”页。选择“申请安全通道（SSL）”和“申请128位加密”，再选择“接收客户证书”，单击“确定”按钮。回到图3-8的“目录安全性”标签页，再点击“确定”按钮。（4）进行安全通信图3-23利用普通的HTTP进行浏览a)利用普通的HTTP进行浏览，将会得到错误信息“该网页必须通过安全频道查看”，如图3-23所示。b)利用HTTPS进行浏览，系统将通过IE浏览器提示客户Web站点的安全证书问题，如图3-24所示。64 图3-24客户查看Web证书a)客户端将向Web站点提供自己从CA申请的证书给Web站点，此后，客户端（IE浏览器）和Web站点之间的通信就被加密了。64 实验六：电子邮件证书应用实验（N06）一、实验名称和性质所属课程信息安全实验名称电子邮件证书应用实验学时2实验性质□验证√综合□设计必做/选做√必做□选做二、实验目的通过实验掌握电子邮件证书中OutlookExpress的设置与使用。三、实验的软硬件环境要求运行Windows操作系统及OutlookExpress5.0的计算机。四、知识准备在安全电子邮件应用中，数字证书主要可以解决：1.保密性：通过使用发件人的数字证书对电子邮件加密，只有收件人才能阅读加密的邮件，这样保证在Internet上传递的电子邮件信息不会被他人窃取，即使发错邮件，收件人由于无法解密而不能够看到邮件内容。2.完整性：利用发件人数字证书在传送前对电子邮件进行数字签名不仅可确定发件人身份，而且可以判断发送的信息在传递的过程中是否被篡改过。3.身份认证：在Internet上传递电子邮件的双方互相不能见面，所以必须有方法确定对方的身份。利用发件人数字证书在传送前对电子邮件进行数字签名即可确定发件人身份，而不是他人冒充的。4.不可否认性：发件人的数字证书只有发件人唯一拥有，故发件人利用其数字证书在传送前对电子邮件进行数字签名后，发件人就无法否认发送过此电子邮件。OutlookExpress是安全电子邮件应用的常用工具。五、实验内容在Windows操作系统上通过使用OutlookExpress。掌握电子邮件证书的应用。六、综合性实验1．实验要求熟练掌握OutlookExpress中电子邮件证书的使用从而理解电子邮件证书的工作原理。2．实验步骤64 图3-25添加新邮件地址（1）在OutlookExpress5.0中单击“工具→帐户”，出现Internet帐号对话框，点击“添加→邮件”，如图3-25所示。图3-26输入邮件显示姓名（2）输入邮件显示姓名，如图3-26所示。（3）输入邮件地址，如图3-27所示。64 （3）分别输入接收邮件服务器和发送邮件服务器的域名或IP地址，本例分别为：pop3.sina.com.cn，smtp.sina.com.cn，如下图3-28所示。图3-28输入接收邮件服务器和发送邮件服务器图3-27输入邮件地址（4）点击下一步，系统让您输入登录到邮箱的帐号和密码，如下图3-29所示。图3-29输入登录到邮箱的帐号和密码（5）点击下一步，系统提示邮件设置成功，点击完成，完成邮件的设置，如图3-30所示。64 图3-30完成帐户的添加（3）之后就可以使用OutlookExpress进行邮件的收发了。64 实验七：PPTPVPN配置及应用实验（N07）一、实验名称和性质所属课程信息安全实验名称PPTPVPN配置及应用实验学时2实验性质□验证√综合□设计必做/选做√必做□选做二、实验目的理解VPN的工作原理。了解VPN的应用。掌握PPTPVPN实现的技术方法，掌握PPTPVPN配置流程及应用。三、实验的软硬件环境要求多台运行WindowsServer2000操作系统的计算机连接成以太网，并接入Internet。四、知识准备（一）VPN概述1．VPN基本原理虚拟专用网（virtualprivatenetwork，VPN），是指物理上分布在不同地点的专用网络，通过不可信任的公共网络构造成逻辑上信任的虚拟子网，进行安全的通信。