《网络安全技术》课件第9章

第9章Internet安全9.1WWW服务安全9.2FTP服务安全9.3电子邮件的安全9.4SSL协议9.5IPSec协议9.6Internet安全技术实例习题

9.1WWW服务安全

万维网(WorldWideWeb)又简称为Web，是网络最常用的服务。通过Web访问，人们可以进行信息获取、交流及电子交易等所有商业或非商业的活动。目前多数的攻击都是针对Web进行的，因为它是能够获取的最直接的资源，通过入侵Web服务器从而掌控主机系统，再进一步深入到该主机所在的网络中获取更多的资源已经成为了黑客攻击的一种最常见的模式。如何保护Web站点和服务安全也成为了管理员最先要考虑的重要的问题，而Internet和Web技术的开放性和多层次性也决定了对于Web的保护也是最复杂的。Web服务采用客户/服务器(Client/Server)结构，由客户端(浏览器)、服务端(Web服务器)和通信协议(超文本传输协议)三部分组成。Web的服务安全，除了要保护上述三个部分的安全以外，还要包括Web程序设计安全、Web数据访问安全，还有相关的主机安全和网络安全，所有的环节中有一处出现问题，则整个Web服务都是不安全的。

1.

Web客户端安全

Web客户端即为Web浏览器，是用于向服务器发送资源访问请求，并将收到的信息显示给用户的客户端软件。目前市场上常用的浏览器有MicrosoftInternetExplorer(IE)、火狐(Firefox)浏览器、NetScapeNavigator网景浏览器和Opera浏览器等。由于IE浏览器是随着Windows免费发送的，因此成为目前使用人数最多的浏览器，不过IE的各版本均存在着各种严重的安全漏洞，即使最新版本IE7做了很多的修补，但仍有许多的安全问题尚待解决。以WindowsServer2003自带的IE6.0为例，

对于IE浏览器的安全配置主要有以下几个方面：1)漏洞修补

任何时候、任何版本的浏览器都不可避免地出现安全漏洞，这时最主要的就是时时关注软件发布网站，及时修补浏览器漏洞，以免黑客掌握了该漏洞而对系统造成威胁。

2)

IE安全配置

(1)打开IE浏览器后单击菜单上的“工具”→“Internet选项”，选择“安全”选项卡，如图9.1所示。图9.1Internet安全选项配置在图9.1窗口中通过设置“受信任的站点”和“受限制的站点”可以将网上提供访问服务的站点进行分类，单击“自定义级别”按钮打开【安全设置】窗口，可以对浏览器支持的各种组件和控件等进行设置，也可以设置安全级别为“高”、“中”、“中低”和“低”四个级别。对于普通的用户来说，可以直接选择安全级别，而如果用户对各项配置均比较熟悉，则可根据实际需求决定启用、提示或禁止某项功能。(2)在图9.1所示的【Internet选项】窗口中，选择“隐私”选项卡可以对隐私和弹出窗口进行设置，如图9.2所示。

Cookie是一个存储于浏览器目录中的文本文件，用于存储用户访问Web站点的信息。多数Cookie记录的是用户访问站点的普通信息，如用户的击键信息或访问过的URL信息等，但也有一些站点利用Cookie记录用户的登录信息，因此对用户的隐私造成一定的威胁。对于Cookie的设置，一般有“阻止所有Cookie”、“高”、“中高”、“中”、“低”和“接受所有的Cookie”六种，一般设置以“中高”或“中级”为主，因为低级没有作用，而太严格限制Cookie的话会导致很多网站不能访问。阻止弹出窗口也有“高”、“中”、“低”三个级别供用户选择，也可以通过站点的限定决定是否允许其弹出窗口。一般情况下，对于信任的站点应允许其弹出窗口，否则很多弹出页面不能访问。图9.2Internet隐私选项配置(3)在图9.1【Internet选项】窗口中，选择“内容”选项卡可以对访问的Web站点内容进行审核分级，限定访问哪类网站需要输入密码。此项功能主要对未成年人访问网上站点进行限制，防止其访问不良网站。证书的设置主要用来管理浏览器用户个人的数字证书或受信任的证书颁发机构颁发的数字证书，以便当浏览器访问某站点时可以对该站点的数字证书颁发机构进行鉴别，从而决定是否信任该网站，如图9.3所示。

(4)在图9.1【Internet选项】窗口中，选择“高级”选项卡可以对安全和浏览等其他功能进行限制，如图9.4所示。图9.3Internet内容选项配置图9.4Internet高级选项配置

2.

