實(shí)驗(yàn)3 虛擬專用網(wǎng)

1、南昌航空大學(xué)實(shí)驗(yàn)報(bào)告二0三年十一月八日課程名稱：信息安全班級： 姓名:指導(dǎo)教師評定：xxx實(shí)驗(yàn)名稱：_同組人:實(shí)驗(yàn)3虛擬專用網(wǎng)簽名:、實(shí)驗(yàn)?zāi)康耐ㄟ^實(shí)驗(yàn)掌握虛擬專用網(wǎng)的實(shí)現(xiàn)原理、協(xié)議和結(jié)構(gòu)，理解并掌握在Windows操作系統(tǒng)中利用PPTP（點(diǎn)對點(diǎn)隧道協(xié)議）和IPSec（IP協(xié)議安全協(xié)議）配置VPN網(wǎng)絡(luò)的方法。二、實(shí)驗(yàn)原理1. 介紹虛擬專用網(wǎng)（Virtual Private Network , VPN）是在公共網(wǎng)絡(luò)中建立的安全網(wǎng)絡(luò)連接，它采 用了專有的隧道協(xié)議， 在傳輸中不被偷看、 個(gè)專線網(wǎng)絡(luò)是邏輯上，2. VPN的類型根據(jù)網(wǎng)絡(luò)類型的差異，可以把VPN分為Client-LAN和LAN-LAN 兩種

2、類型。（1）client-LAN 類型的 VPNClient-LAN類型的VPN ,即遠(yuǎn)程訪問方式的 VPN。它提供了一種安全的遠(yuǎn)程訪問手段，實(shí)現(xiàn)安全的對企業(yè)內(nèi)部網(wǎng)絡(luò)資源進(jìn)行遠(yuǎn)程訪問。它又分為基于In ternet遠(yuǎn)程訪問的 VPN和基于Intranet遠(yuǎn)程訪問的VPN。使用基于In ternet遠(yuǎn)程訪問的VPN ,遠(yuǎn)程訪問的客戶端首先通過撥號網(wǎng)絡(luò)連接到當(dāng)?shù)氐?ISP（ln temet服務(wù)提供商），利用ISP提供的服務(wù)通過In ternet連接到企業(yè)的遠(yuǎn)程訪問服務(wù)器， 遠(yuǎn)程訪問客戶端就可以安全的使用企業(yè)內(nèi)部各種授權(quán)的網(wǎng)絡(luò)資源了，其結(jié)構(gòu)如圖3-2所示。VPN連擬實(shí)現(xiàn)了數(shù)據(jù)的加密和完整性檢驗(yàn)、 用

3、戶的身份認(rèn)證，從而保證了信息 篡改、復(fù)制；類似于在公共網(wǎng)絡(luò)中建立了一個(gè)專線網(wǎng)絡(luò)一樣， 只不過這 所以稱為虛擬專用網(wǎng)。VPN系統(tǒng)的構(gòu)成如圖3-1所示。VPN連捋VPN客八機(jī)公扶網(wǎng)VPM服券器ISP便用PPIT 或0P的遠(yuǎn)探 訪何約端LntcmcE便用PKTP或 In ternet遠(yuǎn)程訪問的 VPN拓?fù)浣Y(jié)構(gòu)，鬣務(wù)趙對于通過Intranet進(jìn)行連接的企業(yè)內(nèi)部機(jī)構(gòu)及其遠(yuǎn)程分支機(jī)構(gòu)，為了保護(hù)有些部門的保密信息，可以使用基于Intranet遠(yuǎn)程訪問的VPN,如圖3-3所示。這些有安全需求的部門網(wǎng)絡(luò)與Intranet網(wǎng)絡(luò)也是物理上連接的，但是這個(gè)部門的網(wǎng)絡(luò)通過VPN服務(wù)器與Intranet網(wǎng)絡(luò)分隔。其它客戶

