《網絡安全》實驗指導書

PAGE1目錄實驗一：DES對稱密碼算法實驗（N01） 1實驗二：RSA非對稱密碼算法實驗（N02） 6實驗三：網絡掃描實驗（N03） 11實驗四：網絡監(jiān)聽實驗（N04） 20實驗五：證書服務和Web服務器證書應用實驗（N05） 26實驗六：電子郵件證書應用實驗（N06） 39實驗七：PPTPVPN配置及應用實驗（N07） 43實驗八：IPSecVPN配置及應用實驗（N08） 53PAGE1實驗一：DES對稱密碼算法實驗（N01）一、實驗名稱和性質所屬課程信息安全實驗名稱DES密碼技術及實現實驗學時2實驗性質□驗證√綜合□設計必做/選做√必做□選做二、實驗目的通過對DES算法進行分析，并使用DES算法對數據進行加密和解密，進一步理解DES的實現和加解密原理。三、實驗的軟硬件環(huán)境要求運行Windows操作系統的計算機，具有VC等C語言編譯環(huán)境。四、知識準備1.密鑰處理從用戶處獲得64位密鑰，其中每第8位為校驗位，為使密鑰有正確的奇偶校驗，每個密鑰要有奇數個“1”位。具體過程如下:（1）舍棄64位密鑰中的奇偶校驗位，根據下表（PC-1）進行密鑰變換得到56位的密鑰，在變換中，奇偶校驗位已被舍棄。PermutedChoice1(PC-1)57494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124（2）把變換后的密鑰等分成兩部分,前28位記為C[0],后28位記為D[0]。（3）計算子密鑰(共16個)，從i=1開始。分別對C[i-1],D[i-1]作循環(huán)左移來生成C[i],D[i]。(共16次)。每次循環(huán)左移位數如下表所示：循環(huán)次數12345678910111213141516左移位數1122222212222221串聯C[i],D[i]，得到一個56位數，然后對此數按下表（PC-2）作如下變換以產生48位子密鑰K[i]。PermutedChoice2(PC-2)1417112415328156211023191242681672720132415231374755304051453348444939563453464250362932從處循環(huán)執(zhí)行，計算出16個子密鑰。2．對64位數據塊的處理（1）把數據分成64位的數據塊，不夠64位的以補零方式填補。（2）對數據塊按下表（IP）變換。InitialPermutation(IP)58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157（3）將變換后的數據塊等分成前后兩部分，前32位記為L[0],后32位記為R[0]。（4）用16個子密鑰對數據加密，初始I=1。根據下面的擴沖函數E，擴展32位的成48位Expansion(E)3212345456789891011121312131415161716171819202120212223242524252627282928293031321用E{R[i-1]}與K[i]作異或運算。把所得的48位數分成8個6位數。1-6位為B[1]，7-12位為B[2],……43-48位為B[8]。按S表變換所有的B[J]，初始J=1。所有在S表的值都被當作4位長度處理。將B[J]的第1位和第6位組合為一個2位長度的變量M，M作為在S[J]中的行號。將B[J]的第2位到第5位組合，作為一個4位長度的變量N，N作為在S[J]中的列號。用S[J][M][N]來取代B[J]。SubstitutionBox11441312151183106125907015741421311061211953841148136211151297310501512824917511314100613S[2]1518146113497213120510313471528141201106911501471110413158126932151381013154211671205149S[3]1009146315511312711428137093461028514121115113649815301112125101471101306987415143115212S[4]7131430691012851112415138115615034721211014910690121171315131452843150610113894511127214S[5]2124171011685315130149141121247131501510398642111101378159125630141181271142136150910453S[6]1211015926801334147511101542712956113140113891415528123704101131164321295151011141760813S[7]4112141508133129751061130117491101435122158614111312371410156805926111381410795015142312S[8]1328461511110931450127115138103741256110149271141912142061013153582114741081315129035611從i處循環(huán)執(zhí)行，直到B[8]被替代完成。將B[1]到B[8]組合，按下表（P）變換，得到P。PermutationP1672021291228171152326518311028241432273919133062211425異或P和L[I-1]結果放在R[I]，即R[I]=PXORL[I-1]。L[I]=R[I-1]從a)處開始循環(huán)執(zhí)行，直到K[16]被變換完成。組合變換后的R[16]L[16]（注意：R作為開始的32位），按下表（IP-1）變換得到最后的結果。五、實驗內容 分析實例代碼，并對程序進行編譯運行，實際演示和體驗DES算法的實現過程。六、綜合性實驗1．實驗要求 （1）按步驟完成任務，撰寫實驗報告。 （2）對給出的DES源程序進行編譯運行，對輸入的數據進行加密和解密。2．實驗步驟 （1）分析給出的DES源程序代碼；（2）對給出的源程序進行編譯連接；（3）運行DES程序。圖1－1DES實驗結果3．實驗結果圖1－1DES實驗結果