Web服务器安全

Web服务器是驻留在服务器上的软件，它的作用是管理大量的信息，并按用户的要求返回信息。Web服务器安全主要包括以下几个方面：

1)漏洞修补

任何时候、任何版本的浏览器都不可避免地会出现安全漏洞，这时最主要的就是时时关注软件发布网站，及时修补浏览器漏洞，以免黑客掌握了该漏洞而对系统造成威胁。2)

Web服务器配置

Web服务器配置主要在站点属性中进行配置，与安全相关的主要包括“网站”、“主目录”、“目录安全性”、“性能”等主要选项卡配置。

(1)“网站”选项卡：在此窗口中更改Web端口号，可以使黑客对服务器所在主机的端口扫描信息判断失误。另外，通过设置连接超时参数可以防止用户无限连接网站，大量占用资源；也可以通过启用日志记录对Web站点访问的重要信息进行记录，从而追查攻击的来源和痕迹。“网站”选项卡设置界面如图9.5所示。图9.5Web站点属性界面(2)“主目录”选项卡：首先确保访问目录不能放在系统目录下，其次严格限定对站点目录文件访问的权限，可以通过Web站点进行限制，还要通过系统设置，对该目录访问进行权限限制，一般设置权限为“读取”。除此之外，对站点上的应用程序还要进行设置，一般禁止执行应用程序，防止被黑客利用攻击系统。但如果确实需要提供此功能，一定要对该程序进行严格控制，防止其被非法使用。“主目录”配置如图9.6所示。图9.6Web站点主目录配置(3)“目录安全性”选项卡：包括“身份验证和访问控制”、“IP地址和域名限制”和“安全通信”三项设置。其中“安全通信”应用将在9.6.1节中进行介绍，“IP地址和域名限制”比较简单，主要是对授权或拒绝访问的IP或域名进行限制，而“身份验证和访问控制”包含了用户访问Web站点的几种身份认证方法，如图9.7所示。图9.7Web站点身份验证方法配置一般Web站点访问是允许用户以匿名方式访问服务器的，但是如果是内部网站，建议可以取消匿名访问方式，而是以系统身份认证来进行，如选择“集成Windows身份验证”或者“Windows域服务器的摘要式身份验证”，但不建议采用“基本身份验证”，因为该验证信息是以明文方式发送密码，容易被截获。如果采用系统身份认证的方式来访问站点，一定要注意用户的权限应该是最小权限，不能扩大其权限以免被黑客利用从而对系统造成威胁。(4)“性能”选项卡：通过限制网站带宽可以防止由于大量对该网站的访问消耗网络带宽资源从而影响其他网络服务；而限制网站连接数可以防止过多用户同时连接网站而使服务器性能下降。这两项设置都可以防止黑客进行拒绝服务攻击。

除了以上对服务器安全设置以外，还应该加强对Web服务器的安全管理，如以安全的方式更新Web服务器，定时审计有关日志记录，对Web数据进行必要的备份，定期检查Web服务器安全设置，安装新的工具、软件等。3)

Web通信协议安全

Web浏览器和服务器之间采用超文本传输协议(HyperTextTransferProtocol,HTTP)进行通信传输。HTTP在TCP/IP协议栈中属于应用层，是Web应用的核心协议技术。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式，以及Web页面在Internet上的传输方式。HTTP最主要的安全问题就是明文传输信息，因此信息容易被截获，如果是用户敏感信息，如信用卡信息被黑客截获，则会对用户造成重大损失，因此必须采用加密技术对Web信息进行加密，最常用的Web安全协议是安全套接层(SecureSocketLayer,SSL)协议和安全电子交易协议(SecureElectronicTransaction，SET)。SSL协议能够保证信息的真实性、完整性和保密性，能够在Web客户端和服务器端之间建立一个安全连接，保证数据传输安全。但是，由于SSL协议当初并不是为支持电子商务而设计的，不能对应用层的数据进行签名，因此没有办法提供交易的不可否认性等其他更复杂的安全功能，于是便产生了专门用于保障电子交易安全的一系列协议，其中最常用的就是SET协议。SET协议是由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构共同定制的应用于Internet上的以银行卡为基础进行在线交易的标准。它采用公钥密码体制和X.509数字证书标准，保障了网上购物信息的安全。4)

