网络安全协议实验指导书_网络协议实验指导书

2020-02-28 协议书下载本文

网络安全协议实验指导书由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“网络协议实验指导书”。

实验1网络安全协议

一、实验目的:了解ISO/OSI七层参考模型各层有哪些网络安全协议；掌握各层安全协议的具体应用环境。二、实验软件：Windows XP 操作系统三、实验步骤：

上Ineternet，利用各种搜索引擎搜索相关资料，并完成提交电子实验报告。

实验2 IPSec实验

一、实验目的：

掌握windows下IPSec的传输模式的配置，理解主机到主机的IPSec VPN的工作原理

二、实验软件：

Windows XP 操作系统2台。分别为主机xp1和主机xp2

三、实验步骤：

1.xp1和xp2均能互相ping通（关闭防火墙）。、2.在xp1下点击开始--->运行，输入“gpedit.msc”,运行组策略。

3.依次展开左侧的“本地计算机”策略—->“计算机配置”—->“windows设置”—->“安全设置”—->“IP安全策略”，点击右键，选择“创建IP安全策略”。

4.在“IP安全策略向导”中选择下一步，对其命名“IPSEC 加密”，选择下一步，在“默认相应规则验证方式”中选择第三个“此字符串用来保护密钥交换”，输入自己设定的密码。选择下一步，选择完成。

5.在“IPSec加密属性”中添加IP安全规则

6.“隧道终结点”选择“此规则不指定隧道”，点击下一步。7.“网络类型”选择“所有网络连接”，点击下一步 8.“身份验证方法”同步骤4，点击下一步。

9．“IP筛选器列表”选择“所有IP通信量”，点击下一步。10.“筛选器操作”选择添加，点击下一步。

11，“筛选器操作名称”输入“必须加密”，点击下一步。12，“筛选器操作常规选项”选择“协商安全”，点击下一步。13.选择“不和不支持Ipsec的计算机通信”，点击下一步。

14.“IP通信安全设施”选择“加密并保持完整性”，点击下一步，完成。15.在“筛选器操作中”选择“必须加密”，点击下一步。

点击下一步，完成。点击确定，并关闭对话框。

右键点击刚添加的IP安全策略，选择“指派”，使规则生效。测试此时xp1不能与xp2互相ping通。提示为“Negotiating IP Security”。Xp1的加密完成。

在xp2上重复进行上述操作，添加一条与xp1中一模一样的规则。测试此时xp1能够与xp2互相ping通。注意：xp1和xp2中规则必须一模一样，否则无法ping通。此时xp1和xp2的所有数据均加密通信。用ping命令测试两者之间的连接。如下图:显示出两台机子正在进行SA协商。

从协商到通信，这个之间的认证比较复杂，暂时还没有深入研究

20.在开始－>运行中输入命令ipsecmon，弹出IPSec的安全监视器界面，显示相关的安全属性。

实验3 SSL/TLS基本协议

一、实验目的：

通过实验深入理解 SSL 的工作原理，熟练掌握 Windows 2000 Server 环境下SSL 连接的配置和使用方法。

二、实验软件：

Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。

三、实验步骤：

为 Web 服务器申请证书

1)单击“开始”，选择“程序”→“管理工具”→“Internet 服务管理器”，如图 1。在弹出的如图 2 所示的窗口左侧菜单中右键单击“默认 Web 站点”，选择“属性”。

图图 2

2)在如图 3 所示的窗口中选择“目录安全性”菜单，单击“安全通信”中的“服务器证书”

图 3

图 4 3)在出现的欢迎使用 Web 服务器证书向导中，单击“下一步”按钮，在图 4中，选中“创建一个新证书”，单击“下一步”按钮。

4)在弹出的如图 5 所示的窗口中输入证书的名称，单击“下一步”按钮。

图 5

5)根据图 6 窗口的提示输入如图 6 所示的组织信息，单击“下一步”按钮。

图 6

6)在图 7 中输入站点的公用名称，单击“下一步”按钮。

图 7 7)图8中接着输入站点的地理信息，单击“下一步”按钮。

图 8

8)接着输入证书请求文件的文件名和存放路径，单击“下一步”按钮。在这个证书请求文件中的存放着刚才输入的用户信息和系统生成的公钥，如图 9 所示。

图 9

9)在图 10 中出现的确认信息窗口，单击“下一步”，接着单击“完成”按钮，完成服务器证书申请。

图 10

提交 Web 服务器证书

1)在服务器所在的计算机上打开 IE 浏览器，在地址栏中输入 http://根 CA的 IP/certsrv，其中的 IP 指的是建立根 CA 的服务器 IP 地址。在出现的页面中选中“申请证书”，并单击“下一步”按钮。

