实验一 常见对称密码算法的加解试验

1、企业网安全实验一 常见对称密码算法的加/解试验1. 实验目标u 对比了解常见对称密码算法的强度；u 了解对称密码算法的工作方式。2. 考核点u 常见对称密码算法的强度比较；u DES算法的弱密钥；u 对称密码算法的工作模式CBC。3. 实验环境（1）硬件环境u CPU：Intel Pentium III 500MHz或以上；u RAM：256MB或以上；u 硬盘：至少有1GB或以上的空余磁盘空间。（2）软件环境有Apocalypso.exe的Windows XP/2000/2003等（此软件不需安装）。4. 实验要求（1）使用Apocalypso.exe分别完成DES加密、DES双重加密、Ri

2、jndael（AES）加密等加密试验；（2）通过对比使用，说说你对DES和AES的直观认识！5. 实验要点与注意事项u 仔细观察实验现象，认真思考现象背后的原理；u 为使实验对比效果更加明显，建议待加密的“明文”为全零；u DES算法仅支持ASCII码；u 通过试验对比DES和AES算法的强度。 3 实验二 Hash函数实验1. 实验目标u 了解Hash函数的技术特征及相应的用途；u 体会为什么把文件的Hash值称作该文件的“指纹”。2. 考核点u Hash函数的技术特征和用途；u 信息“完整性”的校验方法。3. 实验环境（1）硬件环境u CPU：Intel Pentium III 500MH

3、z或以上；u RAM：256MB或以上；u 硬盘：至少有1GB或以上的空余磁盘空间。（2）软件环境装有Win_MD5.exe的Windows XP/2000/2003等（此软件不需安装）。4. 实验要求（1）完成文件的“完整性”校验实验；5. 实验要点与注意事项u 轻微改动明文内容，仔细对比试验结果，体会密码算法的“雪崩”效应；u 可对大块文件进行Hash运算，体会对称算法的“速度”优势；u Hash函数对文件完整性的验证是如此的有效，在众多UNIX和Linux中都有实现，感兴趣的同学可以用“md5sum”命令在UNIX和Linux中测试。实验三 口令猜解实验1. 实验目标u 掌握口令的猜解技

4、巧；u 通过试验总结“健壮的口令”应满足的条件。2. 考核点u 何谓“健壮的口令”；u 通过试验体会“字典攻击”、“穷举攻击”。3. 实验环境（1）硬件环境u CPU：Intel Pentium III 500MHz或以上；u RAM：256MB或以上；u 硬盘：至少有1GB或以上的空余磁盘空间。（2）软件环境安装有Advanced RAR Password Recovery或LC5的Windows XP/2000/2003等。4. 实验要求（1）完成“字典攻击”和“穷举攻击”实验；（2）体会“社会工程攻击”在口令猜解中的应用。5. 实验要点与注意事项u 仔细观察实现现象，思考体会“密钥空间”

5、的概念；u 在使用字典工具生成“字典文件”是，一定要注意字典文件的大小；u 通过多次的试验，总结口令猜解的技巧，体会其中“社会工程攻击”的思想。企业网安全 实验四 公钥技术相关实验1. 实验目标u 通过数字签名、验证、加密和数字信封等试验，掌握公钥技术的应用。2. 考核点u 数字签名、公钥加密和数字信封；u 对信息安全中“机密性”、“完整性”和“不可否认性”的认识。3. 实验环境（1）硬件环境u CPU：Intel Pentium III 500MHz或以上；u RAM：256MB或以上；u 硬盘：至少有GB或以上的空余磁盘空间。（2）软件环境装有Adobe Acrobat 7.0/8.0 P

6、rofessional的Windows XP/2000/2003等。4. 实验要求（1）创建“自签名证书”，并秘密保存；导出与私钥对应的个人公钥，公开给自己的合作者；（2）私钥签名试验：用自己的私钥签名一个PDF文档并公布；思考：怎么识别签名？（3）公钥验证试验：拿到含有签名信息的PDF文档，任何人都可以用签名者的公钥来验证其签名；思考：怎么才能拿到签名者的合法公钥？可信中心还是其它？（4）用合作伙伴的公钥和自己的私钥结合，加密一个PDF文档，看看都谁能打开它？是怎么打开的？（5）完成“数字信封”综合试验：加密、签名、验证。5. 实验要点与注意事项u 私钥一定要秘密、可靠地保存（要额外备份），