Web数据安全

SQL注入攻击是Web最重要的攻击方式之一。SQL注入是一种特殊形式的输入验证，攻击者通过发出原始的SQL语句来试图操纵应用程序数据库。由于大多数SQL注入攻击，如执行命令、检索任意数据，都需要使用一些通常不会出现在现实中的特殊语法，因此防范SQL注入攻击的最好对策是依靠强大的输入验证例程，如在数据库应用程序层面上采取一些特殊措施，包括使用强类型的变量和数据库列定义、将查询结果赋给强类型变量、限制数据长度、避免通过字符串连接创建查询，以及在数据库中采用数据分离和基于角色的访问控制等。除此之外，还要限制使用低权限的数据库帐户来执行SQL查询，即该帐户可能创建并修改与应用程序有关的表，但不能执行类似重启数据库或修改系统表的操作。5)

Web程序安全

Web程序安全直接影响着Web服务，开发者按照良好的编码标准能够抵御绝大多数的攻击，比如对错误进行适当的处理并且对用户提供的数据进行严格的输入验证。常用的安全程序设计包括对用户名、密码及敏感的用户行为等各种信息的验证；对会话和数据库进行正确处理；对应用程序进行审核等等。只有程序安全，才不会被黑客找到漏洞并加以利用，从而对系统造成威胁。

9.2FTP服务安全

FTP服务是基于TCP/IP协议的文件传输协议，在局域网和广域网中可以用来上传和下载任何类型的文件。大多数提供FTP服务的站点都允许用户以anonymous作为用户名，以自己的邮件地址做密码进行登录，甚至很多情况下不需要用户密码，即提供匿名FTP服务。匿名FTP服务给用户的使用带来了很大的方便，但是如果对服务器配置不当将会给系统带来安全威胁，如使用者越权申请系统上其他的区域或文件。同时，如果FTP服务器允许用户上传自己的文件，那么可能会有用户有意或无意地上传携带病毒或木马的文件，不仅会使站点受到破坏，而且也会使其他用户下载该文件后在自己机器上执行时受到影响，因此，要加强对FTP服务器中可写目录的监控。除此之外，FTP服务应限定磁盘空间的使用，以免被过多资源占用后对系统性能造成影响。最重要的一点，由于FTP服务是明文传输信息，因此可能受到网络监听攻击，获取系统管理员信息，从而控制整个系统。与Web服务器安全配置类似，

在FTP站点属性窗口中有“FTP站点”、“安全帐户”、“主目录”和“目录安全性”四个与安全相关的选项卡。

“FTP站点”选项卡：可以对FTP端口号进行更改以迷惑攻击者，对FTP站点连接进行限制以防止过多用户同时连接对系统性能造成影响，还可以启用日志记录功能对访问FTP站点事件进行记录以便事后分析。

“安全帐户”选项卡：可以对是否允许匿名用户登录进行设置，还应该对能访问FTP的用户进行严格的权限限制。

“主目录”选项卡：可以对FTP站点主目录进行设置，同Web主目录一样，不应将其放到系统目录下，并应对其访问进行严格限制。

“目录安全性”选项卡：可以对授权或拒绝访问的IP地址进行设置以便最大程度限制对不安全IP地址的访问。与Telnet服务一样，除了上述FTP服务器的安全配置以外，FTP协议本身并没有太大的安全缺陷，但其明文传输确实是容易被网络监听窃取的最大隐患。对于信息传输进行加密的技术很多，如前面Web安全中所提到的SSL协议也可以对FTP和Telnet安全提供保证，不过就像代理服务器中一个代理模块那样，只能对一项服务进行代理，SSL要实现对其他服务的支持也必须要另外配置，因此不是很方便。想要对应用层所有服务都提供信息安全保障，最合适的协议就是IPSec协议协议。有关IPSec协议将在9.5节进行详细说明。

9.3电子邮件的安全

电子邮件已经成为网络应用中不可缺少的一个服务，它在很大程度上取代了传统的信息传输方式，采用电子信息来取代以往的书信邮寄。电子邮件给人们带来便利的同时也带来了新的安全问题。电子邮件常见的威胁主要有以下几类：

安全漏洞：电子邮件服务器本身是存在安全漏洞的，一旦漏洞被黑客利用就可能对网络造成巨大的威胁。如Unix/Linux系统中的电子邮件服务器Sendmail是以root帐户运行的，如果黑客掌握了这个漏洞就可以利用它来攻击系统，还有曾经震惊世界的蠕虫病毒也是利用Sendmail的安全缺陷使大批的网络服务器陷于瘫痪，造成了巨大的损失。

