网络安全实验2.3详解
网络安全攻防实验报告
网络安全攻防实验报告随着互联网的飞速发展,网络安全问题日益凸显,黑客攻击、数据泄露等事件屡见不鲜,保护网络安全显得尤为重要。
为了更好地了解网络安全攻防的实际情况,本实验以搭建虚拟网络环境为基础,深入探讨网络攻防技术的原理和应用。
以下是实验过程及结论的详细报告。
1. 实验环境搭建在本次实验中,我们搭建了一个局域网环境,包括攻击者主机、受害者主机以及防御机。
攻击者主机用于模拟黑客攻击行为,受害者主机则是攻击的目标,防御机则负责监控和阻止攻击行为。
2. 攻击与防御实验首先,我们进行了一系列基本的攻击行为,比如端口扫描、ARP欺骗、DDoS攻击等。
在攻击者主机上使用Nmap工具进行端口扫描,发现受害者主机存在开放的端口,从而获取了一定的入侵信息。
接着,我们模拟了ARP欺骗攻击,攻击者主机伪装成受害者主机的合法网关,使得受害者主机将所有数据包发送给攻击者主机,进而实现对通信内容的窃取和篡改。
此外,我们还进行了DDoS攻击,即利用大量的请求向受害者主机发起攻击,使得其网络带宽被耗尽,无法正常提供服务。
针对以上攻击行为,我们在防御机上部署了防火墙、入侵检测系统等安全机制,及时发现并阻止攻击行为。
通过对比实验结果,我们验证了这些安全机制的有效性。
3. 实验结论通过本次网络安全攻防实验,我们更加深入地了解了网络攻防技术的原理和应用。
我们学会了如何通过端口扫描获取目标主机信息,如何利用ARP欺骗进行中间人攻击,如何通过DDoS攻击使目标主机瘫痪等技术。
同时,我们也认识到网络安全的重要性,只有不断提升网络安全防护措施,及时发现并应对潜在威胁,才能有效保护网络不受攻击。
希望通过这次实验,能够增强我们对网络安全的认识,提高我们的网络安全技术水平。
总的来说,网络安全攻防实验是一次非常有意义的实践活动,让我们更深入地了解了网络安全领域的知识,提高了我们的实际操作能力。
希望我们能够将所学知识运用到实际工作中,为保障网络安全贡献自己的一份力量。
网络安全实战详解
第一章网络安全基础1.1网络安全的现状与挑战1.1.1我国网络安全的现状(1)计算机系统遭受病毒感染和破坏的情况相当严重。
(2)黑客活动已形成严重威胁(3)安全意识淡薄是网络安全的瓶颈。
1.1.2网络安全面临的挑战1、网络部安全的原因(1)教育问题(2)技术方面(3)互联网不安全(4)系统软件自身不安全(5)网络管理问题2、威胁的来源威胁网络安全的主要来源包括内部人员(信息系统的管理者、使用者和决策者、开发者、维护者等)、特殊身份的人员(审计人员、稽查人员、记者等)、外部黑客、竞争对手、网络恐怖组织、军事组织或国家组织等。
任何威胁都可能是主机受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公共网传输的信息可能被他人窃听或篡改。
3、安全威胁与网络攻击的类型多样化(1)窃听(2)重传(3)伪造(4)篡改(5)非授权访问(6)拒绝服务攻击(7)行为否认(8)旁路控制(9)电磁/射频截获(10)人员疏忽1.2网络安全的定义从本质上讲,网络安全就是网络上信息的安全。
网络安全是指包含网络信息系统中的软件、硬件级信息资源,使之免受偶然或者恶意的破坏篡改和泄露,保证网络系统的正常运行、网络服务不中断。
网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。
从广义上讲,网络安全包括网络硬件资源和信息资源的安全性。
硬件资源包括通信线路、通信设备(交换机、路由器等)、主机等,要实现信息快速安全的交换,一个可靠的物理网络是必不可少的。
信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。