2)在弹出的如图 11 所示的页面中选中“高级申请”，并单击“下一步”，按钮。高级申请可以由用户导入请求证书文件。

图 11 3)在弹出的页面中选中“Base64 编码方式”，并单击“下一步”按钮，如图12 所示。

图 12 4)单击“浏览”，找到证书请求文件，并把它插入在图 13 页面中的“证书申请”框内，单击“提交”按钮。这就将我们上面刚刚完成的这个证书请求文件（即含有个人信息和公钥的文件）提交。

图 13

5)将会弹出如图 14 所示的页面，表示提交成功。服务器证书的颁发和安装实现步骤同实验 14.1。

客户端证书的申请，颁发和安装

在另一台计算机上重复实验 14.1 中的相关步骤，完成客户端证书的申请，颁发和安装。

未配置 SSL 的普通 Web 连接的安全性

1)在配置 SSL 设置前，在网络中另外一台计算机中打开网络监测工具Sniffer，监测 Web 服务器的网络流量。2)在客户端访问服务器的证书申请网页 http://根 CA 的 IP/certsrv，第 3方计算机的 Sniffer 工具监测到了，数据包（Sniffer 的使用参考其他实验）。

可以看出，在 SSL 配置之前，Web 访问信息是明文传输的，第 3 方可以利用相关的工具窃取信息，在截获的 POST 类型的数据包中可以获得连接的地址等相关信息。

在服务器上配置 SSL 1)单击“开始”按钮，选择“程序”→“管理工具”→“Internet 服务管理器”。在弹出的窗口左侧菜单中右键单击“默认 Web 站点”，选择“属性”。

2)在弹出的窗口中选择“目录安全性”菜单项，选择面板上的“安全通信”中“查看证书”项，查看第 2 步中的安装的证书，如图 14 所示。

图 143)单击“确定”按钮后返回到“目录安全性”面板，选择“安全通信”中的“编辑”项，在弹出的如图 15 所示的窗口中选择“申请安全通道（SSL）”，并在“客户证书”栏中选择“接受客户证书”，单击“确定”按钮。

注意：“忽略客户证书”表示服务器不要求验证客户端的身份，客户端不需要证书，但客户端可以验证服务器的身份：“接收客户证书”则表示双方均可以验证对方的身份。

图 15 4)返回到“目录安全性”面板，单击“应用”按钮及“确定”按钮，完成配置。

客户端通过 SSL 与服务器建立连接

1)在网络中第 3 方的计算机上打开网络监视工具 Sniffer，监测的服务器的数据包。

2)在客户端计算机上打开 IE 浏览器，若仍在地址栏里输入 http://根 CA的 IP/certsrv，则显示如图 16 所示的界面，要求采用 HTTPS（安全的 HTTP）协议连接服务器端。

图 16 3)输入 https://根 CA 的 IP/certsrv，页面中弹出如图 17 所示的提示窗口。

图 17

4)单击“确定”按钮，探出如图 18 所示的证书选择窗口。

图 18

在窗口中选择步骤 2）中申请的证书 Web Cert，单击“确定”按钮。5)之后将正确的弹出正常的证书申请页面，完成基于 SSL 的连接。

6)查看第 3 方计算机上 Sniffer 的监测结果，其中并未出现 POST 类型的有效信息包，截获的信息均为无效的乱码。这说明 SSL 很好的实现了 Web连接的安全性。