實驗二：RSA非對稱密碼算法實驗（N02）一、實驗名稱和性質所屬課程信息安全實驗名稱RSA密碼技術及實現實驗學時2實驗性質□驗證√綜合□設計必做/選做√必做□選做二、實驗目的通過分析RSA算法，并使用RSA算法及工具對數據進行加密和解密，從而理解RSA的實現和加密原理。三、實驗的軟硬件環(huán)境要求運行Windows操作系統的計算機，具有VC等C語言編譯環(huán)境。四、知識準備1．密鑰生成生成兩個大的質數(素數)p和q.(質數就是只能被自己和1整除的數)。n=p*q。m=(p-1)*(q-1)。生成較小的數e,使e與m互質，即e和m的最大公約數為1。生成d,使d*e%m=1,%代表求余數。至此公鑰為e和n，私鑰為d和n。至于p,q,m馬上丟棄。2．加密過程產生密文c的公式為:c=p^e%n，即p的e次方除以n求余，可見加密是用公鑰進行的，加密只牽涉到明文和公鑰。至此可以把密文傳出去了，這樣就是被截獲也搞不懂原文是什么。3．解密過程收到密文c后產生明文(解密)p的公式為:p=c^d%n，即c的d次方除以n求余?？梢娊饷苤粻可娴剿借€和密文。因此從整個過程來看，只要你保管好私鑰，不泄密，可以放心的把密文和公鑰公開。舉個例子:本例用較小的質數為例，以計算方便，但小質數并不安全。密鑰生成:p=7，q=19。n=p*q=7*9=133。m=(p-1)*(q-1)=(7-1)*(19-1)=108。生成較小的數e，使e與108互質,2,3,4都不對,5是最小的，于是e=5。生成d，使d*e%m=1，d*5%108=1，d*5除以108余數為1,...于是算出d=65。至此公鑰e=5，n=133。私鑰d=65，n=133。密鑰計算完畢。加密過程:RSA的原則是被加密的信息應該小于p和q的較小者，所以在這個例子中，我們要指明被加密的數字要小于7。于是我們取6為例。加密:c=p^e%n=6^5%133=7776%133=62,于是密文為62。把62傳出去。解密過程:解密:p=c^d%n=62^65%133=62*62^64%133經過好一陣子運算，余數為6。五、實驗內容 分析RSA算法源代碼，理解RSA的加解密原理和過程。六、綜合性實驗1．實驗要求 （1）按步驟完成實驗任務，撰寫實驗報告。 （2）使用RSA加解密工具RSATool生成公私鑰對，并對一段輸入的數據進行加解密，以進一步了解RSA算法原理及應用。2．實驗步驟 （1）雙擊RSATool程序圖標，啟動RSATool程序，RSATool主窗口如下1－2圖所示：（2）確定要生成的密鑰的長度Keysize，如64位，如圖1－3所示。（3）單擊Start按鍵，生成隨機數，如圖1－4所示。（4）生成隨機數后，單擊Generate按鈕，生成密鑰，如圖1－5所示。（5）單擊Test按鈕，打開RSA加密測試對話框，如圖1－6所示。（6）在Messagetoencrypt文本框中輸入要加密的文字，如圖1－7所示。（7）單擊Encrypt按鈕，對所輸入的文字進行加密，如圖1－8所示。（8）單擊Decrypt按鈕，對第（7）步的加密結果進行解密，如圖1－9所示：圖1－2RSATool主窗口圖1－2RSATool主窗口圖1－4生成隨機數圖1－3確定要生成的密鑰的長度Keysize圖1－4生成隨機數圖1－3確定要生成的密鑰的長度Keysize圖1－8對所輸入的文字進行加密圖1－7輸入要加密的文字圖1－5生成密鑰圖1－6RSA加解密測試對話框圖1－8對所輸入的文字進行加密圖1－7輸入要加密的文字圖1－5生成密鑰圖1－6RSA加解密測試對話框圖1－9對加密結果進行解密圖1－9對加密結果進行解密

