网络安全通信课件

第7章网络安全通信​网络安全通信课件全文共55页，当前为第1页。实验7－1－1：允许Ping入本机但无法访问本机资源一般情况下，在局域网几台Windows操作系统主机之间既可以互相Ping，又可以互相访问对方的资源。如果有某台主机不想让其它主机看到自己的资源，可以采用IPsec方法实现。

​网络安全通信课件全文共55页，当前为第2页。一、实验目的了解设置IPsec策略前后两台主机之间通讯、远程管理之间的区别。

​网络安全通信课件全文共55页，当前为第3页。二、实验设备3台Windows操作系统主机，最好是Server主机。

​网络安全通信课件全文共55页，当前为第4页。三、实验步骤1、点击A机桌面上的开始工具栏－>运行－>输入mmc。2、在控制台界面中点击“文件”菜单－>添加/删除管理单元－>在“独立”标签卡中，点击“添加”钮，添加“IP安全策略管理”（即IPsec），如图7－1、图7－2、图7－3、图7－4。

图7-1控制台界面图7-2添加IPSec管理控制单元图7－3设置IPSec管理单元的管理范围图7－4为本机添加IP安全策略

​网络安全通信课件全文共55页，当前为第5页。三、实验步骤3、在图7－5的控制台界面中，双击“IP安全策略”，在右边栏选择“安全服务器”－>右击－>属性，如图7－6。图7－5添加IP安全策略后的控制台界面图7－6设置安全服务器属性

​网络安全通信课件全文共55页，当前为第6页。三、实验步骤4、在图7－7所示的界面中，选择“规则”标签卡中的“所有IP通讯量”，并点击“编辑”钮。在图7－8所示的界面中，选择“身份验证方法”标签卡。在图7－9所示的界面中，选择“Kerberos”，点击“编辑”钮。在图7－10所示的界面中输入“123456”的密钥，点击“确定”钮。

图7－7设置安全服务器规则图7－8设置IP筛选器列表图7－9设置身份验证方法图7－10设置密钥5、在图7－11所示的界面中，选择“安全服务器”－>右击－>指派。图7－11指派安全服务器规则

​网络安全通信课件全文共55页，当前为第7页。三、实验步骤6、测试：局域网中的其它主机对这台进行IP安全策略的主机进行Ping指令，发觉Ping得通；再在其它主机上访问这台主机的共享资源，发觉无法访问了。思考：如果其它主机既想Ping通该实验机，又想访问至该实验机的资源，应该如何配置？

答案：当且仅当和实验机做一模一样的配置（包括密钥需要与实验机完全一致）。7、扩展：观察安全服务器策略被指派之后A机上流出的数据包有什么变化？

​网络安全通信课件全文共55页，当前为第8页。四、实验小结在某台实验机上设置IP安全策略之后，如果其它主机想访问该实验机，当且仅当在本机上与实验机做同样的设置才可以。否则，无法正常访问。

​网络安全通信课件全文共55页，当前为第9页。实验7－1－2：禁止Ping入本机但允许访问本机资源黑客获得受害主机信息的第一步便是获得受害主机的操作系统版本信息，这个过程是通过黑客机向受害主机进行Ping操作并根据其所得的TTL返回值而判断的。所以，如果在局域网中防止其它已经成为跳板的主机对自己的攻击，就需要将ICMP协议禁用。

​网络安全通信课件全文共55页，当前为第10页。一、实验目的掌握通过设置IPsec的方法限制其它主机对本机的Ping操作，进而限制ICMP协议。

​网络安全通信课件全文共55页，当前为第11页。二、实验设备3台Windows操作系统主机，最好是Server主机。

​网络安全通信课件全文共55页，当前为第12页。三、实验步骤1、点击A机桌面上的“开始”工具栏－>运行－>输入mmc。2、在控制台界面中点击“文件”菜单－>添加/删除管理单元－>在“独立”标签卡中，点击“添加”钮，添加IP安全策略管理（IPSec）。