实验4 应用OPENSSH和PUTTY进行安全SSH连接

一、实验目的：

掌握windows下IPSec的传输模式的配置，理解主机到主机的IPSec VPN的工作原理

二、实验软件：

Windows XP 操作系统2台。分别为主机xp1和主机xp2

三、实验步骤：远程连接工具putty

随着linux在服务器端应用的普及，linux系统越来越依赖于远程管理，而Putty为常用的远程管理工具。用途：查看服务器端文件、查看进程、关闭进程等

配置：双击putty后，出现下图界面。按图提示步骤进行输入：（1）输入服务器的 IP 或主机名，（2）选择好登录协议，通常选SSH。（3）选择协议的端口，选择22。（4）如果希望把这次的输入保存起来，以后就不需要再重新输入了，就在第4步输入好会话保存的名称，比如：mail-server，或者干脆就是主机的地址，点击保存就可以了。最后点下面的 Open 按钮，输入正确的用户名和口令，就可以登录服务器了。

用法：

（1）保存了会话后，直接点击中下方的text框内的快捷方式即可进入登录界面。（2）进入界面后，按提示输入用户名和密码，比如之前我们进的是192.168.2.96。其对应的用户名和密码是：oracle，oracle123（3）成功登录之后即可对服务器端进行操作。可以查看文件，开启关闭服务等等。下面截图ls显示了当前服务器端的文件列表。红色框选部分是启动汽车板块服务的快捷键。输入start_auto.sh即可启动汽车板块的进程。

个案应用：

主题：关于SSH（或putty）里查看进程的问题起因：192.168.2.96 前后台打不开

分析：payment服务打不开，首先pj | grep payment 查看payment进程存在与否，因为服务荡掉有两种情况，一种是对应的进程直接荡掉不存在，一种是进程仍在，但服务不能正常运行。第一种直接启动，第二种先kill-9 加对应进程号先将进程kill掉，再重新开启。个案应用：

查有时用putty界面会出现中文字符乱码问题，解决方案如下：选择配置窗口左边的Translation，在右边的 Received data aumed to be in which character set 下拉列表中选择“UTF-8”

1.远程连接工具h

Ssh和putty用法类似，只是界面稍微有些差异。用法：

（1）如果第一次连接服务器，则点击“quick connect”

输入服务器地址，出现如图下所示界面，点击“yes”然后输入密码即可登录。

（2）如果需要创建快捷方式，在输入密码登录成功以后，可以点击“profiles”，然后选择“add profiles”。输入一个保存的名字即可，下次登录时点击profile然后选择保存的名字即

可登录。（3）登录进入后使用同putty。

实验5 Kerberos

一、实验目的：

在这个实验中，将创建一个Kerberos服务。在完成这一实验后，将能够:(1)在服务器端安装 “Kerberos服务”。(2)配置”Kerberos服务”。

(3)利用”Kerberos服务”进行认证，获取票据。

二、实验软件：

服务器运行Windows 2000 Server，并创建活动目录。

三、实验步骤：

步骤:在Windows 2000 Server上建立Kerberos认证服务器，客户端能从Kerberos认证服务器获取票据登录服务器。活动目录的安装：

Windows 2000活动目录和其安全性服务（Kerberos）紧密结合，共同完成任务和协同管理。活动目录存储了域安全策略的信息，如域用户口令的限制策略和系统访问权限等，实施了基于对象的安全模型和访问控制机制。活动目录中的每一个对象都有一个独有的安全性描述，定义了浏览或更新对象属性所需要的访问权限。因此，在使用Windows 2000提供的安全服务前，首先应该在服务器上安装活动目录。操作步骤：

（１）在Windows 2000＂控制面板＂里，打开＂管理工具＂窗口，然后双击＂配置服务器＂，启动＂Windows 2000配置您的服务器＂对话框，如图A７—１所示。

（２）在左边的选项列表中，单击＂Active Directory＂超级链接，并拖动右边的滚动条到底部，单击＂启动＂超级链接，打开＂Active Directory安装向导＂对话框，出现＂欢迎使用Active Directory安装向导＂，按向导提示，单击＂下一步＂按钮，出现＂域控制器类型＂对话框。

（３）单击＂新域的域控制器＂单选按钮，使服务器成为新域的第一个域控制器。单击＂下一步＂按钮，出现＂创建目录树或子域＂对话框。

（４）如果用户不想让新域成为现有域的子域，单击＂创建一个新的域目录树＂单选按钮。单击＂下一步＂按钮，出现＂创建或加入目录林＂对话框。

（５）如果用户所创建的域为单位的第一个域，或者希望所创建的新域独立于现有的目录林，单击＂创建新的域或目录树＂单选按钮。单击＂下一步＂按钮，出现＂新的域名＂对话框。