實驗三：網絡掃描實驗（N03）一、實驗名稱和性質所屬課程信息安全實驗名稱網絡掃描實驗學時2實驗性質□驗證√綜合□設計必做/選做√必做□選做二、實驗目的 通過實驗掌握使用綜合掃描及安全評估工具，進行網絡系統漏洞掃描并給出安全評估報告的方法和過程，加深對各種網絡和系統漏洞的理解。掌握流光軟件和MBSA的應用，并根據掃描結果撰寫安全評估報告。三、實驗的軟硬件環(huán)境要求 兩臺或更多臺運行Windows2000Server操作系統的計算機，通過網絡相連。使用流光（Fluxay5）和MBSA。四、知識準備1．漏洞掃描技術漏洞掃描通常是在端口掃描的基礎上，對得到的信息進行相關處理，進而檢測出目標系統存在的安全漏洞。1）漏洞掃描技術的原理漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及啟動的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統存在安全漏洞。2）漏洞掃描技術的分類和實現方法漏洞掃描大體包括CGI漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等。這些漏洞掃描基于漏洞庫，將掃描結果與漏洞庫相關數據匹配比較得到漏洞信息。漏洞掃描還包括沒有相應漏洞庫的各種掃描，比如Unicode遍歷目錄漏洞探測、FTP弱勢密碼探測、OPENRelay郵件轉發(fā)漏洞探測等，這些掃描通過使用插件（功能模塊技術）進行模擬攻擊，測試出目標主機的漏洞信息。2．流光簡介流光并不是單純的漏洞弱點掃描工具，而是一個功能強大的滲透測試工具。憑借流光的高度綜合性和靈活性，流光在滲透測試（PenetrationTest）方面表現出了獨特的優(yōu)勢。流光的漏洞掃描也是眾多掃描中最具特色的一個，除了提供全面的掃描功能以處，利用C/S結構設計的掃描思想更是在眾多復雜的應用場合脫穎而出。流光目前的漏洞掃描包括POP3、FTP、IMAP、TELNET、MSSQL、MySQL、Web、IPC、RPC、DAEMON等。流光的主要功能包括以下方面：1）暴力破解：提供POP3/FTP/IMAP/HTTP/PROXY/MSSQL/SMB/WMI的暴力破解功能。2）網絡嗅探：利用ARP欺騙，對交換環(huán)境下的局域網內主機進行嗅探。和流光的漏洞掃描模塊一樣，網絡嗅探也采用了C/S結構，可以提供遠程網絡的嗅探功能。3）滲透：流光包含了SQLCMD/NTCMD/SRV/TCPRelay等輔助滲透工具。4）字典：可以定制各種各樣的字典文件，為暴力破解提供高效可用的字典。5）雜項工具：流光可以提供PcAnyWhere密碼文件的解碼等功能。3．MBSAWindows系統的“漏洞”就像它的GUI（圖形用戶界面）一樣“舉世聞名”，幾乎每個星期都有新的漏洞被發(fā)現。這些漏洞常被計算機病毒和黑客們用來非法入侵計算機，進行大肆破壞。雖然微軟會及時發(fā)布修補程序，但是發(fā)布時間是隨機的，而且這些漏洞會因Windows軟件版本的不同而發(fā)生變化，這就使得完全修補所有漏洞成為每個Windows用戶的頭號難題。