​网络安全通信课件全文共55页，当前为第13页。三、实验步骤3、在控制台界面中，展开“IP安全策略”，右击“IP安全策略”－>“创建IP安全策略”，如图7－12。给新的IP安全策略命名为“阻止ping命令”，如图7－13。在复选框中选择“激活默认响应规则”，如图7－14。图7－12创建新的IP安全策略图7－13为新的IP安全策略命名图7－14设置安全通讯请求4、在图7－15所示的界面中，输入“123456”作为密钥，点击“下一步”钮，确定。图7－15设置身份验证密钥

​网络安全通信课件全文共55页，当前为第14页。三、实验步骤5、在如图7－16的控制台窗口中选择“阻止Ping命令”并双击－>在“规则”标签卡中添加规则，如图7－17。图7－16为新的IP安全策略添加规则图7－17设置新的安全规则6、在图7－17所示界面中，按照系统的默认配置一步一步完成，如图7－18。在“身份验证方法”标签卡中输入的密钥为“123456”（与刚才设置的一致），如图7－19。图7－18设置网络连接类型图7－19设置密钥

​网络安全通信课件全文共55页，当前为第15页。三、实验步骤7、在如图7－20所示的“IP筛选器列表”设置栏处，点“添加”钮，将新的筛选器命名为“notping”，源地址为任何地址，目标地址为我的IP，协议类型为ICMP，点击“确定”。图7－20设置新建规则的筛选器列表

​网络安全通信课件全文共55页，当前为第16页。三、实验步骤8、返回至IP筛选器列表设置栏，选中“notping”－>下一步，选择“需要安全”，如图7－21。再点击“下一步”，按照系统默认的配置设置，直到完成。图7－21设置新建规则的筛选器操作9、在控制台界面中按照图7－22所示进行指派。图7－22指派新建规则

​网络安全通信课件全文共55页，当前为第17页。三、实验步骤10、测试：网络中其它主机已经无法Ping通A机，但是可以访问A机的资源。思考：如果其它主机既想Ping通A机，又想访问至A机的资源，应该如何配置？

答案：当且仅当和A机做一模一样的配置（包括密钥得与A机一致）。

​网络安全通信课件全文共55页，当前为第18页。四、实验小结由本实验可以看出，使用IP安全策略限制ICMP协议之后，当且仅当两台主机之间的IP安全策略设置得完全一样时，两台机器之间既可以相互Ping通又可以相互访问。否则，两台机器只能互相访问对方资源但无法Ping通。​网络安全通信课件全文共55页，当前为第19页。实验7－1－3：利用IPSec筛选表屏蔽危险端口Windows操作系统主机默认有一些不安全的设置，其对应的服务在默认情况下是自启动的，可以通过屏蔽危险端口的方法将其关闭。

​网络安全通信课件全文共55页，当前为第20页。一、实验目的掌握通过设置IPsec的方法屏蔽本机的危险端口。

​网络安全通信课件全文共55页，当前为第21页。二、实验设备3台Windows操作系统主机，最好是Server主机。

​网络安全通信课件全文共55页，当前为第22页。三、实验步骤1、点击A机桌面上的“开始”工具栏－>运行－>输入mmc。2、在控制台界面中点击“文件”菜单－>添加/删除管理单元－>在“独立”标签卡中，点击“添加”钮，添加IP安全策略管理。

​网络安全通信课件全文共55页，当前为第23页。三、实验步骤3、在控制台界面中，展开“IP安全策略”，右击“IP安全策略”－>管理IP筛选器列表和筛选器操作，如图7－23。在图7－23的界面中，找到“管理IP筛选器列表”标签卡，添加“IP筛选器列表”：点击“添加”钮，命名为“禁用危险端口”，如图7－24；点击“添加”钮，源地址设置为“任何IP”，目标地址设置为“我的IP”，如图7－25，协议类型设置为“TCP”；在“IP协议端口”设置中，源端口设置为任何端口，目标端口设置为445，并确定。在弹出的界面中，不选择“使用添加向导”如图7－26。图7-23管理筛选器列表和筛选器操作图7-24新建IP筛选器列表图7－25设置筛选器屏蔽端口图7－26确认筛选器列表的设置