（６）在＂新域的ＤＮＳ全名＂文本框中，输入新建域的DNS全名，例如:book.com。单击＂下一步＂按钮，出现”Net BIOS域名＂对话框。

（７）在”域Net BIOS名”文本框中，输入Net BIOS域名，或者接受显示的名称，单击＂下一步＂按钮，出现＂数据库和日志文件位置＂对话框。

（８）在”数据库位置”文本框中，输入保存数据库的位置，或者单击”浏览”按钮选择路径；在”日志位置”文本框中，输入保存日志的位置或单击”浏览”按钮选择路径；如图A７—2所示。单击＂下一步＂按钮，出现＂共享的系统卷＂对话框。

（９）在”文件夹位置”文本框中输入Sysvol文件夹的位置，在Windows 2000中Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。或单击”浏览”按钮选择路径，如图A７—3所示。单击＂下一步＂按钮，出现＂权限＂对话框。

（１０）设置用户和组对象的默认权限，选择”与Windows 2000服务器之前的版本相兼容的权限”。单击＂下一步＂按钮，出现＂目录服务器恢复模式的管理员密码＂对话框。

（１１）在”密码”文本框中输入目录服务恢复模式的管理员密码，在”确认密码”文本框中重复输入密码。单击＂下一步＂按钮，出现＂摘要＂对话框。

（１２）可以看到前几步的设置，如果发现错误，可以单击＂上一步＂按钮重新设置。

（１３）单击＂下一步＂按钮，系统开始配置活动目录，同时打开”正在配置Active Directory”对话框，显示配置过程，经过几分钟之后配置完成。出现”完成Active Directory安装向导”对话框，单击＂完成＂按钮，即完成活动目录的安装，重新启动计算机，活动目录即会生效。

安全策略的设置：

安全策略的目标是制定在环境中配置和管理安全的步骤。Windows 2000组策略有助于在Active Directory域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和OU(单位组织)结构结合使用，为特定服务器角色定义其特定的安全设置。如果使用组策略来实现安全设置，则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器，并且新的服务器将自动获取新的设置。操作步骤:(1)在” Active Directory用户和计算机”窗口，右击域名”book.com ”，如图A７-4所示。在弹出的菜单中选择”属性”命令，出现”book.com属性”对话框, 如图A７-5所示。

(2)选择”组策略”标签页(见图A7-6)，系统提供了一系列工具。可以利用这些工具完成”组策略”的建立、添加、编辑、删除等操作。

(3)双击”Default Domain Policy”，出现” 组策略”对话框。在”组策略”窗口左侧”树”中，选择”Windows设置”并展开，在”安全设置”中打开”Kerberos策略”(见图A7-7)，进行安全策略的设置；一般情况下，选择默认设置就能达到系统安全的要求。

Windows 2000 Profeional 版客户端Profeional 版客户端设置：

Windows 2000 Profeional 版客户端设置配置成使用Kerberos域，在这个域里使用单独的登录标记和基于Windows 2000 Profeional 的本地客户端账号。操作步骤:(1)安装 Kerberos配置实用程序，在Windows 2000 安装光盘的supportreskitnetmgmtsecurity文件夹中找到setup.exe 注意:启动Windows 2000时,必须以管理员组的成员身份登录才能安装这些工具。Windows 2000光盘中，打开SupportTools文件夹,双击Setup.exe图标,然后按照屏幕上出现的说明进行操作。

通过以上步骤，用户在本机上安装了Windows 2000 SupportTools，它可以帮助管理网络并解决疑难问题。在用户系统盘的Program FileSupport Tools文件夹中可以看到许多实用工具，其中与Kerberos配置有关的程序为ksetup.exe和kpawd.exe。用于配置Kerberos域，KDC和Kpawd服务器，Ktpa.exe用于配置用户口令、账号名映射并对使用Windows 2000 Kerberos KDC的Kerberos服务产生Keytab，如图A７--8所示。

(2)设置Kerberos域。因为Kerberos域不是一个Windows 2000域，所以客户端必须配置成为工作组中的一个成员。当设置Kerberos时，客户机会自动成为工作组的一个成员。