1.3典型网络安全案例分析1.4网络安全技术1.4.1数据加密技术密码技术是保障网络安全的最基本、最核心的技术措施。
加密技术是将资料加密,以防止信息泄露的技术。
就体质而言,目前的加密体制可分为:但密钥加密体制和公钥加密体制。
1.单密钥加密体制对称加密算法、私钥加密体制。
网络安全实验
网络安全实验在当今数字化的时代,网络已经成为了人们生活、工作和学习中不可或缺的一部分。
然而,随着网络的普及和发展,网络安全问题也日益凸显。
网络安全实验作为研究和解决网络安全问题的重要手段,对于保障网络的稳定、可靠和安全运行具有至关重要的意义。
网络安全实验的目的是通过模拟真实的网络环境和攻击场景,对网络系统的安全性进行评估和测试,发现潜在的安全漏洞和威胁,并提出相应的防范和解决方案。
这些实验可以帮助我们更好地了解网络攻击的手段和方法,提高网络安全意识和防范能力,从而有效地保护网络系统和用户的信息安全。
网络安全实验通常包括以下几个方面的内容:一、网络攻击技术实验网络攻击技术是网络安全实验的重要组成部分。
通过模拟各种网络攻击手段,如病毒攻击、蠕虫攻击、黑客攻击、拒绝服务攻击等,研究其攻击原理和方法,分析其对网络系统造成的危害和影响。
在进行网络攻击技术实验时,需要严格遵守法律法规和道德规范,不得将实验结果用于非法目的。
例如,在病毒攻击实验中,可以模拟病毒的传播过程,研究病毒的感染机制和防范措施。
通过分析病毒的代码结构和传播途径,开发相应的杀毒软件和防护策略,提高网络系统对病毒攻击的抵御能力。
二、网络防御技术实验网络防御技术是保障网络安全的关键。
网络防御技术实验包括防火墙技术、入侵检测技术、加密技术、访问控制技术等方面的实验。
通过搭建实验环境,测试和评估各种防御技术的性能和效果,优化网络防御体系,提高网络系统的安全性。
以防火墙技术实验为例,可以设置不同的防火墙规则和策略,模拟网络攻击流量,观察防火墙的过滤和拦截效果。
通过调整防火墙的参数和配置,提高其对非法访问和攻击的识别和阻止能力。
三、网络安全漏洞检测实验网络安全漏洞是网络系统中的薄弱环节,容易被攻击者利用。
网络安全漏洞检测实验旨在发现网络系统中存在的安全漏洞,并及时进行修复和加固。
漏洞检测实验可以采用漏洞扫描工具、渗透测试等方法,对网络系统的硬件、软件、操作系统、应用程序等进行全面的检测和分析。
网络安全实验报告
网络安全实验报告网络安全实验报告实验目的:了解网络安全基本知识,学习并了解网络安全的防御措施。
实验内容:实验一:网络嗅探器的使用实验二:网络漏洞扫描和修复实验三:网络防火墙的配置实验结果:实验一:通过使用网络嗅探器,我了解了如何监视网络流量和分析网络数据包。
我了解了网络嗅探的原理和方法,并学会了使用Wireshark软件来进行嗅探工作。
在实验中,我成功地监视了本地局域网中的数据包,并分析了这些数据包的内容。
这个实验让我认识到了网络数据的重要性,并增强了我对网络安全的关注。
实验二:在这个实验中,我们使用了漏洞扫描器来扫描一个虚拟机上的系统,发现并修复了其中的一些漏洞。
通过这个实验,我了解了网络漏洞的存在及其危害,并学会了如何通过漏洞扫描来检测和修复这些漏洞。
这个实验提醒我,对于网络系统的安全性,我们需要时刻保持警惕,并及时做好漏洞修复工作。
实验三:在这个实验中,我们配置了一个网络防火墙,了解了它的基本原理和功能,并学会了如何正确地配置和管理网络防火墙。
通过这个实验,我深入理解了防火墙对于网络安全的重要性,它能够起到限制网络访问、防御网络攻击的作用。
这个实验让我明白了防火墙的作用,同时也增加了我的网络安全意识。
总结和感想:通过本次实验,我深入了解了网络安全的基本知识,并学会了一些网络安全的实际操作技巧。
在网络安全这个方面,我们不能掉以轻心,只有不断学习和实践,才能保护好自己和他人的网络安全。
同时,当我们使用网络的时候,也要时刻谨记网络安全的重要性,不随便下载或点击不明链接,保护好个人信息。