​网络安全通信课件全文共55页，当前为第24页。三、实验步骤4、返回“管理IP筛选器列表和筛选器操作”界面，如图7－27。在图7－27的界面中，切换至“管理筛选器操作”标签卡，如图7－28。在图7－28所示的界面中，添加“筛选器操作”：点击“添加”钮，并将“新的筛选器操作”命名为“阻止高危端口”；将“筛选器操作”类型选择为“协商安全”，如图7－29；再选择“不和不支持Ipsec的计算机通讯”，如图7－30；然后按照系统默认的步骤点击、确定、关闭，如图7－31。

图7－27“管理IP筛选器列表和筛选器操作”界面图7－28添加筛选器操作图7－29设置筛选器操作的行为图7－30配置通讯计算机的类型图7－31添加筛选器操作后的界面

​网络安全通信课件全文共55页，当前为第25页。三、实验步骤5、在图7－32所在的界面中，右击“IP安全策略”－>创建新IP安全策略，并将策略命名为“屏蔽危险端口”，按照默认配置完成，如图7－33、7－34、7－35、7－36。选中“屏蔽危险端口”策略，右击－>属性，在“规则”标签卡中选“添加”钮，选择刚才添加过的“禁用危险端口”筛选器列表，如图7－37。在“筛选器操作”中选择刚才添加过的“阻止高危端口”，如图7－38。图7－32创建新的IP安全策略图7－33运行安全规则向导图7－34设置安全规则图7－35选择网络类型图7－36设置身份验证方法和密钥图7－37选择筛选器列表图7－38选择筛选器操作

​网络安全通信课件全文共55页，当前为第26页。三、实验步骤6、指派：在管理控制台界面中选择“屏蔽危险端口”，将它指派，如图7－39。图7－39指派“屏蔽危险端口”规则7、测试：网络中其它主机无法访问到实验机的默认共享资源。​网络安全通信课件全文共55页，当前为第27页。三、实验步骤8、推广：可以用刚才类似的方法将UDP协议的445端口，以及TCP和UDP的135端口禁用。思考：如果其它主机既想Ping通实验机，又想使用至实验机的资源和服务，应该如何配置？答案：当且仅当和实验机做一模一样的配置（包括密钥得与实验机一致）。

​网络安全通信课件全文共55页，当前为第28页。四、实验小结通过使用IP安全策略的方法可以实现对某台主机危险端口的屏蔽。其它主机如果想对实验机的危险端口进行访问，当且仅当它的IP安全策略与实验机设置得完全相同时才可以。由此可见，使用IPsec之后可以允许或拒绝不同类型的通信，而且通过使用IPsec的方法可以实现网络安全纵深防御中的网段安全隔离与维护。

​网络安全通信课件全文共55页，当前为第29页。实验7－2：利用PGP软件实现电子邮件加密使用TCP/IP系列的很多协议和应用程序是以明文传输数据的，其数据包中的敏感信息会被网络嗅探工具所拦截。加强数据的机密性的一个方法是加密数据，即将要传输的信息转换成为除预期的接受者之外的任何人都不能理解的格式的过程。只有当接收方具有合适密钥的时候才能将密文数据转换成明文数据。加密技术也可以用来验证发送方的身份（签名）和消息的保密性。使用PGP或者GPG软件可以实现这些功能，PGP是用于文件加密和电子邮件加密的软件，是为防止网络中私人邮件被窃听而使用的。

​网络安全通信课件全文共55页，当前为第30页。一、实验目的了解PGP软件的使用，了解对称加密、非对称加密、数字签名的实现原理。

​网络安全通信课件全文共55页，当前为第31页。二、实验设备3台Windows主机。

​网络安全通信课件全文共55页，当前为第32页。三、实验步骤1、首先在A机上安装Mdaemon电子邮件服务器，并和。在B机和C机上启动outlook，，。

​网络安全通信课件全文共55页，当前为第33页。三、实验步骤2、在B机上安装PGP。

（1）这是选择需要安装的PGP组件，建议全选，如图7－40。然后屏幕提示让你选择密钥存储的目录，使用默认路径即可。图7－40安装PGP软件的界面（2）会出现图7－41的提示，问是不是马上创建密钥？选否。图7－41提示是否马上创建密钥