这里，公共网络主要指Internet。专网1专网2专网3VPN设施路由器VPN设施VPN设施路由器路由器公共网络隧道隧道隧道图4-1VPN的结构与基本原理图4-1为VPN的结构示意图。在这个图例中，有3个内部网，它们都位于一个VPN设备的后面，通过同里由路由器连接到公共网。VPN技术采用了安全封装、加密、认证、存取控制、数据完整性等措施，使得敏感信息只有预定的接收者才能读懂，实现了信息的安全传输，使信息不被泄露、篡改和复制，相当于在各VPN设备之间形成一些跨越Internet的虚拟通道――“隧道”。VPN的基本处理过程如下。（1）要保护的主机发送明文信息到其VPN设备。（2）VPN设备根据网络管理员设置的规则，确定是对数据进行加密还是直接传送。64 （3）对需要加密的数据，VPN设备将其整个数据包（包括要传送的数据、源IP地址和目标IP地址）进行加密并附上数字签名，加上新的数据报头（包括目的地VPN设备需要的安全信息和一些初始化参数），重新封装。（4）将封装后的数据包通过隧道在公共网上传送。（5）数据包到达目的VPN设备，将数据包解封，核对数字签名无误后，对数据包解密。2．VPN的服务类型从应用的角度看，VPN的服务大致有如下3种类型。（1）远程访问VPN（accessVPN）。远程访问VPN适合于在外地需要流动办公的情况。这时的驻外工作人员只能通过宾馆或其他设施以拨号方式与本部进行VPN连接，利用HTTP，FTP等或其他网络服务与本部交换信息。（2）内联VPN（intranetVPN）。内联VPN适合在外地有固定分支机构的情形。这时，驻外分支机构通过ISP与本部进行VPN安全连接。（3）外联VPN（extranetVPN）。外联VPN适合于与业务伙伴之间通信的连接。这时，往往需要通过专线连接公共基础设施，并借助电子商务软件等与本部进行VPN连接。（二）隧道技术1．数据在隧道中的传输在VPN中，隧道并非物理上的专线，而是通过某种技术措施建立的虚拟的专门数据通路。其传输过程大致可以分为如下3步。（1）将要传输的数据包（帧）按照隧道协议进行封装，被封装的数据（或负载）可以是不同协议的数据帧或包。（2）新的包头提供了路由信息，从而使封装的负载数据能够通过Internet来传递。所谓“隧道”就是指被封装的数据包在公共网络上传递时所经过的逻辑路径。（3）被封装的数据包一旦到达网络终点，数据将被解包并送达主机。所以，隧道技术是指包括数据封装、传输和解包在内的全过程。2．隧道的类型（1）自愿隧道（Voluntarytunnel）自愿隧道是以用户端计算机为端点的隧道，通过用户端计算机发送VPN请求配置并创建。在这种系统中，将为每个客户创建一条单独的隧道。为建立自愿隧道，要求有以下两个条件。①用户端计算机必须安装适当的隧道协议软件。②需要有一条IP连接（通过局域网或拨号线路）。使用拨号方式时，用户端必须在建立隧道之前创建与公共互联网络的拨号连接。（2）强制隧道（compulsorytunnel）强制隧道具有如下特点：①用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务器之间的远程接入服务器――前端机（FEP）作为隧道的一个端点。②用户端计算机中不需要安装隧道软件，仅在FEP中安装适当的隧道协议软件，以创建隧道。③用户端计算机必须使用FEP创建的隧道，FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享，而不必为每个客户建立一条新的隧道。64 （三）隧道协议隧道技术是VPN的关键技术，其主要作用是进行数据封装――将一种协议数据封装在另一种协议中传输，以保证被封装协议数据的安全传输。下面介绍几种隧道协议。1．