病毒、蠕虫、木马：黑客可以利用电子邮件的附件功能发送带有恶意代码的文件，用户一旦打开此邮件恶意程序便开始运行，破坏主机数据或将计算机变成可远程控制的主机。

网络钓鱼：利用伪造的邮件内容将收件人引到欺诈性站点并诱骗其输入机密的金融数据，如银行帐号、密码等，以窃取用户敏感信息。

垃圾邮件：是邮件用户几乎每天都要面对的问题，虽然它不像前面两种威胁给用户带来明显的直接影响，但是给用户正常使用邮箱带来了不小的麻烦。有的用户会因为垃圾邮件太多而放弃该邮箱的使用，这就有点类似网络上的拒绝服务攻击了，当然，放弃使用邮箱是一种极端的做法，所以多数用户还是不得不每天清除垃圾邮件。

安全传输：邮件信息的安全传输也是一个需要解决的问题，必须用加密技术来保证邮件信息不被非法读取和篡改。针对电子邮件的安全措施主要有以下几方面：

1)选择一个安全的邮件客户端软件

如果客户端软件漏洞太多就为黑客造成大量的攻击机会，严重的可以通过一些漏洞进而控制整个主机系统，因此必须选择一款安全的客户端软件以避免漏洞攻击，并经常到发布网站上安装补丁。2)对邮件客户端软件进行安全配置

以WindowsServer2003自带的OutlookExpress6为例，在配置好用户邮件帐户信息以后，在OutlookExpress菜单中选择“工具”→“选项”进行以下安全配置。

(1)“安全”选项卡：可配置与“病毒防护”、“下载图像”和“安全邮件”相关选项和参数，如图9.8所示。图9.8OutlookExpress安全配置

“选择要使用的InternetExplorer安全区域”：用户可以选择使用Internet上所有网址的所有邮箱还是只能使用IE中限定地址的邮箱。

“当别的应用程序试图用我的名义发送电子邮件时警告我”：防止非法程序利用用户邮箱发送非法邮件，如木马可以利用用户邮箱发送信件给监控者；病毒可以利用用户邮箱传播自己等。

“不允许保存或打开可能有病毒的附件”：防止打开附件中的木马或病毒程序。

“阻止HTML电子邮件中的图像和其他外部内容”：可防止执行收到的邮件中包含的恶意代码。

安全邮件中的“数字标识”是由权威机构颁发给用户的身份标识，它结合了安全/多用途Internet邮件扩展(S/MIME)规范来确保电子邮件的安全。用户可以通过“获取数字标识”选项连接到站点上申请自己的数字标识，并且用申请到的数字标识对发送的邮件进行数字签名或加密，通过“高级”按钮设置加密和签名参数。(2)“回执”选项卡：回执功能可能会作为黑客探测合法邮箱的一种手段，因此应谨慎设置。使用“安全回执”按钮可以对安全回执参数进行设置。

(3)“邮件规则”选项卡：在OutlookExpress菜单中选择“工具”→“邮件规则”，可以对邮件、新闻及发件人名单进行设置并过滤符合相关条件的垃圾邮件。(4)除以上对邮件客户端软件的配置以外，还可以采取以下措施：

利用防火墙对进出的邮件进行控制，过滤、筛选和屏蔽掉有害的电子邮件。

对重要的邮件进行加密，除了用一些客户端自带的加密技术，如OutlookExpress中的S/MIME以外，还可利用第三方加密软件，如在第2章中介绍的PGP软件，它是一个比S/MIME功能更强的且可免费使用的邮件/文件加密软件。

利用病毒查杀软件对所有的邮件进行病毒检查后再打开，并确保只打开安全的邮件附件。

9.4SSL协议

SSL是由Netscape通信公司提出、用于网络保密通信的安全协议。SSL协议位于TCP层和应用层之间，利用TCP协议能够提供可靠的端到端安全服务，但对应用层是透明的。