​网络安全通信课件全文共55页，当前为第34页。三、实验步骤3、创建一对密钥。

（1）在开始菜单―>程序―>PGP中点击运行PGP。

（2）单击“密钥”菜单条—>新建密钥，如图7－42。为zff添加姓名、电子邮箱（），如图7－43。下面是向导界面，按照提示一步一步做，如图7－44、图7－45、图7－46。在“密钥管理密码”界面中输入的密钥管理密码，如图7－47。点击“下一步”┉直至完成，如图7－48、图7－49、图7－50所示。图7－42PGP密钥管理器主界面图7－43输入密钥名称、邮件地址图7－44选择密钥类型图7－45选择密钥长度图7－46选择密钥时效图7－47输入密钥管理密码图7－48生成zff的密钥对图7－49选择是否发送密钥匙到根服务器图7－50成功生成密钥对

​网络安全通信课件全文共55页，当前为第35页。三、实验步骤4、在C主机上一对密钥。5、：选择需要导出的密钥—>右击—>导出(或者在“密钥管理器”的菜单栏上选择需要导出的密钥―>导出)。弹出导出对话框，如图7-51。可以将的桌面。图7-51导出zff密钥.6、同理，在C机上安装PGP并生成qjy的密钥对，至桌面。

​网络安全通信课件全文共55页，当前为第36页。三、实验步骤7、。（1）在B机的OUTLOOK环境中，邮箱身份将刚才保存至本机桌面的@company.mail邮箱。可用以下的两种方式实现：①通过文本的形式传播公钥：可以用记事本打开公钥文件zff.asc，如图7-52。只要复制其中的全部文本传递给别人，别人用记事本打开进行复制，然后另存为.asc格式，再双击导入即可。图7-52用记事本打开zff的公钥文件②也可以将公钥文件作为电子邮件的附件发给对方邮箱。

注意：只有一段的是公钥，有两段的是公钥加私钥。这里需要谨慎传递！（2）同理，C机上的@company.mail邮箱。

​网络安全通信课件全文共55页，当前为第37页。三、实验步骤8、使用公钥加密文件。（1）加密：最好在加密前将文件打包（比如用RAR压缩），选择需要加密的文件->右击->PGP->Encrypt弹出加密对话框，选择一个加密用的公钥，在要用的公钥上双击即可完成加密。加密完成后，会生成后缀名为.pgp的加密文件。（2）解密：双击这个文件对其解密，如图7-53。

如果没能输入正确的密钥，便会出现错误提示框。因为我们虽然有他的公钥，可以加密，但是没有他的私钥，无法解密。现在用自己的公钥创建一个加密文件，双击进行解密。输入管理密码（私钥），即可完成解密。图7-53对加密文件进行解密的界面

​网络安全通信课件全文共55页，当前为第38页。三、实验步骤9、通过PGP进行电子邮件加密通信。其实邮件加密很简单，就是对邮件的文本进行加密处理。这个需要用到PGP的托盘图标，托盘没有一个锁图标，在PGP的安装目录中双击PGPtray文件即可。（1）首先进入qjy邮箱，写好收件人邮箱地址、邮件标题、正文。然后选中需要加密的邮件正文，如图7-54。图7-54选择需要加密的邮件正文（2）然后直接在托盘的锁图标上单击右键，选择“当前的窗口”―>“加密”，如图7-55。图7-55加密被选择的邮件正文（3）弹出选择公钥对话框。选择相应的公钥（用zff的公钥），采用与加密文件相同的步骤，然后点击“确定”即可看到被加密过的文本，如图7-56，并点击“发送”钮。图7-56加密后的邮件正文（4）打开zff邮箱，选择所有加密过的文本，在托盘的锁图标上单击右键，选择“当前的窗口”―>“解密&验证”，如图7-57。然后在弹出的对话框中输入密钥的管理密码（只有zff帐号才拥有的，与加密公钥相对应的私钥），再点击“确定”即可看到原文，如图7-58，表示解密成功。这样就可以保证电子邮件的安全性。图7－57对加密后的电子邮件正文进行解密图7－58解密后的电子邮件正文​网络安全通信课件全文共55页，当前为第39页。三、实验步骤10、PGPdisk工具：硬盘上保留一块空间存放敏感数据，创建一个名为PGPdisk的卷。如果别人不知口令就无法访问它。11、扩展：混合加密（包括数字签名和电子邮件正文加密）。步骤与电子邮件加密相似，只是在进行加密时选择“加密&签名”，这样还可以对发送方进行身份验证。对于接收方来讲与电子邮件解密类似，只是解密时选择“解密&验证”。