7、并且保护私钥的口令不能太简单和泄露；u 私钥和公钥成对使用，一个加密，另一个用来解密；u 公钥应该有“信任”级别。实验五 Windows IPsec试验1. 实验目标u 了解IPsec的体系结构；u 掌握IPsec筛选器；u 了解IPsec典型应用；2. 考核点u IPsec的部署与应用；u AH与ESP 的保护方式u IPsec主机到主机的应用模式；3. 实验环境（1）硬件环境u CPU：Intel Pentium III 500MHz或以上；u RAM：1024MB或以上；u 硬盘：至少有10GB或以上的空余磁盘空间。（2）软件环境VMware Workstation 6.0、Window

8、s Server 2003 Enterprise Edition、Sniffer Pro或Network Monitor、Windows XP Professional。（3）实验拓扑图3-1 Windows IPsec试验拓扑（4）实验环境准备（可借助上一个试验环境）：CA：安装Windows Server 2003 Enterprise Edition，配置IP信息，安装域控制器，并升级域功能；Web：安装Windows Server 2003 Standard/Enterprise Edition及 Internet Information Services （IIS） 的计算机，并安装

9、微软自带的网络监视器（Network Monitor）；l 配置IP信息，安装IIS；l 创建用于测试的Web站点，（常规Web，最好与CA的DNS相结合）。PC：PC是一部运行Windows XP Professional的计算机，当作IPsec客户端；4. 实验要求及实验步骤方案一：使用基于“预共享密钥”认证的IPsec的传输模式（本试验侧重于IPsec筛选器的使用）预备前提：在PC中分别用ping命令和IE测试DNS的正常解析及Web的正常访问，并使用网络监视器来捕获和分析网络传输的明文数据；PC：IPsec客户端（我们一般习惯于客户机访问服务器的思维过程，因此先在客户端上配置更易上手）

10、，具体操作步骤如下：（1）打开本机的“IP安全策略管理”和“IP安全监视器”，配置符合试验要求的安全策略。具体如下：【开始】【运行】【mmc】【文件】【添加/删除管理单元】【添加】【IP安全策略管理】【添加】，在此处，我们选择“本地计算机”并完成操作。添加【IP安全监视器】【添加】【关闭】【确定】。（2）在控制台根节点的“IP安全策略管理，在本地计算机”中，右击选择“创建IP安全策略”，在弹出的“IP安全策略向导”的帮助下，一步步创建所需的IP安全策略；（3）在“IP安全策略向导”对话框中的“IP安全策略名称”页面的“名称”框中填入合适的（见名知意）IP安全策略名称，如“Allow PC Pi

11、ng Web”，如下图3-2所示：图3-2 IP安全策略名称（4）下一步，在【IP安全策略向导】对话框的“安全通讯请求”页面中取消“激活默认的响应规则”复选框；（5）下一步，在“IP安全策略向导”对话框的“正在完成IP安全策略向导”页面中选中“编辑属性”复选框；（6）完成IP安全策略向导的使用，在弹出的如图3-3所示的IP安全策略属性对话框中，在“常规选项卡”中取消“使用添加向导”复选框，并单击“添加”按钮，添加自定义的“IP安全规则”；图3-3 创建新IP安全规则（7）在弹出的如图3-4所示的“新规则属性”对话框中的“IP筛选器列表”选项卡中，单击【添加】按钮；图3-4 创建新筛选器列表（8

12、）在弹出的如图3-5所示的“IP 筛选器列表”对话框中的“名称”选项，填写合适的IP筛选器列表名称，（如：Allow PC Ping web Filter List），取消“使用添加向导”复选框，并单击【添加】按钮；图3-5 添加IP筛选器（9）在弹出的如图3-6所示的“筛选器 属性”对话框中，在“寻址”选项卡，在“源地址”下拉列表框中选择“我的地址”，在“目标地址”下拉列表框中选择“一个特定的IP地址”，并在IP地址字段中填写正确的Web服务器地址，并确保“镜像”复选框有效；图3-6 筛选器属性地址对话框（10）在如图3-7所示的“筛选器属性”对话框中，在“协议”选项卡中的“选择协议类型”下

13、拉列表框中选择ping命令所需的“ICMP”协议；图3-7 筛选器属性协议对话框（11）在如图3-7中的“筛选器属性”对话框中，在“描述”选项卡中的“描述”字段中填写合适的筛选器名称，如：Allow PC Ping Web；确定，完成筛选器的创建。（12）如图3-8所示，在完成的IP筛选器列表中，选中我们刚刚创建的IP筛选器列表，单击“筛选器操作”选项卡；图3-8 创建筛选器操作（13）在如图3-9所示的“新规则 属性”对话框中的“筛选器操作”选项卡中，取消“使用添加向导”复选框，单击【添加】按钮；图3-9 添加新的筛选器操作（14）在如图3-10所示的“新筛选器操作属性”对话框中，在“安全措