SSL协议在应用层协议之下，网络层协议之上，不是单个协议，而是两层协议，其体系结构如图9.9所示。图9.9SSL协议体系结构其中：

SSL记录协议(SSLRecordProtocol)：建立在TCP协议之上，用来封装高层协议。

SSL握手协议(SSLHandshakeProtocol)：准许服务器端与客户端在开始传输数据前，可以通过特定的加密算法相互认证。

SSL更改密码规格协议(SSLChangeCipherSpecProtocol)：保证可扩展性。

SSL告警协议(SSLAlertProtocol)：产生必要的警告信息。在SSL协议中还有两个重要的概念SSL连接和SSL会话：

SSL连接：一个SSL连接是提供一种恰当类型的传输，是点对点的关系。连接是暂时的，每一个连接和一个会话相联系。

SSL会话：一个SSL会话是一个在客户机和服务器之间的关联，由SSL握手协议来创建。会话定义了加密安全参数的一个集合，该集合可以被多个连接所共享，避免为每个连接进行昂贵的安全参数的协商。SSL协议的优势在于它是与应用层协议无关的。高层应用协议(如HTTP、FTP和Telnet)能够建立在SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证通信的私密性。SSL协议基本运作方式如下：(1)通信双方执行握手协议建立连接后，获得共有的通信密码作为加密密钥。

(2)发送方将传输的数据在执行记录协议阶段用已获得的通信密码加密后发送出去。接收方用相同的密码作为解密密钥。

(3)在执行握手协议或记录协议的过程中，任何一方有异常出现，都可以用告警协议通知对方，以进行相应的处理。

(4)任何一方想更换密钥时，可以利用更改密码说明协议来重新获得密钥。

9.5IPSec协议

IPSec协议弥补了TCP/IP协议体系中所固有的一些漏洞，是在IP协议层上提供访问控制、无连接完整性、数据源认证、载荷有效性和有限流量机密性等安全服务的体系，可在公共IP网络上确保数据通信的可靠性和完整性。

1.

IPSec协议体系

IPSec协议主要通过使用认证头(AuthenticationHeader，AH)和封装安全载荷(EncapsulatingSecurityPayload，ESP)两种通信安全协议来实现。两种协议中均使用到安全关联(SecurityAssociation，SA)。同时，AH和ESP这两个机制还需要因特网密钥交换(InternetKeyExchange，IKE)协议提供密钥管理和协商的约定，首先对这几个关键概念简单解释如下：

AH协议：可提供数据源认证和无连接的数据完整性服务，使得通信的一方能够确认另一方的身份，并能够确认数据在传输的过程中没有遭到篡改。

ESP协议：主要用来处理对IP数据包的加密，同时也可提供认证功能。

SA协议：是发送者和接受者之间的一个单向关系，是通信双方之间对某些要素的一种协定，如IPSec协议的使用、操作模式、密钥算法、密钥、密钥的生存周期等。AH协议和ESP协议的执行都依赖于SA。由于SA只能表示一种单向关系，因此，如果需要一个对等的关系用于双向的安全交换，就要有两个SA。

IKE协议：主要对密钥交换进行管理，提供安全可靠的算法和密钥协商。以后就可以使用这个密钥来对它们之间交换的数据进行加密，从而保证数据传输安全。

2.传输模式和隧道模式

在IPSec协议中，无论是AH还是ESP，都可工作于传输模式(TransportMode)和隧道模式(TunnelMode)。

1)传输模式

传输模式主要为上层协议提供保护，即传输模式的保护扩充到IP分组的有效载荷。传输模式使用原始的明文IP头，只加密数据部分(包括TCP头或UDP头)，其数据报格式如图9.10所示。图9.10传输模式传输模式的典型应用是用于两个主机之间的端到端的通信。使用IPSec认证服务传输模式SA如图9.11所示，在服务器和客户工作站之间直接提供认证服务。工作站可以与服务器同在一个网络中(如客户端A和服务器A)，也可以在外部网络中(如客户端B在外部网络中)。只要工作站和服务器共享受保护的密钥，认证处理就是安全的。图9.11IPSec认证服务传输模式2)隧道模式

与传输模式相比，隧道模式对整个IP分组提供保护，整个IP数据包全部被加密封装，得到一个新的IP数据包，而新的IP头可以包含完全不同的源地址和目的地址，因此在传输过程中，由于路由器不能够检查内部IP头，从而增加了数据安全性。隧道模式的数据报格式如图9.12所示。图9.12隧道模式隧道模式通常用于当SA的一端或两端是安全网关，如实现了IPSec的防火墙或路由器的情况。使用隧道模式，在防火墙之后的网络上的一组主机可以不实现IPSec而参加安全通信。通过局域网边界的防火墙或安全路由器上的IPSec软件建立隧道模式SA，这些主机产生的未保护的分组通过隧道连到外部网络。主机A与主机B采用隧道模式IPSec运作过程如图9.13所示。