4、端計(jì)算機(jī)，則需要與保密部門建立安全的VPN連接，并且具有訪問保密部門網(wǎng)絡(luò)資源的權(quán)限，才能訪問保密部門受保護(hù)的網(wǎng)絡(luò)資源。圖3-3基于Intranet遠(yuǎn)程訪問的VPN拓?fù)浣Y(jié)構(gòu)圖3-1 VPN系統(tǒng)的構(gòu)成圖3-2基于VPN利諧IntnuicE(2)LAN-LAN 類型的 VPN為了在不同局域網(wǎng)絡(luò)之間建立安全的數(shù)據(jù)傳輸通道，可以采用LAN-LAN類型的VPN。一般租用專線，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、費(fèi)用昂貴。而采用LAN-LAN 類型的VPN，可以利用基本的In ternet和Intran et網(wǎng)絡(luò)建立起全球范圍內(nèi)物理的連接，再利用VPN的隧道協(xié)議實(shí)現(xiàn)安全如圖3-4所示。圖 3-4 LAN-LAN 類型的 VPN3

5、.VPN的協(xié)議VPN采用了多種信息安全技術(shù)和網(wǎng)絡(luò)技術(shù)，包括隧道技術(shù)、加密解密技術(shù)、密鑰管理 技術(shù)和身份認(rèn)證技術(shù)。隧道技術(shù)是一種數(shù)據(jù)封裝技術(shù)，它利用一種協(xié)議來封裝在另一種協(xié)議 中傳輸，從而實(shí)現(xiàn)被封裝協(xié)議的安全性?，F(xiàn)有封裝協(xié)議主要包括兩類：一類是第2層隧道協(xié)議：另一類是第3層隧道協(xié)議。(1) 第2層隧道協(xié)議第2層隧道協(xié)議主要有 3種。一種是點(diǎn)對點(diǎn)隧道協(xié)議 (Point to Point Tunneling Protocol， PPTP)。另一種是二層轉(zhuǎn)發(fā)協(xié)議 (Layer 2 Forwarding，L2F)。第 3 種是 L2TP(Layer 2 Tunneling Protocol，L2TP)，

6、它結(jié)合了上述兩個(gè)協(xié)議的優(yōu)點(diǎn)，(2) 第3層隧道協(xié)議第3層隧道協(xié)議主要包括 IP Sec和GRE等隧道協(xié)議。IP Sec(I P Security)協(xié)議是IETF IP Sec 工作組制定的一套保護(hù)IP通信安全的協(xié)議族，是一個(gè)應(yīng)用廣泛、開放的VPN安全協(xié)議體系。GRE(Generic Routing Encapsulation)通用路由封裝協(xié)議是一種將任意類型的網(wǎng)絡(luò)層數(shù)據(jù)包封 裝入另外任意一種網(wǎng)絡(luò)層數(shù)據(jù)包的協(xié)議。三、實(shí)驗(yàn)環(huán)境多臺 Windows 2000 Professional 或 Windows XP Professional 計(jì)算機(jī)，一臺 Windows 2000 Server操作系統(tǒng)的計(jì)

7、算機(jī)，所有計(jì)算機(jī)均聯(lián)網(wǎng)。四、實(shí)驗(yàn)內(nèi)容和任務(wù)任務(wù)一 Windows操作系統(tǒng)中利用 PPTP配置VPN網(wǎng)絡(luò)1. 配置VPN服務(wù)器我們首先配置 VPN的服務(wù)器端：在 Windows 2000 Server中選擇 開始”進(jìn)入程序 中的“管理工具”，單擊“路由和遠(yuǎn)程訪問”，彈出如圖3-9所示的界面。右擊右側(cè)對話框中 的服務(wù)器名，在彈出的對話框中進(jìn)入“配置并啟用路由和遠(yuǎn)程訪問”，會出現(xiàn)路由和遠(yuǎn)程服務(wù)向?qū)?，單擊“下一步”按鈕。 -|n|K|1噪性查看J 3=叫服務(wù)黑曲苴路由和話理詩1可:習(xí)服另品伏態(tài)主 NCHU-WUZH1HONG (本捲腮務(wù)器若丨服等郢糞型1伏恵n便用1lhLhUUZHlhlONG Mic