通过这次实验,我对网络安全有了更深入的理解,也更加确定了自己今后的学习方向。
网络安全实验
网络安全实验网络安全实验现代社会中,网络已经成为人们日常生活的重要组成部分。
然而随着网络的普及,网络安全问题也越来越突出。
为了更好地了解网络安全的重要性,高中生活科学课程中通常会设置网络安全实验。
网络安全实验的目的是让学生了解网络安全威胁,学习如何防范网络攻击,并提供必要的技能和知识来保护自己和他人的隐私和安全。
下面我将介绍一个常见的网络安全实验:实验名称:密码保护个人账户实验目标:学生能够理解并学会设置强密码,并理解强密码的重要性,防止个人账户被黑客入侵。
实验步骤:1. 介绍密码的重要性:讲解密码在网络安全中的作用,以及密码保护个人账户的重要性。
引导学生思考常见的弱密码和强密码的区别,如"123456"和"p@ssw0rd"的强度差异,并讨论密码保护个人隐私和账户安全的重要性。
2. 讲解强密码的要求:介绍密码应该包含的元素,如大写字母、小写字母、数字和特殊字符,并讲解密码的长度应该至少为8个字符。
3. 设计密码生成器:引导学生通过编程的方式设计一个密码生成器,输入密码的长度,生成包含各种要求元素的随机密码。
4. 实践应用:让学生使用密码生成器生成一个强密码,并在个人账户中进行设置。
引导学生讨论设置密码时应注意的事项,如避免使用重复密码、不要将密码写在易被他人看到的地方等。
5. 威胁模拟:模拟黑客攻击的形式,如钓鱼网站、恶意软件等,引导学生分析可能的网络攻击手段,学习如何防范和应对。
同时,通过模拟事件,让学生认识到强密码的重要性,以及个人账户被黑客入侵所带来的损失。
6. 实验总结:让学生总结密码保护个人账户的重要性,学习如何设置强密码,并提供其他网络安全实践的建议,如不轻易点击陌生链接、定期更新操作系统和软件等。
通过这个实验,学生可以更好地了解网络安全的重要性,并学会保护个人隐私和账户安全的有效措施。
同时,通过自己设计密码生成器和分析网络攻击手段,学生还可以培养自己的网络安全意识和解决问题的能力。
网络安全实验报告
网络安全实验报告网络安全实验报告一、引言网络安全是当今社会中一个非常重要的议题。
随着信息技术的快速发展,网络安全问题也日益凸显。
为了更好地了解网络安全的现状和相关技术,我们进行了一系列网络安全实验。
本报告旨在总结实验过程中的经验和发现,同时提出一些建议,以促进网络安全的发展。
二、实验目的1. 了解网络安全的基本概念和原理;2. 掌握常见的网络攻击和防御技术;3. 分析网络安全实践中的挑战和解决方案。
三、实验过程1. 实验一:网络漏洞扫描通过使用网络漏洞扫描工具,我们对一个局域网内的主机进行了漏洞扫描。
结果显示,有多台主机存在安全漏洞,如弱密码、未及时更新的软件等。
这提示我们在网络安全实践中,及时修补漏洞和加强密码管理的重要性。
2. 实验二:防火墙配置我们在一台服务器上配置了防火墙,限制了对外部网络的访问。
通过实验,我们了解到防火墙可以有效地保护网络免受未经授权的访问和攻击。
然而,不正确的防火墙配置也可能导致合法用户无法正常访问网络资源,因此在配置防火墙时需要谨慎操作。
3. 实验三:网络入侵检测我们使用了网络入侵检测系统来监控网络流量,并检测潜在的入侵行为。
实验结果显示,该系统能够准确地识别出一些已知的入侵行为,但对于新型的入侵行为,检测效果有限。
这提示我们在网络安全实践中,需要不断更新和改进入侵检测系统,以应对不断变化的威胁。
四、实验结果与讨论通过实验,我们深入了解了网络安全的基本概念和原理,掌握了常见的网络攻击和防御技术。
同时,我们也发现了网络安全实践中的一些挑战。
首先,网络安全技术的发展速度很快,新的攻击手段层出不穷,我们需要不断学习和更新知识。
其次,网络安全需要多方合作,包括政府、企业和个人的共同努力。