解決這個難題的簡單方法就是：利用特定的軟件對Windows系統進行掃描，檢查是否存在漏洞，哪些方面存在漏洞？以便及時修補。微軟開發(fā)的免費軟件MBSA（MicrosoftBaselineSecurityAnalyzer，微軟基準安全分析器），就能對Windows、Office、IIS、SQLServer等軟件進行安全和更新掃描（如圖1），掃描完成后會用“X”將存在的漏洞標示出來，并提供相應的解決方法來指導用戶進行修補。MBSA的工作原理是：以一份包含了所有已發(fā)現的漏洞的詳細信息（如：什么軟件隱含漏洞、漏洞存在的具體位置、漏洞的嚴重級別等）的安全漏洞清單為藍本，全面掃描計算機，將計算機上安裝的所有軟件與安全漏洞清單進行對比。如果發(fā)現某個漏洞，MBSA就會將其寫入到安全報告中。五、實驗內容 1．按步驟完成實驗任務，撰寫實驗報告。 2．查看掃描結果，了解各種漏洞的原理和可能造成的危害，根據掃描結果對漏洞進行修復，然后再次進行掃描，對比漏洞修復前后的掃描結果。六、綜合性實驗1．實驗要求 安裝并使用流光和MBSA對系統進行漏洞掃描，分析掃描結果，從而掌握使用工具軟件進行漏洞掃描的方法和步驟，加深對網絡攻擊過程的理解。最后根據掃描結果撰寫安全評估報告。2．實驗步驟流光軟件的安裝與使用雙擊安裝程序，進入安裝向導，如圖2-1所示。根據安裝向導，進行安裝。安裝完畢后，運行流光軟件，進入主窗口，如圖2-2所示。 流光主窗口中各部分功能如下：區(qū)域1：暴力破解的設置區(qū)域，主要用于設置暴力破解和其他相關的輔助功能。區(qū)域2：控制臺輸出，用于查看當前工作的狀態(tài)，包括掃描和暴力破解。區(qū)域3：掃描得到的典型漏洞列表，在這個列表中大多數情況都可以直接單擊，對漏洞加以進一步的驗證。區(qū)域4：掃描或暴力破解成功的用戶帳號。區(qū)域5：掃描和暴力破解時的速度控制（通過設置TCP的超時間來實現）。區(qū)域6：掃描和暴力破解時的狀態(tài)顯示，包括并發(fā)的線程數目和掃描速度等。區(qū)域7：中止按鈕，可以中止暴力破解和掃描（IPC的暴力破解除外）。圖2-1進入流光安裝向導圖2-2圖2-1進入流光安裝向導圖2-2流光主窗口選擇“文件→高級掃描向導”命令進行漏洞掃描及帳戶和口令破解。進入“設置”對話框，在這里可以進行掃描地址范圍、目標系統、檢測項目的選擇設置，如圖2-3所示。此項設置也可通過“探測→高級掃描工具”命令進行設置。圖2-3掃描地址、目標及項目設置單擊“圖2-3掃描地址、目標及項目設置圖2-4高級掃描設置上述設置也可以通過“探測→圖2-4高級掃描設置圖2-5選擇掃描引擎設置完成后彈出“圖2-5選擇掃描引擎在沒有安裝其他引擎情況下，默認選擇本地主機，單擊“開始”按鈕開始掃描，窗口右側及下側將滾動顯示掃描結果，同時，在窗口底端則顯示破解用戶的帳戶與密碼，如圖2-6所示。圖2-8掃描報告之一圖2-7圖2-8掃描報告之一圖2-7詢問用戶是否查看掃描報告圖2-6掃描結果圖2-9掃描報告之二圖2-9掃描報告之二MBSA只能在Windows2000/XP/2003系統上運行。在微軟的官方網站上可以下載到最新版的MBSA，而且只要按照“安裝向導”的提示操作即可完成安裝過程。安裝完成后，依次單擊“開始→程序→MicrosoftBaselineSecurityAnalyzer1.2.1”程序項（或雙擊“桌面”上的“MicrosoftBaselineSecurityAnalyzer1.對一臺計算機進行掃描是MBSA的基本功能，具體的操作步驟如下：第一步：單擊MBSA主窗口中的“Scanacomputer”（或“Pickacomputertoscan”）菜單，將彈出“Pickacomputertoscan”對話框，如圖2-10所示。圖2-10圖2-10MBSA主窗口中的“Scanacomputer”設定要掃描的對象告訴MBSA要掃描的計算機是掃描成功的基礎。MBSA提供兩種方法：方法1：在“Computername”文本框中輸入計算機名稱，格式為“工作組名\計算機名”。默認情況下，MBSA會顯示運行MBSA的計算機的名稱，“WORKGROUP”是運行MBSA的計算機所屬的工作組名稱，“JXNO”是計算機名稱。方法2：在“IPaddress”文本框中輸入計算機的IP地址。在此文本框中允許輸入在同一個網段中的任意IP地址，但不能輸入跨網段的IP，否則會提示“Computernotfound.”（計算機沒有找到）的信息。設定安全報告的名稱格式每次掃描成功后，MBSA會將掃描結果以“安全報告”的形式自動地保存起來。