(1)主机A产生的IP数据包中的目的地址是主机B的IP地址。

(2)主机A产生的IP数据包被传到A的网络边界的一台安全网关A(防火墙或安全路由器)上。

(3)如果从主机A到主机B的这个IP数据包需要IPSec，安全网关A完成IPSec处理并将这个数据包封装在外部IP头里形成新IP数据包。这个新IP数据包的源地址是这个安全网关A，而目的地址可能是主机B的局域网边界的安全网关B。(4)新IP数据包被传到外部网络上，中间的路由器只检查外部的IP头，将数据包路由到安全网关B。

(5)安全网关B收到新IP数据包，将外部IP头剥掉，内部数据(即主机A发出的原始IP数据报)交付给主机B。主机B对数据包进行处理，完成整个数据安全传输过程。图9.13隧道模式IPSec运作过程

3.

IPSec的应用

IPSec提供了在局域网、专用和公用的广域网和Internet上安全通信的能力，可包括如图9.14所示的应用。

(1)

Internet上的安全分支连接：公司可以利用IPSec技术在Internet网络上建立安全的虚拟专用网。如图9.14中网络A和网络B可以是一个公司的不同部门，双方之间通过IPSec技术进行安全通信，使企业减少了构建专用网的需求，并节省了费用和网络管理负担。

图9.14IPSec应用方案(2)

Internet上的安全访问：系统上实现了IPSec的终端用户可以通过调用本地的Internet服务提供商(ISP)来对远程的公司网络进行安全访问，如图9.14中实现IPSec的用户系统可以通过实现IPSec的联网设备访问公司网络，从而为在外旅行的雇员和远程工作者减少长途通信费用。

(3)与合作者之间建立企业内部和外部的连接：利用IPSec可以与其他组织之间实现安全通信，保证认证和机密性，并且提供密钥交换机制。如图9.14中网络A与网络B分属两家不同企业，但却可以通过IPSec技术实现安全通信。(4)增强电子商务的安全性：虽然一些Web和电子商务应用已经有了内置的安全协议，但使用IPSec可以增强其安全性。

由于IPSec能够加密或认证在IP层的所有通信量，因此所有的分布式应用，包括远程注册、客户/服务器、电子邮件、文件传输、Web访问等，都可以利用IPSec来增强通信安全性。

9.6Internet安全技术实例

9.6.1SSL技术应用

【实验背景】

SSL协议是在Web客户端和服务器端之间建立一个安全连接的最常用的技术，它能够保证信息的真实性、完整性和保密性。Windows系统中提供构建SSL安全应用的所有组件。【实验目的】

掌握SSL技术，保证Web客户端与服务器信息传输安全。

【实验条件】

(1)基于WindowsServer2003的PC机一台。

(2)基于Windows2000/XP/2003/Vista的PC机一台。

【实验任务】

(1)实现Web服务器证书申请和安装。

(2)利用SSL技术实现Web客户端对安装了证书的Web服务器的认证和安全访问。【实验内容】

首先配置Web服务器和客户端主机网络：

服务器主机A：WindowsServer2003，IP地址是/24，安装Web站点并设置好默认主页，测试

访问成功。

客户端主机B:Windows2000/XP/2003/Vista，IP地址是/24，从该客户端主机B访问服务器主机A的Web站点，测试

http://192.168.0.3访问成功。SSL技术保证Web客户端和服务器端访问安全主要有以下几个步骤：

证书颁发机构(CA)的安装和配置；

Web服务器证书的生成；

Web服务器证书的提交；

CA颁发证书；

Web服务器证书的安装，并启用SSL安全通道；

Web客户端通过SSL协议访问Web服务器。

1.

CA的安装和配置

(1)单击“开始”→“控制面板”→“添加或删除程序”→“添加/删除Windows组件”，在【Windows组件】窗口中选中“证书服务”，单击“下一步”按钮。

(2)在【CA类型】窗口中选择“独立根CA(S)”，单击“下一步”按钮。

(3)在【CA识别信息】窗口中填入CA的公用名称及有限期限等相关信息，单击“下一步”按钮。

(4)在【Microsoft证书服务】提示窗口中单击“是”按钮。(5)在【数据存储位置】窗口中指定存储配置数据、数据库和日志的位置，将WindowsServer2003安装光盘放入，单击“下一步”按钮，程序自动安装CA组件。

(6)测试：单击“开始”按钮→“所有程序”→“管理工具”→“证书颁发机构”，可看到已经生成的CA相关信息。

2.