最后,网络安全意识的培养也非常重要,只有每个人都意识到网络安全的重要性,才能共同构建安全的网络环境。
五、结论与建议网络安全是一个复杂而且持续演变的领域,需要我们不断学习和创新。
为了提高网络安全水平,我们提出以下建议:1. 加强网络安全教育,提高公众的网络安全意识;2. 加强网络安全技术研究,不断改进防御技术;3. 加强国际合作,共同应对跨国网络安全威胁;4. 定期进行网络安全演练,提高应急响应能力。
网络安全实训报告
网络安全实训报告网络安全实训报告1. 概述网络安全实训是一项重要的实践教学活动,旨在提升学生对网络安全的认识和实际操作能力。
本报告将对网络安全实训进行详细描述和。
2. 实训内容本次网络安全实训包括以下主要内容:2.1 网络安全基础知识学习在实训开始前,学生需要进行网络安全基础知识的学习。
包括常见的网络攻击类型、防御原理、安全协议等内容。
学生通过阅读教材和参与讲座,获得相关知识,为后续实验做好准备。
2.2 网络安全实验操作实训过程中,学生需要进行一系列的网络安全实验操作,以巩固理论知识,并掌握实际操作技能。
实验内容主要包括:- 基于虚拟机搭建安全实验环境- 模拟网络攻击,并分析攻击原理和防御方法- 使用专业工具进行漏洞扫描和安全评估- 配置防火墙和入侵检测系统,实现网络的安全防护- 进行密码攻击实验,弱密码- 实施恶意软件检测与清除通过这些实验操作,学生可以直接接触和实践网络安全的各个方面,提高实际操作能力。
2.3 实训案例分析与解决在实训结束的阶段,学生需要分析实际案例,并提供解决方案。
这些案例可能是真实网络安全事件,也可能是模拟出的情景。
学生需要运用所学的知识和技能,分析并提出针对性的解决方案,以增强他们的综合应用能力。
3. 实训效果评估为了评估实训效果,我们采用了多种手段进行评估。
主要包括以下几个方面:3.1 实验报告学生需要按要求完成实验报告,详细记录实验过程、结果和分析。
实验报告会综合考察学生对实验原理和操作的理解程度,并对实验结果进行评估。
3.2 实训成绩实训的最终成绩将根据学生在实训过程中的表现综合评定。
包括实验报告、实验操作、案例分析等多个方面的评价。
3.3 反馈问卷为了了解学生对实训的反馈和建议,我们设计了一份反馈问卷。
学生可以在实训结束后进行匿名填写,以便我们进一步改进实训内容和方法。
4. 实训通过网络安全实训,学生不仅加深了对网络安全的理解,还提升了实际操作能力。
在实验操作中,学生能够独立完成各种网络安全任务,并提供有效的解决方案。
网络信息安全实验报告
网络信息安全实验报告一、实验目的随着信息技术的飞速发展,网络已经成为人们生活和工作中不可或缺的一部分。
然而,网络信息安全问题也日益凸显,如黑客攻击、病毒传播、数据泄露等,给个人和企业带来了巨大的损失。
本次实验的目的在于深入了解网络信息安全的重要性,掌握常见的网络攻击手段和防御方法,提高网络信息安全意识和防范能力。
二、实验环境本次实验在实验室的局域网环境中进行,使用了以下设备和软件:1、计算机:若干台,安装了 Windows 操作系统和常用的应用软件。
2、网络设备:路由器、交换机等,用于构建实验网络。
3、安全工具:防火墙、入侵检测系统、漏洞扫描工具等。
4、实验软件:Metasploit、Nmap、Wireshark 等。
三、实验内容(一)网络扫描与漏洞探测使用 Nmap 工具对目标网络进行扫描,获取网络拓扑结构、主机信息和开放端口等。
通过漏洞扫描工具对目标主机进行漏洞探测,发现可能存在的安全漏洞,如弱口令、系统漏洞、应用程序漏洞等。
(二)网络攻击模拟1、利用 Metasploit 框架进行漏洞利用攻击,如缓冲区溢出攻击、SQL 注入攻击等,尝试获取目标主机的控制权。
2、进行DDoS 攻击模拟,使用工具向目标服务器发送大量的请求,导致服务器资源耗尽,无法正常提供服务。