​网络安全通信课件全文共55页，当前为第40页。四、实验小结加密程序的安全性取决于算法、密钥。PGP是个融加密、解密、数字签名为一体的软件，通过PGP软件的使用可以充分理解对称加密、非对称加密、混合加密的工作原理。​网络安全通信课件全文共55页，当前为第41页。实验7－3：Windows2003Server的Web证书服务HTTP是以明码传输信息的协议。在访问Web站点时，如果没有较强的安全措施，用户访问的数据是可以使用网络工具捕获并分析出来的。在Web站点的身份验证中，有一种基本身份验证方法，它要求用户访问时输入的用户名和密码是以明文形式发送的，蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。此外，在HTTP协议的通信过程中有可能被流氓服务器假扮成真正的服务器，对受害主机进行钓鱼式攻击。为避免这个问题，可利用SSL通信协议在Web服务器上启用安全通道以实现高安全性。SSL安全套接字协议是用来管理信息加密的。当使用SSL连接到Web服务器时，地址栏中的URL会显示为HTTPS。SSL使用TCP的443端口。

​网络安全通信课件全文共55页，当前为第42页。一、实验目的了解Windows2003Server环境下的证书服务的作用，掌握证书的安装、配置方法。

​网络安全通信课件全文共55页，当前为第43页。二、实验设备1、实验设备：2台Windows主机，其中一台为Windows2003Server。2、实验拓朴如图7－59。在安装证书服务之前，已经在服务器上建了Web站点，并配置了DNS服务器。图7－59实验拓朴图

​网络安全通信课件全文共55页，当前为第44页。三、实验步骤1、客户机将自己设置成为DNS服务器的客户端，在本机的IE浏览器中访问Web站点，效果如图7－60。图7－60使用SSL之前对Web站点的浏览效果

​网络安全通信课件全文共55页，当前为第45页。三、实验步骤2、服务器上安装证书服务。（1）打开“控制面板”－>“添加/删除Windows组件”，勾选“证书服务”复选框，如图7－61。图7－61添加证书服务组件（2）在图7－62中选择独立根CA。说明：①企业根CA：如果选择它，则需要AD服务──即计算机在活动目录中才可以使用。②企业从属CA：如果选择它，必须从另一台CA（父CA）上获取它的证书。③独立根CA：如果选择它，该服务器可以在AD中，也可以不在AD中。图7－62选择CA类型（3）在图7－63界面中，在此CA的公用名称中输入CA的名称，一般是域名称，这里输入h123。图7－63设置CA识别信息（4）设置证书数据库以及日志的路径，如图7－64。如果要卸载证书服务，必须删除证书数据库，否则无法再次安装证书服务。图7－64设置证书数据库及日志路径（5）安装完成后，会在IIS管理器“默认站点”中添加一个虚拟目录，如图7－65。并在浏览器中输入时出现Microsoft证书服务页面，如图7－66。图7－65IIS中添加一个虚拟目录图7－66证书服务页面​网络安全通信课件全文共55页，当前为第46页。三、实验步骤3、生成证书申请（1）打开“IIS管理器”－>右击“默认网站”选择“属性”－>在“目录安全性”选项卡中单击“服务器证书”按钮，开始证书的申请，如图7－67。图7－67开始申请证书（2）在图7－68所在界面中选择“新建证书”。图7－68新建证书注意：如果可以直接联系到网络中的CA（一般是企业CA），则可以选择“立即将证书请求发送到联机证书颁发机构”，此后就不需要生成证书申请了。​网络安全通信课件全文共55页，当前为第47页。三、实验步骤（3）在图7－69所在界面中选择“现在准备证书请求”。图7－69准备证书请求（4）在图7－70的界面中输入密钥位长。图7－70输入密钥位长（5）在图7－71界面中输入单位信息、部门，单击下一步。图7－71输入单位信息（6）在图7－72界面的“公用名称”中输入Web站点的域名,填写国家、地区等详细资料。图7－72输入站点公用名称（7）输入“证书请求的文件名”，如图7－73。图7－73输入证书请求的文件名