8、rosoft Wndobvs 3000 Server 弘 巨停IE f耒-I3-9路由和遠(yuǎn)程訪問界面21抵可中選?-iElSS 尸3li誘師曙上翊有VTB誼間用袖恂也.I*F*L連撞費(fèi)3-更冋塔上的所有計(jì)it機(jī)直雖到琢小止 遠(yuǎn)S誼同富*】哽遠(yuǎn)（+fl機(jī)能抿人碗.母 爭 m 盡 （v7bEs（）：便遠(yuǎn)程計(jì)罩機(jī)R誕過InUt環(huán)t lESa阿培.阿培略由器（1）列1；瞬龍與a它網(wǎng)鋼迺ffl.手動配査（J用默認(rèn)設(shè)fi啟謝喪備S*圖3-10向?qū)е羞x中“虛擬專用網(wǎng)絡(luò)（ VPN）服務(wù)器”ir ttlfftf宇姬時(shí)uJiJt對遠(yuǎn)程S戶定IF脫的方怯.淞如麗運(yùn)握客尸井配IT地址？r S踰扣黒S使用1亍DUCT眾

9、*器另配也址，話南認(rèn)它配!?正帝*如果侵廿僅 用Mcr服落a此器耦生成地址.斤頸三迥S宦舸翌晝?旦更圖3-12分配遠(yuǎn)程客戶端IP地址查看所有端口狀態(tài)殮證ltd!段笛上mf客尸要建的iSfCi（是否在下列ttU 協(xié)說叩：I iL;pl7.直tPB由選S*淫遠(yuǎn)S訪I耳集* 遠(yuǎn)程訪i4i靖口左稱-I設(shè)備I注S詈 a接井行(LPTPARALLEL機(jī)型茁口爐PIP)艸mb” wtyWfiN tSaiflO (PPIP (VFWJ-. VPN 雯UWNtS型嶄口(HTP)理mJ WN 営vfffi 鐵型OUi(ppiiO卯mj，” WN 機(jī)型is口爐PIP)艸m*,” WtyWAN tSaiflO (PP

10、IP (VFWJ-. VPN 雯UWNtS型嶄口(HTP)理mJ WN 詈iwj 微型OUi(ppiiO卯mj，” WN 型is爐PIP)艸mi. Wty 囂 uwwts型iSQ 爐PIP)炸PW3VPN 雯UWNtS型嶄口 (HTP)(mJ-9) WN 詈iwj 微型OUi(ppiiO卯mj，” WN 僚iwf刪機(jī)型is爐PIP)艸mb” Wty 囂 uwwts型iSQ 爐PIP)炸PW3VPN 雪UWNtS型嶄口 (PPIP)(PHJ-. VPN 詈iflwj機(jī)型口(Ppip)cvmj-. vpfj 曙叩刪機(jī)型iS口(ppipjcmj-. WN 歲iXWJtS型iSQ 爐PIP)炸PW3V

11、PN jj 叫。3 屮fh ri 、2 a Z I F- 圖3-13路由和遠(yuǎn)程訪問界面2.配置VPN客戶端在Windows XP（也可在 Windows 2000等系統(tǒng)中配置客戶端）中選擇 控制面板中的“網(wǎng) ，進(jìn)入“新建連接向?qū)А苯缑?，單擊“下一步”按鈕，選擇“連接到我的工作場所 ，如圖3-15所示，單擊 下一步”按鈕。絡(luò)連接”的網(wǎng)絡(luò)”圖 3-14打開活動目錄中用戶的屬性圖3-15網(wǎng)絡(luò)連接類型TH動動動動動動動動動動動動動動動動動動動it 轄 活轄 活轄不不不不不不不不不不不不不不不不不不不FI母控制臺 a 口 t塑利腳由|操ft 査看辿II 4 罔佃I X呼囤 哩.迺也1&玄倉 叫Adtwa

12、 DirectoryA-劇 wjdi.nchu.jK.cnLt 匚JfldiibnI* 匚J CornpubareFl 回 Dornan CortrolersP - LJ ForeiTiSKurity PnCa UsersUsere J0-T-W 主的；I芙型/BSSSCett Pubbshers 也 Era朋 rrin$eu,AdnmnsComp.安全爼-至局安全組-金局安呈爼-全局 妥全爼全局.安全組全局 esti安全組-全局 _安金爼-金局fSErtcrcftsc M.妥全組-至局 （32&*#PdiCy .安全組全局Gue stG IUSfi_NChU-.用戶 C |VAM_NCMU.