(三)网络防御措施1、配置防火墙规则,限制外部网络对内部网络的访问,阻止非法流量进入。
2、安装入侵检测系统,实时监测网络中的异常活动,及时发现并报警。
3、定期对系统和应用程序进行补丁更新,修复已知的安全漏洞。
4、加强用户认证和授权管理,设置强口令策略,防止非法用户登录。
(四)数据加密与解密1、学习对称加密算法(如 AES)和非对称加密算法(如 RSA)的原理和实现方法。
2、使用加密工具对文件进行加密和解密操作,体会数据加密在保护信息安全中的作用。
四、实验步骤(一)网络扫描与漏洞探测1、打开 Nmap 工具,输入目标网络的 IP 地址范围,选择扫描类型(如全面扫描、端口扫描等),开始扫描。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验2 IIS服务器证书配置一实验目的1.了解PKI体系2.了解用户进行证书申请和CA颁发证书过程3.掌握认证服务的安装及配置方法4.掌握使用数字证书配置安全站点的方法5.掌握使用数字证书发送签名邮件和加密邮件的方法二实验原理PKI是PublicKeyInfrastructure的缩写,通常译为公钥基础设施。
称为“基础设施”是因为它具备基础设施的主要特征。
PKI在网络信息空间的地位与其他基础设施在人们生活中的地位非常类似。
电力系统通过延伸到用户端的标准插座为用户提供能源;PKI通过延伸到用户的接口为各种网络应用提供安全服务,包括身份认证、识别、数字签名、加密等。
一方面PKI对网络应用提供广泛而开放的支撑;另一方面,PKI系统的设计、开发、生产及管理都可以独立进行,不需要考虑应用的特殊性。
目前,安全的电子商务就是采用建立在PKI基础上的数字证书,通过对要传输的数字信息进行加密和签名来保证信息传输的机密性、真实性、完整性和不可否认性(又称非否认性),从而保证信息的安全传输和交易的顺利进行。
PKI已成为电子商务应用系统、乃至电子政务系统等网络应用的安全基础和根本保障。
PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的完整性、机密性、不可否认性。
数据的完整性是指数据在传输过程中不能被非法篡改;数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的不可否认性是指参加某次通信交换的一方事后不可否认本次交换曾经发生过。
三实验步骤一.安全Web通信1.无认证(服务器和客户端均不需要身份认证)通常在Web服务器端没有做任何加密设置的情况下,其与客户端的通信是以明文方式进行的。
(1)客户端启动协议分析器,选择“文件”|“新建捕获窗口”,然后单击工具栏中的按钮开始捕获;2.单向认证(仅服务器需要身份认证)(1)CA(主机A)安装证书服务(2)服务器(主机B)证书申请(3)服务器(主机B)安装证书(4)Web通信3.双向认证(服务器和客户端均需身份认证)(1)服务器要求客户端身份认证(2)客户端访问服务器(3)客户端(主机C)证书申请(4)客户端查看颁发证书(5)客户端再次通过https访问服务器二.安全电子邮件1.主机B、C创建邮件账户具体创建方法参照附录A—Outlook Express配置方法。
通过单击“发送和接收”按钮或Ctrl+M快捷键,测试邮件账户是否创建成功。
2.邮件用户(主机B、C)申请电子邮件保护证书(1)邮件用户在IE浏览器地址栏中输入“http://CA的IP/certsrv/”并确认,访问CA的证书申请页面。
(2)邮件用户通过“申请一个证书”|“高级证书申请”|“创建并向此CA提交一个申请”,申请一张电子邮件保护证书。
(3)CA为邮件用户颁发电子邮件保护证书。