MBSA允許用戶自行定義安全報告的文件名格式，只要在“Securityreportname”文本框中輸入文件格式即可。MBSA提供兩種默認的名稱格式：“％D％-％C％(％T％)”（域名-計算機名(日期戳)）和“％D％-％IP％(％T％)”（域名-IP地址(日期戳)）。設定掃描中要檢測的項目MBSA允許檢測包括Office、IIS等在內的多種微軟軟件產品的漏洞。在默認情況下，無論計算機是否安裝了以上軟件，MBSA都要檢測計算機上是否存在以上軟件的漏洞。這不但浪費掃描時間，而且影響掃描速度。用戶可以根據自身情況進行選擇，對于一些沒有安裝的軟件可以不選，例如：若沒有安裝SQLServer，則可不選中“CheckforSQLvulnerabilities”復選項，這樣能縮短掃描時間，提高掃描速度?；谶@點考慮，MBSA提供了讓用戶自主選擇檢測的項目的功能。只要用戶選中（或取消）“Options”中某個復選項，就可讓MBSA檢測（或忽略）該項目不過，允許用戶自主選擇的項目只有“CheckforWindowsvulnerabilities”（檢查Windows的漏洞）、“Checkforweakpasswords”（檢查密碼的安全性）、“CheckforIISvulnerabilities”（檢查IIS系統的漏洞）、“CheckforSQLvulnerabilities”（檢查SQLServer的漏洞）等四項。至于其它項目（如：Office軟件的漏洞等）MBSA會強制掃描。設定安全漏洞清單的下載途徑MBSA以一份包含了所有已發(fā)現的漏洞的詳細信息的安全漏洞清單為藍本，全面掃描計算機，將計算機上安裝的所有軟件與安全漏洞清單進行對比。如果發(fā)現某個漏洞，MBSA就會將其寫入到安全報告中。因此，要想讓MBSA準確地檢測出計算機上是否存在漏洞，安全漏洞清單的內容是否是最新的就至關重要了。由于新的漏洞不斷被發(fā)現，所以我們要像更新防病毒軟件的病毒庫一樣，及時更新安全漏洞清單。MBSA提供了兩種更新方法：從微軟官方網站上下載微軟會在它的官方網站上及時發(fā)布最新的安全漏洞清單，所以MBSA被默認設置為每一次掃描時自動鏈接到微軟官方網站下載最新的安全漏洞清單。如果用戶已經下載了最新的安全漏洞清單，則可取消“Checkforsecurityupdates”復選項。否則應該選中此復選項，以確保安全漏洞清單的內容是最新的。當然，此方法適用于能連入Internet的計算機用戶。從SUS服務器上下載有些局域網中架設了SUS（SoftwareUpdateServices，軟件升級服務）服務器，所以此類用戶可以選擇此方法下載最新的安全漏洞清單，只要選中“UseSUSServer”復選框，并在其下的文本框中輸入SUS的地址即可。圖2-11“Scanning”對話框第二步：用戶根據自身情況設置好各項參數后單擊“StartScan”菜單，將彈出“Scanning”對話框，如圖圖2-11“Scanning”對話框第三步：掃描完成后，MBSA會將掃描的結果以安全報告的形式保存到“X:\DocumentsandSettings\username\SecurityScans”（X：指Windows的系統分區(qū)符，username：是操作MBSA的用戶名）文件夾中。圖2-12“Viewsecurityreport”對話框第四步：此時，MBSA還會自動彈出“Viewsecurityreport”對話窗，如圖2-12所示圖2-12“Viewsecurityreport”對話框用戶可以根據安全報告的“Score”列中不同顏色的圖標來簡單區(qū)分被掃描的計算機上哪些方面存在漏洞，哪些方面需要改進，如：●綠色的“√”圖標表示該項目已經通過檢測?！窦t色（或黃色）的“×”圖標表示該項目沒有通過檢測，即存在漏洞或安全隱患●藍色的“*”圖標表示該項目雖然通過了檢測但可以進行優(yōu)化，或者是由于某種原因MBSA跳過了其中的某項檢測?！癜咨摹癷”圖標表示該項目雖然沒有通過檢測，但問題不很嚴重，只要進行簡單的修改即可。但是這種判斷方法很不準確，正確的方法是查看檢測項目的“Result”列中是否含有“Howtocorrectthis”（如何修正它）選項。只要有項目存在，用戶就應該單擊“Howtocorrectthis”選項。然后根據提供的解決方法，或是下載相應的補丁程序，或是修改相關的設置，就可修正存在的問題圖2-13信息提示窗例如：安全報告提示“IEZones”（IE區(qū)域設置）項目沒有通過檢測，單擊“Howtocorrectthis”選項后都將彈出信息提示窗，如圖圖2-13信息提示窗