14、施”选项卡，选中“协商安全”复选框，并单击【添加】按钮；图3-10 新筛选器操作属性（15）在如图3-11弹出的“新增安全措施”对话框中，选中“仅保持完整性”复选框，并单击“确定”按钮；图3-11 新增安全措施（16）在“新筛选器 属性”对话框中，在“常规”选项卡的“名称”字段为筛选器操作填写合适的名称，如：“Allow P Ping Web With AH”，单击确定，完成筛选器操作的创建。（17）在如图3-12所示的“新规则 属性”对话框中，在“筛选器操作”选项卡中，选中我们刚刚创建的筛选器操作，点击“身份验证方法”选项卡，图3-12 创建身份验证方法（18）如图3-13所示在“新规则 属

15、性”对话框中的“身份验证方法”选项卡上单击【添加】按钮；图3-13 添加新身份验证方法（19）如图3-14在弹出的“新身份验证方法 属性”对话框中，选中“使用此字符串（预共享密钥）”并在对话框中填写合适的“预共享密钥”；图3-14 预共享密钥身份验证（20）单击“确定”，返回上一级选项卡，如图3-15所示，在“身份验证方法首选顺序”框内，上移“预共享的密钥”为首选身份验证方法，并应用；图3-15 身份验证方法优先级（21）在“新规则属性”对话框中的“隧道设置”选项卡，默认选择“此规则不指定IPsec隧道”；（22）在“新规则属性”对话框中的“连接类型”选项卡，默认选择“所有网络连接”；（23）

16、至此，PC端的自定义的IP安全策略设置完毕；只需右键选中自定义的策略，单击“指派”即可。u Web：2003 web服务器端配置（1）打开本机的“IP安全策略管理”和“IP安全监视器”，配置自定义的安全策略，具体方法同上；（2）在本机，创建自定义的IP安全策略，与在PC计算机上的配置相对应，配置方法同上，配置内容概要如下：Allow PC Ping Web With AH，步骤如下：1）新建IP安全策略名称：Allow PC Ping web；2）新建IP安全规则：Allow PC Ping Web；3）新建IP安全筛选器列表：Allow PC Ping Web Filter List；4）新

17、建IP筛选器“Allow PC Ping Web”，其属性为；源IP目标IP协议镜像我的PCICMP是5）新建筛选器操作： 安全措施：协商安全； 安全和加密选项：仅完整性； 名称：Allow PC Ping Web With AH；6）身份验证方法：预共享密钥（HeNanXinHua）；7）隧道设置：无；8）连接类型：所有网络连接；（3）至此，Web端的自定义的IP安全策略设置完毕，“指派”使其生效即可。u Web：测试自定义的IP安全策略（1）ping测试：在第一次Ping过程中，会出现如下图所示的协商过程和通信过程。若只有协商过程，则说明IP安全策略定义有不一致的地方，检查并重新配置。注意

18、：若PC端打开了XP SP2自带的防火墙，Ping不能成功。图3-16 Ping测试AH的传输模式（2）网络监视器：如图3-17所示，用网络监视器捕获并察看数据传输过程。可以清晰地看到：l 对等体在使用IPsec的AH传输模式保护通信传输之前，进行了“十次”协商；l IPsec通过添加“ESP”报头保护了IP的上层协议ICMP；注意：IPsec不是使用是AH协议来“仅保持完整性”的吗？怎么会是ESP呢？在图3-11的“仅保持完整性”选项的背后，隐藏的实质是用ESP协议的SHA-1算法来保持完整性的。若要使用AH协议的完整性保护，可在图3-11的自定义选项内选配。那么问题是：AH协议的完整性保护

19、和ESP协议的完整性保护，在安全上有什么区别呢？l “仅保持完整性”模式没有加密IP的上层数据明文传输；图3-17 网络监视器捕获的IPsec数据包解析（3）IP安全监视器：如图3-18所示，打开控制台根节点下的IP安全监视器，可以看到整个IP安全策略的配置信息和传输细节的统计。因此，依据IP安全监视器进行IPsec通信的排错，是个不错的选择。图3-18 IP安全监视器的统计信息方案一 的进一步练习：目的在于熟练掌握IP安全策略的使用分别在PC和Web上自定义以下IP安全策略：（1）Allow PC Ping Web With ESP（在原来基础上，只需改“筛选器操作”、“安全措施”中的“仅保