安全IP协议（IPSec）IPSec（IPsection）是由IFTFIPSec组织制订的一套保护IP通信安全的协议族，包括网络安全协议和密钥协商协议两部分。网络安全协议包括：AH（authenticationheader，认证协议头）协议和ESP（encapsulationsecuritypayload，安全负荷封装）协议。密钥协商协议包括IKE（Internetkeyexchange，Internet密钥交换）协议。（1）AH协议AH协议对IP数据包进行完整性检验、数据源身份验证以及抗重放攻击等，但不提供数据的机密性保护。IPTCP数据IPTCP数据IP2AH头图4-2AH处理示意图4-2为AH处理的示意图。在隧道模式（IPSec还有传输模式）下，IP头和上层数据用AH头进行封装。AH头由一些字段组成，其中一个字段称为“认证数据”，它是一个长度可变的字段，由对保护的IP分组头、上层数据和公钥3部分内容通过MD5计算得到。这时，上层数据和IP头都被AH头封装了。在AH头外面添加的IP2是依隧道的类型不同而有差异，可能是防火墙或其他安全网关的地址。封装的数据包传送到目的地之后，那里的隧道服务器首先对认证数据认证无疑后，才会拆去AH头，再传送到目的主机。（2）ESP协议ESP协议用于对IP数据包的封装、加密、认证和完整性保护。IPTCP数据IPTCP数据IP2ESP头图4-3ESP处理示意ESP尾ESP认证图4-3为ESP处理的示意图。在隧道模式下，ESP对包含IP头和整个IP数据进行加密，同时还用ESP认证对前面的ESP认证头、IP有效数据以及ESP尾的完整性进行校验。（3）密钥协商协议与SAESP协议和AH协议在进行IPSec数据封装的过程中，用到了加密算法、密钥等多种安全参数。采用IPSec连接的两台计算机或网关必须使用相同的参数，才能在一端进行封装，另一端进行解封。为此，两端必须进行协商。通过封装之前通信双方的协商，保证封装使用参数相同。在IPSec中，安全参数用SA（securityassociation，安全协同）加以描述。2．用路由封装协议（GRE）GRE（genericrouting64 encapsulation）是一种将任意类型的网络层数据封装进另一种网络层数据包的封装协议。图4-4为GRE处理示意图。可以看出，原始数据包首先被封装成GRE数据包，然后被封装为一个新的协议（在Internet中为IP），从而实现了对任意类型网络层数据的封装。GRE称为封装协议，原始协议称为乘客协议，新的协议称为传递（delivery）IPTCP数据IPTCP数据协议头GRE图4-4GRE处理示意协议或传输（transport）协议。3．点对点隧道协议（PPTP）数据链路层头IP头PPP头加密的PPP有效数据链路层包尾GRE头图4-5PPTP封装后的数据包格式PPTP（pointtopointtunnelingProtocol）是Microsoft，Ascend，3COM等公司支持的一种封装协议，用于在PPTP客户端和PPTP服务器之间安全通信。它工作在数据链路层，允许对IP，IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络发送。图4-5为PPTP封装后的数据包格式。它先对数据链路层帧进行PPP封装，开成PPP帧。然后，进一步添加GRE包头，开成GRE报文，使任何链路层数据都可以在IP网络中传输。之后，加上有源和目的IP地址的IP头。最后根据物理网络进行相应的数据链路层封装。4．二层转发协议（L2F）L2F（layer2forwarding）是Cisco北方电信等公司支持的封装协议。5．第2层隧道协议（L2TP）L2TP（layer2tunnelingProtocol）结合了PPTP与L2F的优点，允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM。五、实验内容1．