實驗四：網絡監(jiān)聽實驗（N04）一、實驗名稱和性質所屬課程信息安全實驗名稱網絡監(jiān)聽實驗學時2實驗性質□驗證√綜合□設計必做/選做√必做□選做二、實驗目的 掌握協議分析器的使用方法，并根據實驗總結針對網絡監(jiān)聽的防范措施。三、實驗的軟硬件環(huán)境要求本實驗采用一個已經連接并配置好的局域網環(huán)境。任何兩臺PC機都能互相訪問。所有PC機上安裝的都是Windows操作系統。四、知識準備 協議分析器通過捕獲網絡上的數據包來獲取網絡上的有關信息，以監(jiān)視網絡的運行。發(fā)現網絡中出現的問題，是網絡管理的重要工具。嗅探器（Sniffer）是一種重要的網絡協議分析工具，它工作在網絡環(huán)境的底層，能攔截所有正在網絡上傳送的數據，并可以分析網絡狀態(tài)和整體布局。這些信息為網絡管理員判斷網絡問題，進行網絡管理提供了重要依據，也成為黑客使用的一種工具。 1．協議分析器的功能 協議分析器具有如下一些功能： （1）捕獲數據包。協議分析器可以監(jiān)視某個網絡實體，捕獲所有流經該實體的數據。高端協議分析器還可以制定捕獲的計劃和觸發(fā)條件。 （2）數據包統計。協議分析器可以對捕獲到的數據包進行統計和分析，根據時間、協議類型和錯誤率等進行分析，甚至可以打印出各種直觀的圖表和報表。 （3）過濾數據。許多協議分析器設置有過濾器，通過過濾，可以有選擇地捕獲數據包，或對所捕獲的數據有選擇地加以顯示，以避免捕獲大量數據包造成系統資源的太多消耗，降低系統性能。 （4）數據包解碼。協議分析器可以從捕獲的0/1比特流表示的數據包中識別出封閉的頭部信息、凈負荷，并且要能適合多種協議的數據包解碼。 （5）讀取其他協議分析器的數據包格式。一種協議分析器要能更好地利用其他協議分析器獲得的數據，以提高其工作效率，擴大工作能力。 2．嗅探器的功能 嗅探器是一類功能更為強大的協議分析器，它除了可以完成協議分器的功能，通過捕獲網絡數據包用來進行網絡數據包的流量分析外，還可以找出網絡中潛在的問題，確定在通信所使用的多個協議中，屬于不同協議的流量大小，哪臺主機承擔主要協議的通信，哪臺主機是主要的通信目的地，報文發(fā)送的時間是多少，主機間報文傳送的時間間隔等。這些功能可以在網絡出現故障時，做出精確判斷。這一強大的功能也常常被黑客利用，對網絡進行安靜的、消極的安全攻擊。例如，用來捕獲網絡中傳輸的用戶口令，用來捕獲專用的、機密的或第三數據（如金融賬號等），用來捕獲更高級別的訪問權限或危害網絡鄰居的安全，窺探底層的協議信息（如兩臺主機之間的接口地址、遠程網絡接口IP地址、IP路由信息和TCP連接序號等）。 3．典型嗅探器――SnifferPro SnifferPro是一個具有代表性的Sniffer工具軟件，由NetworkAssociates公司發(fā)布。它具有如下一些功能：為網絡協議分析捕獲網絡數據包?？勺R別250種以上的網絡協議，可以基于協議、MAC/IP地址、匹配模式等設置過濾。實時監(jiān)控網絡活動，用專家系統幫助分析網絡及應用故障。進行網絡使用統計、錯誤統計、協議統計、工作站和服務器統計?？梢栽O置多種觸發(fā)模式，如基于錯誤報文、外部事件。且有可選的流量發(fā)生器，模擬網絡運行，衡量響應時間、路由跳數計數，進行排錯。五、實驗內容 安裝Sniffer，進行網絡分析監(jiān)聽，再對結果數據進行分析，撰寫報告。六、綜合性實驗1．實驗要求學會在Windows環(huán)境下安裝Sniffer；熟練掌握Sniffer的使用；要求能夠熟練運用Sniffer捕獲報文，結合以太網的相關知識，分析一個自己捕獲的以太網的幀結構。2．實驗步驟1．軟件安裝