20、持完整性”为“加密并保持完整性”即可）；注意：每次IPsec策略改变之后，在测试时最好用网络监视器来捕获通信过程，以从根本上验证IPsec策略并对比分析IPsec协议的细节。此乃学习网络的最佳之路。（2）Allow PC Access Web 80 With AH（在原来基础上，只需改动“筛选器”的“协议”选项即可）；l PC端，IP筛选器“Allow Access Web 80 Filter”；源IP目标IP协议源端口目标端口镜像我的WebTCP任意80是l Web端IP筛选器：IP安全策略定义完成后，要用IE和网络监视器来验证源IP目标IP协议源端口目标端口镜像我的PCTCP80任意是（3

21、）Allow PC Access Web 80 With AH&ESP（在2基础上，只需改动“筛选器操作”中的“安全措施”即可）；（4）Allow PC Access Web 80 and Ping Web With AH&ESP（在原来基础上，只需添加“筛选器”的“协议”选项）；方案二：使用基于“Kerberos V5”认证的IPsec的传输模式基于“预共享密钥”认证方式的IPsec安全性最差，但却拥有最广泛的兼容性；当前在Window企业环境下，活动目录已成为一种基本的部署，在没有公钥基础设施的企业环境中，基于Kerberos V5认证方案IPsec已成为最佳选择。l CA：在CA的“Ac

22、tive Directory用户和计算机”中，创建用于试验客户端PC的域管理员（Domain Admini）帐户和成员服务器Web的域管理员帐户；l PC：使本机加入域环境，用相应的域管理员帐户登录；检查此用户是否有配置本机的“IP安全策略管理”的权限，若没有重启系统并检查域帐户权限；l Web：使本机加入域环境，用相应的域用户登录；检查此用户是否有配置本机的“IP安全策略管理”的权限，若没有重启系统并检查域帐户权限；说明：两个测试系统（Web和PC）必须是同一（或受信任）域的成员。参照试验一的步骤，分别在PC和Web上创建相应的IP安全策略，例如：保护PC对Web服务器TCP 80端口的访问

23、；仅把身份验证方法设置为默认的Kerveros即可；注意：以前自定义的IP安全策略，最好全部删除；l PC端： 新建IP安全策略名称：Allow Access web Policy； 新建IP安全规则：Allow Access Web； 新建IP安全筛选器列表：Allow Access Web Filter List； 新建IP筛选器“Allow Access Web 80 Filter”：源IP目标IP协议源端口目标端口镜像我的WebTCP任意80是 新建筛选器操作： 安全措施：协商安全； 安全和加密选项：加密并保持完整性； 名称：Allow Access Web With ESP； 身份验

24、证方法：默认Kerberos； 隧道设置：无； 连接类型：LAN；l Web端： 新建IP安全策略名称：Allow PC Access web Policy； 新建IP安全规则：Allow PC Access Web； 新建IP安全筛选器列表：Allow PC Access Web Filter List； 新建IP筛选器“Allow PC Access Web 80”：源IP目标IP协议源端口目标端口镜像我的PCTCP80任意是 新建筛选器操作： 安全措施：协商安全； 安全和加密选项：加密并保持完整性； 名称：Allow PC Access Web With ESP； 身份验证方法：默认Ke

25、rberos； 隧道设置：无； 连接类型：LAN；方案三：使用基于“证书”的IPsec的传输模式由于活动目录的协议复杂且需要开放很多的端口，因此IPsec并不适合保护域成员及其与控制器之间的通信安全；在部署有公钥基础设施的企业环境中，基于“证书”或“智能卡”认证是最安全的认证方案，基于证书的IPsec应用也就是最安全传输保护方案。CA：（部分借助方案二的试验环境，只需额外添加证书的自动颁发即可）启用IPsec证书模板：在CA的“证书颁发机构”中右击“证书模板”选择“新建”“要颁发的证书模板”选择“IPsec”，单击确定，如图3-19所示；图3-19 启用IPsec证书模板设置CA来自动注册IP

26、sec证书，请执行下列步骤：1）在域控制器上，编辑“默认组策略”；2）在控制台树中，依序打开计算机配置、Windows 设置、安全设置、公钥策略及自动证书请求设置；3）右击“自动证书请求设置”，指向“新建”，再单击“自动证书请求”，在“欢迎使用自动证书请求设置向导”页面上，单击“下一步”，在“证书模板”对话框中，选中“IPsec”，如下图所示；图3-20 自动证书申请设置4）单击下一步，在完成自动证书请求设置向导页面上，单击完成。刷新组策略：l PC：（可借助方案二的试验环境，只需额外添加证书的自动申请即可） 重启或刷新组策略；通过组策略申请IPsec证书； 察看PC是否已获得IPsec证书，