建立PPTPVPN，完成VPN服务器和客户端配置。2．测试配置后的PPTPVPN网络。六、综合性实验1．实验要求掌握在WindowsServer2000操作系统中利用PPTP配置VPN网络的流程，包括服务器端和客户端的配置。掌握PPTPVPN的应用。2．实验步骤（1）配置PPTPVPN服务器要想让WindowsServer2000计算机能够接受客户机的VPN拨入，必须首先配置VPN服务器。配置方法如下：64 a)在WindowsServer2000中单击“开始→程序→管理工具→路由和远程访问”，弹出如图4-6所示界面。在左边窗口中选中“服务器名”，在其上右击，选择“配置并图4-6“路由和远程访问”界面启用路由和远程访问”如果以前已经配置过这台服务器，现在需要重新开始，则应在“服务器名”上右击，选择“禁用路由和远程访问”，即可停止此服务，以便重新配置。图4-7“路由和远程访问服务器安装向导”界面b)进行上述操作后，即弹出“路由和远程访问服务器安装向导”，如图4-7所示。在“公共设置”标签页中，选择“虚拟专用网络（VPN）服务器”，以便让用户能够通过公共网络（如Internet）来访问此服务器。c)单击“下一步”按钮，进入如图4-8所示页面，在文本框中选择或添加VPN访问所需要的协议。如果所要求的协议（要求必须有TCP/IP协议）已经包含，则单击“下一步”按钮，进入如图4-9所示界面。d)按照系统提示选择一个该服务器所使用的Internet连接（如已建立好的拨号连接或通过指定的网卡进行连接等）。然后继续单击“下一步”按钮。e)进入如图4-10所示界面，选定IP地址指定方法。按照“您想如何对远程客户分配IP地址”的询问，进行选择回答。如果已在服务器端安装好了DHCP服务器，可以选择“自动”；否则推荐选择“来自一个指定的地址范围”。单击“下一步”按钮。f)进入如图4-11所示界面，根据提示输入需要分配给客户端使用的IP地址范围；“添加”进列表中后，单击“下一步”按钮。64 图4-10选定IP地址指定方法图4-9选择Internet连接图4-8添加或选择需要的协议a)在如图4-12所示的是否使用RADIUS服务器“管理多个远程访问服务器”的界面中，选择默认的“不，我现在不想设置此服务器使用RADIUS”，即可完成最后的设置。单击“下一步”按钮，再单击“完成”按钮，屏幕上将自动出现一个正在开启的“路由和远程访问服务”的小窗口。当它消失之后，打开“管理工具”中的“服务”，即可看到“RoutingandRemoteAccess（路由和远程访问）”项自动处于“已启动”状态了。64 图4-12是否使用RADIUS服务器管理多个远程访问服务器图4-11指定客户端使用的IP地址范围（2）赋予用户拨入的权限图4-13“远程访问策略”由于默认代表任何用户均被拒绝拨入到服务器上，所以要给一个用户赋予拨入到此服务器的权限。打开“路由和远程访问”窗口，打开服务树形结构，选择“远程访问策略”，如图4-13所示，双击“如果启用拨号许可，就允许访问”，在窗口中选择“授予远程访问权限”，如图4-14所示。64 图4-14“授予远程访问权限”（3）配置VPN客户端图4-15“网络连接向导”a)在Windows2000/xp中选择“控制面板→网络与拨号连接”，双击“新建连接”，进入“新建连接向导界面”，如图4-15所示。图4-16选择网络连接类型b)单击“下一步”按钮，在创建的“网络连接类型”界面中选择“64 通过Internet连接到专用网络”，如图4-16所示。图4-17VPN服务器选择a)单击“下一步”按钮操作，进入图4-17所示窗口，输入主机名或IP地址。图4-18完成网络连接界面b)根据向导进行，最后完成网络连接，如图4-18所示。图4-19客户端连接界面c)点击完成后，自动弹出客户端连接界面，如图4-19所示，同时在桌面上创建“虚拟专用连接”快捷方式，通过双击桌面上的“虚拟专用连接”64 快捷方式也可以打开图4-19所示界面。