Sniffer軟件的安裝還是比較簡單的，我們只需要按照常規(guī)安裝方法進行即可。需要說明的是:

在選擇SnifferPro的安裝目錄時，默認是安裝在c:\Programfiles\nai\SnifferNT目錄中，我們可以通過旁邊的Browse按鈕修改路徑，不過為了更好的使用還是建議按默認路徑進行安裝。圖2-15設置網絡連接圖2-14注冊信息在注冊用戶時，注冊信息隨便填寫即可，不過EMAIL一定要符合規(guī)范，需要帶“@”，如圖2-14所示，在隨后出現的“SnifferPro圖2-15設置網絡連接圖2-14注冊信息接下來，需要設置網絡連接狀況，一般對于企業(yè)用戶只要不是通過“代理服務器”上網的都可以選擇第一項——DirectConnectiontotheInternet，如圖2-15所示。接下來才是真正的復制SnifferPro必需文件到本地硬盤，完成所有操作后出現SetupComplete提示，我們點Finish按鈕完成安裝工作。圖2-16提示是否重新啟動計算機

由于在使用SnifferPro時需要將網卡的監(jiān)聽模式切換為混雜，所以不重新啟動計算機是無法實現切換功能的，因此在安裝的最后，軟件會提示重新啟動計算機，圖2-16提示是否重新啟動計算機2．使用Sniffer查詢流量信息：重新啟動計算機后我們可以通過SnifferPro來監(jiān)測網絡中的數據包。通過“開始->所有程序->SnifferPro->Sniffer”來啟動該程序。

（1）第一步：默認情況下SnifferPro會自動選擇你的網卡進行監(jiān)聽，不過如果不能自動選擇或者本地計算機有多個網卡的話，就需要手工指定網卡了。方法是通過軟件的File菜單下的selectsettings來完成。圖2-17選擇要監(jiān)聽的網卡（2）在Settings窗口中選擇準備監(jiān)聽的那塊網卡，記得要把右下角的“LOGON”前打上對勾才能生效，最后點“確定”圖2-17選擇要監(jiān)聽的網卡（3）選擇完畢后就進入了網卡監(jiān)聽模式，這種模式下將監(jiān)視本機網卡流量和錯誤數據包的情況。首先能看到的是三個類似汽車儀表的圖象，從左到右依次為：“Utilization%網絡使用率”、“Packets/s數據包傳輸率”、“Error/s錯誤數據情況”。其中紅色區(qū)域是警戒區(qū)域，如果發(fā)現有指針到了紅色區(qū)域就該引起一定的重視了，說明網絡線路不好或者網絡使用壓力負荷太大，如圖2-18所示。圖2-19圖2-18網卡監(jiān)聽模式