27、察看方法：方法一：控制台根节点证书计算机账户本地计算机，确定；打开“控制台根节点”下的证书（本地计算机）个人证书下查看是否有计算机证书。有，说明证书已通过组策略自动分发，如下图所示；没有，可以在此处单击右键，选择“所有任务”“申请新证书”，使用“证书申请向导”来完成证书申请；若还申请不到，说明上面的配置出了问题，请重新配置。图3-21 本地计算机证书控制台方法二：在CA的证书颁发机构中，察看已颁发的证书中是否有VPN客户端的用户证书。按照前面的的试验配置自定义IP安全策略，只把前面例子中的身份方法改为“使用由此证书颁发机构颁发的证书”即可，见下图，并选择自创建的证书颁发机构（CA），确定，并确

28、保“身份验证方法首选顺序”为证书，为避免意外，可以将Kerberos删除。图3-22 设置身份验证方式证书l Web： 重启或刷新组策略；通过组策略申请IPsec证书； 察看Web服务器是否已获得IPsec证书，察看方法同上； 在Web服务器上配置与PC相对应的IPsec策略，具体方法同上。l Web：测试自定义的IP安全策略 Ping测试与网络监视器捕获，请同学们在试验时要把试验现象记录进试验手册。5. 实验要点与注意事项u 本试验步骤复杂，可逐步配置，逐步试验；u 在配置（定制）IPsec策略时，最好不要用“向导”，按照自己事先的规划，以使试验步骤不跳跃太大；u 本实验的关键在于熟练掌握“

29、IPsec筛选器、保护方式及身份验证方法”的灵活应用，（Windows IPsec位于系统内核的TCP/IP协议栈之中，因此IPsec筛选器也就成了最好的防火墙高效、安全）；u 可以使用“IPsec安全监视器”，来检查IPsec策略和验证IPsec通信；u 本实验逐步尝试IPsec的多种身份认证方法，并对比起灵活性、易用性和安全性；u 进一步的参考资源：为隔离组创建IPsec策略。（/china/technet/security/topics/architectureanddesign/ipsec/ipsecch5.mspx） 21 企业网安全实验

30、六 Windows VPN试验1. 实验目标u VPN的概念与应用；u IPsec的体系结构与应用；u 企业CA的管理证书模板的使用与根CA信任；u 双因子认证智能卡登陆2. 考核点u VPN的特征、隧道技术；u IPsec的部署与应用；u 证书模板与根CA的自动信任；u 目前三种通用的VPN解决方案：PPTP VPN、L2TP VPN、EAP-TLS VPN。3. 实验环境（1）硬件环境u CPU：Intel Pentium III 500MHz或以上；u RAM：1024MB或以上；u 硬盘：至少有10GB或以上的空余磁盘空间。（2）软件环境VMware Workstation 6.0、W

31、indows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Sniffer Pro或Network Monitor、Windows XP Professional。（3）实验拓扑图3-23 VPN试验拓扑（4）实验环境准备（部分可借助上一个试验环境）：CA：安装Windows Server 2003 Enterprise Edition，只有企业版才能设置EAP-TLS 身份验证的用户证书自动注册；l 配置IP信息，安装域控制器，并升级域功能；l 安装内部网段的 DHCP 服务器，为远程

32、VPN客户端分发IP地址；l 安装IIS，安装证书服务，使之成为域的企业根认证中心（CA）。在活动目录中创建用于成员服务器IAS和VPN的域管理员（Domain Admin）账户，创建用于访问的用户组（VPNUsers）及帐户（vpnuser1）。IAS：IAS是一部运行 Windows Server 2003 Standard/Enterprise Edition 的计算机，可为 VPN 提供 RADIUS 身份验证、授权与帐户处理。l 安装 Windows Server 2003 Standard/Enterprise Edition，作为域中的成员服务

33、器；VPN：VPN是一部运行 Windows Server 2003 Standard/Enterprise Edition 的计算机，安装有两块网卡，可为Internet上的 VPN 客户端PC，提供远程访问服务，并安装微软自带的网络监视器（Network Monitor）；l 安装 Windows Server 2003 Standard/Enterprise Edition，作为域中的成员服务器；Web：为内网客户端提供Web服务，供Internet上的VPN客户端连接到内网后，作连接测试使用；l 安装Windows Server 2003 Standard/Enter