Web服务器证书的生成

(1)单击“开始”按钮→“所有程序”→“管理工具”→“Internet信息服务(IIS)管理器”，右击需要配置的Web站点→“属性”→“目录安全性”→“服务器证书”，打开Web服务器向导。

(2)在【欢迎使用Web服务器证书向导】窗口单击“下一步”按钮。

(3)在【服务器证书】窗口选择“新建证书”，单击“下一步”按钮。(4)在【稍候或立即请求】窗口选择“现在准备请求，但稍候发送”，单击“下一步”按钮。

(5)在【名称和安全性设置】窗口中输入新证书名称和选择加密密钥的位长，位长越高，安全性越高，但效率越低，单击“下一步”按钮。

(6)在【单位信息】窗口中输入单位和部门信息，单击“下一步”按钮。

(7)在【站点公用名称】窗口中输入服务器的域名，单击“下一步”按钮。

(8)在【地理信息】窗口中输入服务器的国家、省/自治区及市县信息，单击“下一步”按钮。(9)在【证书请求文件名】窗口中确认证书文件名，单击“下一步”按钮。

(10)在【请求文件摘要】窗口中可看到证书请求文件的所有内容，即前面输入的信息，单击“下一步”按钮。

(11)在【完成Web服务器证书向导】窗口中单击“完成”按钮，回到“目录安全性”选项卡。

3.将服务器证书提交给CA

(1)打开IE，键入URL地址http://localhost/CertSrv

/default.asp，打开欢迎窗口。

(2)在浏览器【欢迎】窗口中选择“申请一个证书”。

(3)在【申请一个证书】窗口中选择“高级证书申请”。

(4)在【高级证书申请】窗口中选择用base64编码提交证书，打开【提交一个证书申请或续订申请】浏览器窗口，然后将刚才生成证书用文本打开，将所有内容复制，然后粘贴到“保存的申请”对话框中，如图9.15所示。

(5)在【提交一个证书申请或续订申请】浏览器窗口中单击“提交”，打开【证书挂起】窗口，可以看到有关证书挂起的信息，包括证书的ID号及证书颁发的时间。图9.15Web服务器证书申请提交

4.

CA对服务器提交的证书进行颁发

(1)单击“开始”→“所有程序”→“管理工具”→“证书颁发机构”，打开【证书颁发机构】窗口，单击窗口左侧“挂起的申请”，可以看到窗口右侧所有挂起的证书列表，右击刚刚申请的条目→“所有任务”→“颁发”，则证书已经颁发。

(2)在“颁发的证书”中找到刚刚颁发的证书，双击打开【证书】窗口，在“常规”选项卡中可看到证书申请时填写的简要信息。

(3)在【证书】窗口中选择“详细信息”选项卡可以看到申请证书时填写的详细信息，单击“复制到文件”按钮。(4)在【欢迎使用证书导出向导】窗口中单击“下一步”按钮。

(5)在【导出文件格式】窗口中选中文件要使用的格式“DER编码二进制X.509(.cer)”，单击“下一步”按钮。

(6)在【要导出的文件】窗口中输入要导出的文件名(本实验使用d:\server.cer)，单击“下一步”按钮。

(7)在【正在完成证书导出向导】窗口中，单击“完成”按钮。

(8)在【证书导出向导】提示窗口中单击“确定”按钮，回到如图所示的证书详细信息窗口，单击“确定”按钮，关闭【证书】窗口。

5.服务器安装CA颁发的证书，并启用SSL安全通道

(1)在如图9.5所示的Web站点属性界面选择“目录安全性”→“服务器证书”。

(2)在【欢迎使用Web服务器证书向导】窗口单击“下一步”按钮。

(3)在【挂起的证书请求】窗口中选中“处理挂起的请求并安装证书”，单击“下一步”按钮。

(4)在【处理挂起的请求】窗口中输入包含证书颁发机构相应的文件的路径和名称，如之前导出的服务器证书(d:\server.cer)，单击“下一步”按钮。(5)在【SSL端口】窗口中输入该网站应该使用的SSL端口443，单击“下一步”按钮。

(6)在【证书摘要】窗口可以看到选择从响应文件安装证书的摘要信息，单击“下一步”按钮。

(7)在【完成Web服务器证书向导】窗口中单击“完成”按钮，结束服务器证书安装。

(8)在如图9.5所示的Web站点属性界面单击“目录安全性”，单击“安全通信”中的“编辑”，打开【安全通信】窗口，选择“申请安全通道(SSL)”，客户证书选择为“忽略客户证书”，如图9.16所示。图9.16安全通信配置(9)确定关闭所有窗口后再打开Web站点属性窗口，可以看到SSL加密通道，端口是443。