(4)邮件用户通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“安装证书”将数字证书安装好。
3.邮件用户设置Outlook Express4.发送签名电子邮件(未加密)(1)邮件用户创建新邮件单击Outlook Express中的“创建邮件”,在“收件人”栏写入对方(另外一个邮件用户)的邮件地址,主题和内容任意,先不要发送。
(2)使用数字证书为邮件签名单击新邮件的“工具”|“数字签名”为邮件签名,此时会在收件人后面出现一个签名的小标志。
(3)发送邮件单击新邮件的“发送”按钮将邮件发出。
(4)邮件用户接收到对方(另外一个邮件用户)的邮件并查看签名单击Outlook Express的“发送/接收”按钮,接收对方发来的邮件。
当打开对方发来的邮件时,可看到邮件有数字签名的标识和提示信息。
单击“继续”按钮即可阅读到邮件的内容。
5.发送加密电子邮件(1)邮件用户使用包含对方数字签名的邮件获得对方的数字证书(2)邮件用户创建新邮件并加密(3)接收对方的加密邮件并阅读该邮件6.邮件用户验证邮件的加密作用(1)导出证书(2)删除证书后查看加密邮件(3)导入证书后查看加密邮件。
实验3 IPSec—IP安全协议伴随着密码学的发展,数字签名技术也得以实现,利用数字签名技术可以保证信息传输过程中的数据完整性以及提供对信息发送者身份的认证和不可抵赖性。
一、实验目的1.了解IPSec主要协议2.理解IPSec工作原理3.Windows环境下能够利用IPSec在两台主机间建立安全隧道二、实验环境Windows,交换网络结构,每组2人,密码工具,网络协议分析器三、实验原理IPSec工作原理IPSec包含4类组件:(1)IPSec进程本身:验证头协议(AH)或封装安全载荷协议(ESP);(2)Internet密钥交换协议(IKE,Internet Key Exchange):进行安全参数协商;(3)SADB(SA Database):用于存储安全关联(SA,Security Association)等安全相关参数;(4)SPD(Security Policy Database,安全策略数据库):用于存储安全策略。
IPSec的工作原理类似于包过滤防火墙。
IPSec是通过查询安全策略数据库SPD来决定接收到的IP包的处理,但不同于包过滤防火墙的是,IPSec对IP数据包的处理方法除了丢弃、直接转发(绕过IPSec)外,还有进行IPSec的处理。
进行IPSec处理意味着对IP数据包进行加密和认证,保证了在外部网络传输的数据包的机密性、真实性、完整性,使通过Internet进行安全的通信成为可能。
在IETF的标准化下,IPSec的处理流程受到了规范。
1. IPSec流出处理如图2-1,在流出处理过程中,传输层的数据包流进IP层,然后按如下步骤执行:图2-1 IPSec流出处理流程(1)查找合适的安全策略。
从IP包中提取出“选择符”来检索SPD,找到该IP包所对应的流出策略,之后用此策略决定对该IP包如何处理:绕过安全服务以普通方式传输此包或应用安全服务。
(2)查找合适的SA。
根据策略提供的信息,在安全关联数据库中查找为该IP包所应该应用的安全关联SA。
如果此SA尚未建立,则会调用IKE,将这个SA建立起来。
此SA决定了使用何种基本协议(AH或ESP),采用哪种模式(隧道模式或传输模式),以及确定了加密算法,验证算法,密钥等处理参数。
(3)根据SA进行具体处理。
根据SA的内容,对IP包的处理将会有几种情况:使用隧道模式下的ESP或AH协议,或者使用传输模式下的ESP或AH协议。
2. IPSec流入处理如图2-2,在流入处理过程中,数据包的处理按如下步骤执行:图2-2 IPSec流入处理流程(1)IP包类型判断:如果IP包中不包含IPSec头,将该包传递给下一层;如果IP包中包含IPSec头,会进入下面的处理。