还可以通过点击“开始→设置→网络和拨号连接→虚拟专用连接”打开。图4-21高级安全属性的设置图4-20属性配置窗口a)VPN客户端的连接属性配置，可以单击客户端连接界面中的“属性”按钮，在弹出的属性配置窗口中选择“安全措施”标签页，如图4-20所示，选中“高级”，再单击“设置”按钮，进入“高级安全设置”窗口，如图4-21所示，这里，可以进一步配置VPN采用的加密方式和身份认证协议。当双方建立好通过Internet的VPN连接后，即相当于又在Internet上建立好一个双方专用的虚拟通道。通过此通道，双方可以在网上邻居中进行互访，即相当于又组成了一个局域网络。而且这个网络是双方专用的，并具有良好的保密性能。64 实验八：IPSecVPN配置及应用实验（N08）一、实验名称和性质所属课程信息安全实验名称IPSecVPN配置及应用实验学时2实验性质□验证√综合□设计必做/选做√必做□选做二、实验目的理解IPSecVPN的工作原理。了解IPSecVPN的应用。掌握IPSecVPN实现的技术方法。掌握IPSecVPN配置流程及应用。三、实验的软硬件环境要求多台运行WindowsServer2000操作系统的计算机连接成以太网，并ruvtyInternet。四、实验内容1．建立IPSecVPN连接，完成VPN服务哈哈大笑客户端配置。2．测试连接后的IPSecVPN网络。五、综合性实验1．实验要求掌握在WindowsServer2000操作系统中利用IPSec配置VPN网络的流程，包括服务器端和客户端的配置。掌握IPSecVPN的应用。2．实验步骤（1）进入内置IP安全策略界面图4-22Windows的内置安全策略点击“开始→程序→管理工具→本地安全设置”，如图4-22所示。在右侧窗口中，可以看到默认情况下Windows内置的“安全服务器”、“客户端”、“服务器”3个安全选项，并附有描述，可以单击阅读对它们的解释。在左面的窗口中，给出了安全设置的项目列表。（2）安全策略配置a)右击“IP安全策略，在本地机器”选项，选择“创建IP安全策略”，弹出如图4-23所示的IP安全策略界面。b)点击“下一步”进入IP安全策略向导，如图4-24所示。c)在“安全通信请求”界面中，选择清除“激活默认响应规则”复选框，如图4-25所示。64 a)点击“下一步”，在“完成IP规则向导”界面中选中“编辑属性”，如图4-26所示。b)单击“完成”，进入“IP安全策略属性”窗口，如图4-27所示，在“规则”标签页中单击“添加”按钮，进入“安全规则向导”首页，如图4-28所示。（3）图4-25“安全通讯请求”图4-24“IP安全策略名称”图4-23“IP安全策略向导”界面安全操作配置64 进入创建IP“安全规则向导”首页后，按照提示，进行连续的单击“下一步”按钮操作，会依次完成下列设置：a)隧道终结点，如图4-29所示。这里选择“此规则不指定隧道”。64 图4-28创建IP安全规则向导图4-27IP安全策略属性窗口图4-26完成IP安全策略向导a)网络类型，如图4-30所示。这里选择“局域网（LAN）。b)身份验证方法，如图4-31所示。这里选择“预共享密钥”。64 图4-31“身份验证方法”图4-30“网络类型”图4-29“隧道终结点”64 （4）建立新的IP筛选器列表图4-32“IP筛选器列表”设置单击“下一步”按钮，进入“IP筛选器列表”页面，如图4-32所示，可以在这里设置哪些地址和网络协议的数据包使用IPSec安全连接。a)添加IP筛选器图4-33“IP筛选器列表”界面在“IP筛选器列表”中选择对哪种通信量进行筛选，单击“添加”按钮，弹出“IP筛选器列表”，如图4-33所示。单击“添加”按钮，进入“IP筛选器向导”，在IP筛选器列表中添加一个IP筛选器，即可设置一个新的IP筛选器列表。