6.测试

(1)在客户端主机B()的IE中输入，看到“该页必须通过安全通道查看”等信息。

(2)在客户端主机B的IE中再输入

，访问结果如图9.17所示。

(3)在【安全警报】窗口中单击“确定”按钮，出现“证书安全警报提示窗口”，如图9.18所示。

(4)在“证书安全警报提示窗口”中确定证书提示信息，单击“是”铵钮，出现访问网站主页。图9.17通过SSL访问Web站点图9.18Web服务器证书安全警报9.6.2IPSec技术应用

【实验背景】

IPSec协议是在公共IP网络上确保通信双方数据通信具有可靠性和完整性的技术，它能够为通信双方提供访问控制、无连接完整性、数据源认证、载荷有效性和有限流量机密性等安全服务。Windows系统中提供构建IPSec安全应用的所有组件。【实验目的】

掌握IPSec技术，保证应用层传输安全。

【实验条件】

(1)基于WindowsServer2003的PC机两台。

(2)基于Windows2000/XP/2003/Vista的PC机一台

【实验任务】

(1)实现IPSec配置。

(2)利用IPSec技术进行应用层服务安全访问。【实验内容】

首先配置Web服务器和客户端主机网络：

服务器主机A：WindowsServer2003，IP地址是/24，安装Web站点和FTP站点并测试成功。

服务器主机B：WindowsServer

2003，IP地址是/24，测试访问主机A的Web站点和FTP站点成功。

测试主机C：Windows2000/XP/2003/Vista，IP地址是/24，测试与主机A和B互联访问成功。IPSec技术保证应用层服务访问安全主要有以下几个步骤：

在服务器主机A上安装并配置IPSec；

在服务器主机B上安装并配置IPSec；

在各服务器主机未启用或启用IPSec的情况下进行测试。

1.配置服务器主机A的IPSec

1)建立新的IPSec策略

(1)单击“开始”→“所有程序”→“管理工具”→“本地安全策略”，打开【本地安全设置】窗口。

(2)在【本地安全设置】窗口左侧对话框中右击“IP安全策略，在本地机器”→“创建IP安全策略”。

(3)在【欢迎使用IP安全策略】窗口中单击“下一步”按钮。

(4)在【IP安全策略名称】窗口中输入名称和描述信息(本实验中的策略名称为新IP安全策略A)，单击“下一步”按钮。

(5)在【安全通信请求】窗口中选择“激活默认响应规则”，单击“下一步”按钮。

(6)在【默认响应规则身份验证方法】窗口中接受默认的选项“Windows2003默认值KerberosV5”作为默认响应规则身份验证方法，单击“下一步”按钮。

(7)在【警告】窗口中选择“是”按钮。

(8)在【完成“IP安全策略向导”】窗口中接受“编辑属性”默认选项，单击“完成”按钮，打开【新IP安全策略A属性】窗口，如图9.19所示。2)添加新规则

(1)在【新IP安全规则A属性】窗口中取消“使用‘添加向导’”选项，再单击“添加”按钮，如图9.19所示。

(2)在【新规则属性】窗口中的“IP筛选器列表”选项卡中选中“所有ICMP通信”，单击“添加”按钮，出现【IP筛选器列表】窗口。图9.19IP安全策略属性3)添加新过滤器

(1)在【IP筛选器列表】窗口中输入筛选器的名称，并取消“使用‘添加向导’”选项，单击“添加”按钮。

(2)在【IP筛选器属性】窗口中设置源地址和目标地址为特定的IP地址(本实验为主机到主机实现IPSec安全通信)，如图9.20所示。图9.20IP筛选器地址设置(3)在【IP筛选器属性】窗口中选择“协议”选项卡，选择“协议类型”为ICMP，单击“确定”按钮。

(4)在【IP筛选器列表】窗口中单击“确定”按钮，返回【新规则属性】窗口，通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器，如图9.21所示。图9.21IP筛选器激活4)规定过滤器动作

(1)在【新规则属性】窗口中选择“筛选器操作”选项卡，取消“使用‘添加向导’”选项，单击“添加”按钮。

(2)在【新筛选器操作属性】窗口中默认选择“协商安全”选项，单击“添加”按钮。

(3)在【新增安全措施】窗口中默