/setdomain参数的值BOOK.COM是指与本地计算机在同一域中的域控制器的DNS。如用户的域控制器的DNS名为www.daodoc.computerpaword的参数用于指定本地计算机的密码，如图A７-11所示。(5)重新启动计算机使改变生效。这是一个必须的步骤，无论何时对外部KDC和域配置做了改变，都需要重新启动计算机。(6)使用Ksetup来配置单个注册到本地工作站的账户。/mapuser的第一个参数用于指定Kerberos的主体，第二个参数用于指定本机的用户账户(见图A7-12)。定义账户映射可以将一个 Kerberos域中的主体映射到一个本地账号身份上，将本地账号映射到Kerberos。

实验6 SHTTP

一、实验目的：

掌握windows下HTTPS应用的配置过程，理解主机到服务器的安全访问工作原理

二、实验软件：

Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。

三、实验步骤： 1.准备 web 网站

下面以管理员的身份登录到 web 服务器上创建名为：wanjiafu 的网站：然后停止：并设置默认网站为启动在 C 盘下创建文件夹 web 用于存放网页文件名为：index.htm 2.为 web 网站创建证书申请文件右键网站 wanjiafu 打开属性页

点击服务器证书出现：欢迎使用 web 服务器证书向导：对话框：在服务器和客户端之间建立安全的 web 通道：单击【下一步】按钮：出现服务器证书对话框：可以新建、分配、导入、复制及移动证书：在此选择：新建证书：

【下一步】

【下一步】键入证书的名称

【下一步】键入单位部门信息

【下一步】键入公用名

【下一步】键入国家省份市县信息

【下一步】键入存放地点

【下一步】查看全部配置

【下一步】完成！

打开 C 盘看见文件 certreq.txt 打开如下图：

3.为 web 网站申请证书

以域管理员的身份登录到 web 服务器上

打开 IE 浏览器：输入：http：//192.168.0.111/certsrv 单击【申请一个证书】

单击红线选择区域

下面添加的内容为 C 盘下的 certsrv 文件

点击【提交】见下图表示已经成功发送了申请 Id 为 2

4.在 CA 服务器上颁发证书

以域管理员的身份登录到 CA 服务器：打开：【证书颁发机构】【控制台】

展开服务器：单击【挂起的申请】可以看到 web 服务器申请的证书现在处于挂起状态

右击【所有任务】【颁发】

打开【颁发的证书】查看已经颁发了

5.下载证书

以域管理员的身份登录到 web 服务器：

在 IE 浏览器中键入：http：//192.168.0.111/certsrv 打开【证书申请】欢迎界面

单击保存的证书

单击【DER 编码】【下载证书】

下载后如下图

6.为 web 网站安装证书

打开后创建的 wanjiafu 网站

选择：处理挂起的请求并安装证书

下面是证书的路径：刚才我把保存在桌面了

SSL 端口为默认 443

下面为证书的内容

【下一步】完成点击【查看证书】

7.为 web 站点设置安全通信点击【编辑】

勾选要求安全通道（SSL）和忽略客户端证书

下面在登录客户端验证之前：需要将默认网站停止：把 wanjiafu 启动

下面以域管理员的身份登录到 web 客户端上：

在 IE 浏览器中输入：http：//192.168.0.111 访问 web 网站发现这里已经不能用 HTTP 协议访问网站了

下面我们在 IE 浏览器中输入：https：//192.168.0.111 来访问 web 网站出现安全警报信息：这表示 web 客户端没有安装证书

打开如下图：

成功访问！到这里你们终于知道我的名字了！

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 任务二：web 网站证书导出、导入和删除

为保存 web 网站证书可以将其导出：当误删除证书以后也可以将其导入：具体步骤如下： 1.导出 web 网站证书

打开 wanjiafu 属性 —— 服务器证书 —— 服务器证书向导 ——

【下一步】默认保存路径

【下一步】键入【证书密码】此密码将在【导入证书】时使用

【下一步】保存打开 C 盘查看文件

2.删除 web 网站证书

步骤同上：打开 IIS 证书向导：选择【删除当前证书】

此时【查看证书（V）】按钮已经变灰

3.导入 web 网站证书

步骤同上：打开 IIS 证书向导：选择【从.pfx 文件导入证书】

【下一步】选择路径（默认系统自动搜索）输入【密码】

网站端口