34、prise Edition及 Internet Information Services （IIS） 的计算机；l 创建用于测试的Web站点，（最好与CA的DNS相结合）PC：PC是一部运行Windows XP Professional的计算机，当作Internet上的VPN客户端；4. 实验要求及实验步骤方案一：PPTP VPNl IAS：要将 IAS 设置为 RADIUS 服务器，请执行下列步骤： 以前面创建的域管理员账户加入域； 在“Windows组件”中，选择并安装“网络服务”组件中的“Internet身份验证服务”；如下图所示，右击“RADIUS 客户端”，选择“新建RADIUS 客

35、户端”，并输入客户端的名称或IP地址；验证信息。 注意：IAS是专门为远程访问服务和拨号服务集中提供“AAA” （Authentication 认证，Authorization 授权，Accounting记帐） 服务的，所以IAS的“RADIUS 客户端”应该是VPN服务器；图3-24 新建RADIUS客户端单击“下一步”，在弹出的如下图所示的“新建RADIUS客户端”向导中的“其它信息”对话框中，在“客户端供应商”选项中默认选择“RADIUS Standard”并填写RADIUS客户端的客户端（VPN服务器）与IAS服务器之间的共享机密；图3-25 RADIUS客户端信息完成RADIUS客户

36、端的创建。如下图所示，右击“远程访问策略”，在弹出的“新建远程访问策略向导”的帮助下，完成自定义的远程访问策略。具体如下：图3-26 新建远程访问策略在“新建远程访问策略向导”的“策略配置方法页面”，选中“使用向导来设置在普通情况下的典型策略”复选框，并填写合适的策略名称，单击“下一步”；在“访问方法”页面，选择“VPN”，下一步；在“用户或组访问”页面，选则“组”，并添加在CA中创建的允许VPN客户端访问的组VPNUsers，如下图所示；图3-27 远程访问策略中允许访问的用户或组在“身份验证方法”页面，选择“MS-CHAP v2” 身份验证协议；图3-28 远程访问策略的身份验证方法在“策

37、略加密级别”页面，选择“最强加密（IPsec的三重DES或MPPE128bits）”；完成远程访问策略的创建。l VPN：要将VPN设置为 VPN 服务器，请执行下列步骤：以前面创建的域管理员账户加入域；在“所有工具”“路由和远程访问”中，右击“VPN（本地）”，选择“配置并启用路由及远程访问”，在弹出的中的“欢迎使用路由及远程访问服务器安装向导”的帮助下，完成VPN服务器的创建。具体如下： “配置”页面，选择“远程访问（拨号或VPN）”，下一步； 在“远程访问”页面，选择“VPN” ，下一步； 在“VPN连接”页面中的“网络接口”对话框中，选中外网接口（在此监听来自外网的VPN访问请求），并

38、取消“静态数据包筛选器”（用来进行Ping测试，实际部署中，要启用），下一步；图3-29 VPN服务器的接口 在“IP地址指定”页面，选定“自动分配”，（若内网中没有DHCP，则指定一个内网地址段），下一步； 在“管理多个远程访问服务器”页面上，选择“设置此VPN服务器与 RADIUS 服务器一起工作”，下一步； 在“RADIUS服务器选择”页面，在“主RADIUS服务器”对话框中填入RADIUS服务器的IP地址，以及VPN服务器与RADIUA服务器之间的共享秘密，下一步；图3-30 VPN服务器与RADIUA服务器的协同 完成路由及远程访问服务器安装向导的配置； 如果上面选择的是“IP地址指

39、定 自动分配”的话，不要忘了把“DHCP中继代理”指定到DHCP服务器，如下图所示。图3-31 指定DHCP中继l PC：首先配置PC的网卡和IP信息（外网地址），ping测试发现，能ping通VPN服务器，但能ping通内网的计算机如CA、Web等；为什么？右击“网上邻居”选择“属性”，在弹出的“网络连接”页面中，单击“网络任务”中的“创建一个新的连接”，在弹出的“新建连接向导”页面中，单击“下一步”； 在新建连接向导的“连接类型”页面中，选择“连接到我工作场所的网络”，单击“下一步”； 在新建连接向导的“网络连接”页面中，选择“虚拟专用网络连接”，单击“下一步”； 在新建连接向导的“连接名