(2)查找合适的SA:从IPSec头中摘出SPI,从外部IP头中摘出目的地址和IPSec 协议,然后利用<SPI,目的地址,协议>在SAD中搜索SPI。
如果SA搜索失败就丢弃该包。
如果找到对应SA,则转入以下处理。
(3)具体的IPSec处理:根据找到的SA对数据包执行验证或解密进行具体的IPSec 处理。
(4)策略查询:根据选择符查询SPD,根据此策略检验IPSec处理的应用是否正确。
最后,将IPSec头剥离下来,并将包传递到下一层,根据采用的模式的不同,下一层或者是传输层,或者是网络层。
四、实验步骤IPsec虚拟专用网络的设置1. 进入IPsec配置界面(1)主机A、B通过“开始”|“程序”|“管理工具”|“本地安全策略”打开IPSec 相关配置界面,如图2-3所示。
(2)在默认情况下IPsec的安全策略处于没有启动状态,必须进行指定,IPsec才能发挥作用。
IPsec包含以下3个默认策略,如图2-3所示。
图2-3 本地安全设置●安全服务器:对所有 IP 通讯总是使用 Kerberos 信任请求安全。
不允许与不被信任的客户端的不安全通讯。
这个策略用于必须采用安全通道进行通信的计算机。
●客户端:正常通信,默认情况下不使用IPSec。
如果通信对方请求IPSec安全通信,则可以建立IPSec虚拟专用隧道。
只有与服务器的请求协议和端口通信是安全的。
●服务器:默认情况下,对所有IP通信总是使用Kerberos信任请求安全。
允许与不响应请求的客户端的不安全通信。
(3)以上策略可以在单台计算机上进行指派,也可以在组策略上批量指派,为了达到通过协商后双方可以通信的目的,通信双方都需要设置同样的策略并加以指派。
2. 定制IPSec安全策略(1)双击“安全服务器(需要安全)”项,进入“安全服务器属性”页,可以看到在“规则”页签中已经存在3个“IP安全规则”,单击“添加”按钮,进入向导添加新安全规则。
(2)在本练习中,我们实现的是两台主机之间的IPSec安全隧道,而不是两个网络之间的安全通信,因此,我们选择“此规则不指定隧道”,即选用传输模式IPSec,选中后单击“下一步”按钮。
(3)在选择网络类型的界面。
安全规则可以应用到3种网络类型:所有网络连接、局域网(LAN)和远程访问。
本练习中,我们选择“所有网络连接”,单击“下一步”按钮。
(4)在IP筛选器列表界面。
我们定制自己的筛选操作,单击“添加”按钮,进入“IP 筛选器列表”界面,如图2-4所示。
图2-4 IP筛选器列表(5)定制自己的IP筛选器。
点击“添加”按钮进入“IP筛选器向导”,单击“下一步”按钮;(6)在“IP筛选器描述和镜像属性”的“描述”中,可自由添加对新增筛选器的解释信息,在这里输入“与同组主机进行安全的icmp通信”,单击“下一步”按钮;(7)IP通信源选择“我的IP地址”,单击“下一步”按钮;(8)IP通信目标选择“一个特定的IP地址”,IP地址填写:同组主机IP,单击“下一步”按钮;(9)选择“ICMP”协议类型,单击“下一步”按钮。
单击“完成”按钮,完成定制IP 筛选器;(10)单击“确定”按钮,退出“IP筛选器列表”对话框。
操作界面返回到“安全规则向导”,设置新的IP筛选器:(1)在“IP筛选器列表”中选中“新 IP筛选器列表”,单击“下一步”按钮;(2)在“筛选器操作”界面单击“添加”按钮新建筛选器操作,在弹出的“筛选器操作向导”界面中,单击“下一步”按钮;(3)新的筛选器操作名称为“安全的ICMP通信”,描述自定义,单击“下一步”按钮;(4)在“筛选器操作常规选项”中选中“协商安全”,单击“下一步”按钮;(5)选中“不与不支持IPSec的计算机通信”,单击“下一步”按钮;(6)在“IP通信安全措施”中,选择“完整性和加密”,单击“下一步”按钮;最后单击“完成”按钮完成筛选器操作设置。