b)指定IP通信地址lIP通信源，如图4-34所示。选择“我的IP地址”做为IP通信的源地址。lIP通信目标，如图4-35所示。选择“一个特定的IP地址”做为IP通信的目的地址。c)定义IP筛选器所过滤的协议，如图4-36所示。选择任意类型。单击“下一步”按钮，进入IP筛选器向导完成页面，如图4-37所示。单击“完成”按钮，完成新IP筛选器列表建立，返回“安全规则向导”的“IP筛选器列表”页面，如图4-38所示。64 图4-35指定IP通讯的目的地址图4-36指定IP协议类型图4-34指定IP通讯的源地址64 图4-39添加一条筛选器操作图4-38选择IP筛选器列表图4-37完成IP筛选器编辑（5）筛选器操作配置64 筛选器列表的操作是指当有IP数据包符合筛选器中定义的条件时，IPSec对符合条件的数据包如何处理和如何操作。a)进入筛选器操作。在“IP筛选器列表”中选择“to29”，单击“下一步”按钮，进入“筛选器操作”页面，如图4-39所示。b)筛选器操作配置。在“筛选操作”列表框中选择一条筛选器操作（这里选择“许可”），单击“添加”按钮，弹出“筛选器操作向导”，如图4-40所示。然后可以根据提示并连续单击“下一步”按钮，完成下面的配置：图4-40筛选器操作向导l筛选器操作名称，如图4-41所示。填入筛选器操作的名称和描述。l筛选器操作的常规选项，如图4-42所示。这里选择“协商安全”，上其进行IPSec安全协商。l不和不支持IPSec的计算机通信，如图4-43所示。这里选择“不和不支持IPSec的计算机通信”，以要求必须在IPSec基础上进行连接。图4-41筛选器操作名称lIP通信安全设施，如图4-44所示。决定进行通信过程中是否加密和完整性检验。为了更加清楚其中采用的协议，这里选择“自定义”，然后单击“设置”按钮。64 图4-44通信安全设施图4-43不和不支持IPSec的计算机通讯图4-42筛选器操作常规选项64 图4-45自定义安全措施设置弹出“自定义安全措施设置”对话框，如图4-45所示，可以看到AH和ESP协议的不同功能，即AH协议不进行加密，而ESP可以进行加密和完整性检验，相关算法也都可以选择。这里分别选择“SHA1”和“3DES”。（6）选择筛选器图4-46新建立的筛选器操作筛选器操作配置完成后，返回到“安全规则向导”的“筛选器操作”页面，如图4-46所示。这里可以看到新建立的筛选器操作名称。选中“to29”。单击“下一步”按钮，即完成了新增IP安全规则向导的设置，进入“IP安全策略属性”页面，如图4-47所示。这里会看到新增加的安全规则，操作者可以重新编辑，再度添加或删除某些规则。（7）指派安全策略单击图4-47中“关闭”按钮，弹出“本地安全设置”页面。这里可以看到新增的一条IP安全策略。右击新增的IP安全策略，选择“指派”，如图4-48所示。在IPSec通信的两端都要进行相关的配置（互为源通信地址和目的通信地址），增加自定义的IP安全策略，即可实现IPSec安全加密通信。64 图4-48　新增加的IP安全策略进行指派图4-47完成新增IP安全规则参考文献[1]http://www.viruschina.com中国杀毒网[2]张基温.信息安全实验与实践教程.北京:清华大学出版社,2005.11[3]徐茂智等.信息安全与密码学.北京:清华大学出版社,2007.1[4]李毅超等译.信息安全原理与应用(第四版).北京:电子工业出版社,2007.11[5]王志海等.OPENSSL与网络信息安全--基础、结构和指令.北京:清华大学出版社,2007.4[6]王新昌等.信息安全技术实验.北京:清华大学出版社,2007.9[7]高敏芬等.信息安全实验教程.天津:南开大学出版社,2007.5导航图标页图标决策图标分支图标分支路径分支标记文本图10-1无向图G1“时间轴”图层“时间轴”上的帧64