40、”页面中，在“公司名”对话框内输入合适的公司名称，单击“下一步”； 在新建连接向导的“VPN服务器选择”页面中，填入VPN服务器的IP地址（这里一般要填写VPN服务器的外网接口地址）或主机名，单击“下一步”； 在桌面上创建新建连接的快捷方式，完成新建连接向导。 打开新建的网络连接，如图3-32所示，单击“属性”按钮，在弹出的如图3-33所示的“连接属性”对话框中，选择“网络”选项卡，在“VPN类型”下拉菜单中选中“PPTP VPN”，单击确定； 图3-32 VPN客户端连接的用户输入 图3-33 VPN客户端的连接类型至此，客户端的PPTP VPN连接建立完成，可以用预先在CA上创建的VPN客

41、户端账户登陆测试了，并同时在VPN服务器上用网络监视器，验证连接是否为PPTP连接。l PPTP VPN连接验证 PC端PC端连接成功后，会在工具栏中添加一个新的网络连接的图标，双击打开，在其状态的详细信息选项卡中，能显现本连接的细节，如下图所示。图3-34 客户端VPN连接状态 VPN服务器端在PPTP连接建立后，打开如下图所示的“路由及远程访问”对话框，选中“VPN”下的“端口”选项，会看到右侧的端口列表，找到其状态为“活动”的那个 ，右击选择“状态”，察看该端口的消息信息；图3-35 VPN服务器的端口状态在PPTP连接初始化过程中，打开“网络监视器”，选择在“拨号连接或VPN”捕获，发

42、现能够捕获PPP CHAP的认证信息，如下图所示；试想捕获了这些认证信息，能够分析初什么？图3-36 PPTP连接的认证数据在PPTP连接建立以后，用网络监视器在“外网接口”上捕获，能发现PPTP的数据封装格式，IP封装GRE，GRE封装PPP，PPP封装什么？图3-37 PPTP数据的封装格式此处的捕获，涉及到PPTP协议的细节，篇幅限制，对此不作深入阐述，感兴趣的同学，可以参考相关的资料。方案二：L2TP/IPsec VPN一般而言，如果公司对远程访问安全性要求较高且公司已部署公钥基础架构（PKI），那么最好使用基于L2TP的IPSec来保护；L2TP/IPsec VPN是目前最流行的远程

43、访问解决方案：L2TP的广泛适用性和IPsec的安全性的完美结合。L2TP/IPSec远程访问要求VPN客户端和VPN服务器上都必须有“计算机证书”，而计算机证书的颁发，可以参考实验一的方案三（证书模板的使用及基于组策略的证书分发）。因此，本实验只需在PPTP VPN实验的基础上，稍作改动即可，大致步骤如下：l CA：自动颁发计算机证书设置CA来自动注册计算机证书，请执行下列步骤：1）在域控制器上，编辑活动目录的“默认组策略”；2）在控制台树中，依次打开“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”及“自动证书请求设置”；3）右击“自动证书请求设置”，指向新建，再单击自动

44、证书请求；4）在欢迎使用自动证书请求设置向导页面上，单击下一步；5）在证书模板页面上，选中“计算机”，如图3-20；6）单击下一步，在完成自动证书请求设置向导页面上，单击完成；7）退出组策略编辑器，命令行中输入“gpupdate”更新CA上的组策略；l VPN：在VPN服务器获取计算机证书，请执行下列步骤：命令键入gpupdate或重启系统，更新组策略并自动申请计算机证书。确认VPN服务器获取计算机证书：方法一：在CA的证书颁发机构中，察看已颁发的证书中是否有VPN服务器的计算机证书。方法二：VPN服务器上“开始运行mmc文件添加/删除管理单元添加证书添加计算机帐户本地计算机确定完成”，在打开

45、的“控制台根节点证书（个人计算机）个人”下查看是否有计算机证书。有，说明没有问题；没有，可以在此处申请；若还申请不到，若还申请不到，可以重启系统，再次检查，还没有则说明上面的配置有问题。l PC：在VPN客户端PC上获取计算机证书，请执行下列步骤： 更改网卡、IP，将PC连接到内部网段，作为 域中一台成员计算机，然后以域中的远程访问帐户（如：vpnuser1）登录； 注销，登录到本地计算机，将域中的远程访问帐户（如：vpnuser1）加入本地管理员组中； 重新启动计算机，然后以 域中的远程访问帐户身份登录，计算机与用户组策