13、用尸 f&krbtgt用戶(JIDon廊 Contr. (JiEnman Gui fScmari LiHre用戶盤業(yè)認(rèn)證和級1!代 DHS O理員組 址許SK它容戶（如DH. 指定M営題 加入到域中的所棄工作 域中馬有戌控制辟 咸的噺有來辰 所有黴用戶 盤業(yè)fiMB足耒3S背埋員 逹嚇組中的賤員可（il隆 供來左諭阿計(jì)0機(jī)血詢”. 匿名詁問Ufternet信息,.， B動翊!之外的應(yīng)用檯“. 密tas行中心JK勞帳戶到 It#rict（i）連Sf到rnlnel,逵樣低就可M創(chuàng)隠ilti或閱湊電？郎件.讎剰謝工怕a廉聳同常建癡劉二iW亞同谿旗甬揪禺前 曬n這ft慢就可加E家里戴看耳它地O設(shè)買掠應(yīng)

14、蠱小3!打益伍）淫揺劉1亍現(xiàn)有的療應(yīng)宓小fi打螢豳，be若設(shè)a-亍窮的*C耀冒qS連接（用并命口afi紅外踹口IS接連接到苴它計(jì)苴機(jī)，壺設(shè)量就汁算機(jī)決苴它 計(jì)a機(jī)船與它這g.K上-涉雄訓(xùn)下一舟咄I 險(xiǎn)消 I* vrrdifmt Ktt區(qū)図史全選項(xiàng)戲茂轅芳丄I 臉證刪當(dāng)份A(P- 幣要有先全菇拮的曲碼feffiSnS (tl-n r I-：)Ott 號 5*(1)用翩解就舅和曾逋電活廚，夠S過綠営業(yè)箏宇網(wǎng)CEsmn電活鱷(gS：kS5JBlH密腥有 斷？f) 1)Oisasf自走義爰卻(1)-1,1- 1 lT5設(shè)宜商禹A許iattft改口科噁的蜩山肚了 0!) &L- S曲慚鑿證協(xié)iKCffx

15、P)(y SlilliEtiria CtHW) lE)回 Kl CT如aft CHAT Oe-CHAPl) A許為 Yg心用舊蕙 K-CHJJ(5P0lflin-?nft ClWf 版本 2 Oe-Clur (：If S選貼蠟 循識I自愣翌方沽!薩込姙B連a類SI戈S姑Iff力窗!f定丁計(jì)聲機(jī)廨明超立佰出D-寰童現(xiàn)0:.IF襦遙船列去 I臟t誘麗 回所有IF通：,Eft盂S史全I(xiàn) IJJ ! II N I 0S!娜K*tk-d無X4fc*bu*4f.無極器#性(Z).：稱Q語求S全curat)舐不史全戌迢訊，舊總是鍛.O兩允許不S主的n esH*X龜勰墓彗丁比規(guī)珊帝謝。何珮證LDirBcL-H

16、-y(PtrbargT 眄 hJHS.)廣便用由就ii坤礦刪 3 掘S的證率()iLSUDOU. I 昨世.阱加畑 I占炯叩 脇.P 用”融何導(dǎo)售號aI a走 I 卵目I由用如I2. 配置專用的IP Sec安全策略除了利用 Win dows內(nèi)置的IP Sec安全策略外，我們還可以自己定制專用的IPSec安全策略。右擊圖3-24中“IP安全策略，在本地計(jì)算機(jī) ”，選擇“創(chuàng)建IP安全策略”，則彈出如圖 3-25所示IP安全策略向?qū)Ы缑?。單?下一步”按鈕，要求輸入新IP安全策略的名稱和描述， 再單擊“下一步”按鈕彈出安全通信請求，我們選擇清除“激活默認(rèn)響應(yīng)規(guī)則”，最后就到了 “完成IP規(guī)則向?qū)А保x中 編輯屬性”后單擊 完成”按鈕