​网络安全通信课件全文共55页，当前为第48页。三、实验步骤4、申请、下载证书。上一步已经生成了证书的申请，此时我们需要申请证书（如果在生成证书申请中选择“立即将证书请求发送到联机证书颁发机构”，就不需要这一步）。（1）用记事本打开“证书请求的文件”（c:\certreq.txt）并复制所有内容，如图7－74。图7－74用记事本打开证书请求的文件（2）在浏览器中输入“”打开Microsoft证书服务，并单击“申请一个证书”，如图7－75。图7－75Microsoft证书服务界面（3）在图7－76所在界面中选择“高级证书申请”。图7－76申请高级证书（4）在“高级证书申请”窗口中，选择第二项（使用base64），如图7－77。图7－77选择证书类别（5）在“提交一个证书申请”窗口中，选择“Base-64”，并将刚刚复制的内容粘贴到文本框上，单击“提交”按钮，如图7－78。图7－78提交证书申请的界面​网络安全通信课件全文共55页，当前为第49页。三、实验步骤（6）颁发证书。①打开“管理工具”中的“证书颁发机构”，在证书颁发机构中点击“挂起的申请”，右击右边的任务，选择“所有任务”－>“颁发”，如图7－79，这样CA给Web颁发了证书。图7－79颁发证书注意：在安装证书服务时，如果选择“企业根CA”则不需要颁发证书，直接处于“颁发状态”，如果选择“独立CA”则必须颁发证书。②下载证书。再次打开Microsoft证书服务界面，选择“查看挂起的证书申请的状态”，在查看挂起的证书申请的状态窗口中单击“保存的申请证书┉”，如图7－80。如果此时证书还没有被颁发，或颁发了还未被通知，出现图7－81的界面。如果此时证书已颁发，勾选“Base64编码”，并单击“下载证书”，完成证书的下载，如图7－82。图7－80查看挂起的证书申请的状态图7－81没有挂起证书申请的提示图7－82颁发证书的提示​网络安全通信课件全文共55页，当前为第50页。三、实验步骤5、在Web服务器上安装证书。（1）打开“IIS管理器”－>右击“默认网站”－>属性－>打开“目录安全性”选项卡，并单击“服务器证书”，开始安装证书，如图7－83。图7－83挂起的证书请求（2）选择证书下载的目录，如图7－84。图7－84选择证书下载的目录（3）设置SSL使用端口，默认为443，如图7－85。图7－85设置SSL的使用端口（4）查看安装的证书概要信息，单击下一步―>完成，完成了证书的安装，如图7－86。图7－86完成证书安装

​网络安全通信课件全文共55页，当前为第51页。三、实验步骤（5）完成证书的安装后，在“目录安全性”选项卡中单击“安全通道”的“编辑”按钮，出现“安全通信”对话框，在安全通信对话框中勾选“要求安全通道（SSL）”、“要求128位加密”前的复选框，如图7－87。图7－87IIS中设置站点的安全通信关于“客户端证书”框架的设置说明：①忽略客户端证书：无论用户是否拥有证书，都将被授予访问权限，客户端不需要申请和安装客户端证书（此实验可以先选①项或②项查看效果,有效果之后客户机再在IE中输入或申请高级证书----即客户端浏览器证书成功并安装后，再选择第③项）。。②接受客户端证书：用户可以使用客户端证书访问资源，但证书并不是必需要求的。客户端不需要申请和安装客户端证书。③要求客户端证书：服务器在将用户与资源连接之间要请求客户端证书。客户端必需申请和安装客户端证书（建议选择此项）。​网络安全通信课件全文共55