46、略将自动更新，即可自动获得计算机证书；验证VPN客户端的计算机证书是否已经颁发：在 VPN客户端PC上，登录到本地计算机，打开“控制台根节点计算机账户本地计算机个人”下查看是否有计算机证书。有，说明没有问题；如下图所示。没有，可以在此处申请；若还申请不到，说明上面的配置有问题。图3-38 VPN客户端上的计算机证书创建到VPN服务器的L2TP/IPsec的VPN连接： 更改网卡和IP地址，模拟Internet网络，以域中的远程访问帐户登录； 创建PC到VPN服务器的L2TP/IPsec VPN连接，具体步骤可参考PPTP VPN，下面只给出关键参数； 如图3-39所示，在VPN连接的“网络”选

47、项卡中，选择VPN 的类型中的“L2TP IPSec VPN”； 图3-39 VPN连接的L2TP IPsec VPN 图3-40 L2TP/IPsec VPN的连接状态 L2TP/IPsec VPN连接创建完成后，用域内创建好的远程访问帐户登录。l 验证L2TP/IPsec VPN：PC端：PC端L2TP/IPsec VPN连接成功后，可以察看其状态的详细信息，如验证方法、加密协议等等，如图3-40所示。VPN端：在VPN服务器上启用网络监视工具，并监视VPN服务器的外网接口，验证L2TP/IPsec连接的通信细节如下图所示。从图片中我们可以清晰地看到IPsec对通信双方的保护（ISAKMP

48、协商及ESP通信加密保护，此处涉及IPsec协议的细节，请同学们参考教材，来进一步的分析）。图3-41 L2TP/IPsec VPN的通信解析方案三：EAP-TLS VPN从上面L2TP/IPsec VPN的实验现象中我们可以看出：VPN服务器与VPN客户端之间的通信，已非常牢靠（IPsec来认证和加密）；但是IAS服务器和VPN服务器之间呢？仍是“共享秘密”若您要以最安全的用户层身份验证协议来验证VPN客户端，则应使用 EAP-TLS（可扩展身份验证协议-传输层安全）；在生产环境中，建议您使用智能卡来执行EAP-TLS身份验证，而不要使用本地安装的用户证书（智能卡大多是证书的载体）。EAP-

49、TLS 远程访问要求VPN客户端必须有用户证书而IAS服务器必须有计算机证书（且两个证书之间必须有信任关系，即信任共同的根CA）。因此，EAP-TLS VPN的实验只需在L2TP VPN实验的基础上，稍加改动即可。大致步骤如下：l CA： “计算机证书”的自动颁发已在上步试验中设置过，这里只进行“用户证书”的自动颁发设置。Server 2003中用户证书的模板是V1模板，必须转换成V2模板之后才能使用。若要设置CA来自动注册用户证书，请执行下列步骤：V1证书模板向V2证书模板的转换： 单击开始与运行，输入 mmc 之后，再单击确定； 在文件菜单中，单击添加/删除插件，再单击添加； 在添加独立管

50、理单元下，选择证书模板，添加关闭确定； 在控制台根节点中，选择证书模板，将在右侧的窗格中详细信息显示所有证书模板，如下图3-42所示；图3-42 选择用户证书模板在详细信息窗格中，右键单击“用户”模板，在弹出的菜单中，单击“复制模板”，在弹出的如图3-43所示的“新模板属性”对话框中的“常规”选项卡，在“模板显示名称”一栏中，输入VPNUsers并确认已选定“在Active Directory 中颁发证书”的复选框； 图3-43 复制V1模板 图3-44 证书模板的申请权限单击“安全”选项卡，在弹出的如图3-44所示的“安全”选项卡中，给予相关用户授予合适的权限（必须）。这里，我们给予“Dom

51、ain Users”“读取”、“注册”和“自动注册”的权限，单击确定，复制后的“VPNUsers”模板变成了鲜亮的彩色，由此可以确定已经完成由V1模板向V2模板的转换； 用户模板的启用如下图所示，打开CA中的“证书颁发机构”，打开“证书颁发机构（本地）”下的“MyPKI-Root（自定义的CA名称）”，右击“证书模板”，选择“新建”，单击“要颁发的证书模板”，在弹出的对话框中选择自定义的证书模板“VPNUsers”，然后单击确定。图3-45 启用自定义的用户证书模板 用户证书的自动颁发如下图所示，编辑Active Directory的组策略，在控制台树中，依序打开“用户配置”、Windows 设置、安全设置以及公钥策略，在右侧的详细信息窗格中，双击打开“自动注册设置”，选定“自动注册证书”、“续订过期的证书、更新未决证书并删除已吊销的证书”和“更新使用证书模板的证书”三个复选框，单击确定； 图3-46 设置用户证书的自动注册完成设置，最后更新组策略。l IAS：若要在IAS