（4）在三個儀表盤下面是網絡流量、數據錯誤以及數據包大小情況的繪制圖，可以通過點選右邊一排參數來有選擇的繪制相應的數據信息，可選網絡使用狀況包括數據包傳輸率、網絡使用率、錯誤率、丟棄率、傳輸字節(jié)速度、廣播包數量圖2-19圖2-18網卡監(jiān)聽模式

（7）除了上面三個儀表能看出比較大的差別外下面的數據大小繪制圖也能看出明顯區(qū)別。各個數據的峰值跳動很大。

（8）如果在實際使用中使用的不是百兆而是千兆的話，默認設置的單位肯定不能滿足需求，這時就需要點儀表上面的“SetThresholds”按鈕了，之后可以對所有參數的名稱和最大顯示上限進行設置。圖2-20

（9）如果為了統計的話還可以點儀表下的“Detail”按鈕來查看具體詳細信息，在這里可以看到各項參數的總流量以及平均流量，可以更好的了解到網絡的基本情況，包括數據丟失率與組播廣播數量，這些數據的異常都是網絡出現問題的先兆，圖2-20圖2-23

（10）除了儀表按鈕SnifferPro還為我們提供了很多顯示面板，例如在HostTable界面，可以看到本機和網絡中其他地址的數據交換情況，包括進數據量、出數據量以及基本速度等，當然所有顯示信息都是根據MAC地址來判斷的，如圖圖2-23

（11）在HostTable界面中點“ThisStation”可以查看本機與網絡其他地址的流量圖，這個圖是一個圓，通過連線決定本機和網絡其他地址的傳輸情況，連線的粗細決定了數據流量的多少，這種流量圖可以讓我們更加直觀的了解本機網絡的狀況，如圖2-22所示。

（12）也可以直接點“Matrix”按鈕切換到流量圖面板，這樣看到的流量連接和傳輸情況會更加清晰，如圖2-23所示。圖2-2圖2-23圖2-22

實驗五：證書服務和Web服務器證書應用實驗（N05）一、實驗名稱和性質所屬課程信息安全實驗名稱證書服務和Web服務器證書應用實驗學時2實驗性質□驗證√綜合□設計必做/選做√必做□選做二、實驗目的通過實驗掌握Windows2000中證書服務的安裝與使用；掌握常用證書的申請及安裝；掌握Web服務器的證書應用，使得網絡訪問彩SSL協議。三、實驗的軟硬件環(huán)境要求硬件環(huán)境要求： 運行WindowsServer2000操作系統的計算機。使用的軟件名稱、版本號以及模塊： WindowsServer2000證書服務組件。四、知識準備1．數字證書與X.509格式 數字證書，也稱為數字身份證、數字ID，是由權威機構頒發(fā)給網上用戶的一組數字信息，用于標明在網絡上相互進行住處交流的種類終端褓和最終用戶的身份。數字證書有以下幾個特點：它包含了身份信息，因此可以用于證明身份。它包含了非對稱密鑰，不但可以用于數據加密，還可以用于數據簽名，以保證通信過程的安全和不可抵賴。由于是權威機構頒發(fā)的，因此具有很高的公信度。 為了保障數字證書合理獲取、撤銷和驗證過程，1988年ITU-T發(fā)表了X.509標準。這是一個基于公開密鑰和數字簽名的標準，它的核心是數字證書格式和認證協議。 X.509宣言的數字證書格式包含如下域：版本（version）： 區(qū)分X.509的不同版本。序列碼（serialnumber）：某個CA給出的用來識別證書的唯一編號。簽字算法識別符（algorithmparameters）：CA簽署證書所用的公開密鑰算法及相應參數。發(fā)證者（issuername）：建立和簽署證書的CA的名稱。發(fā)證者識別碼（issueruniqueidentifier）（可選）：用做CA的唯一標識。主體名稱（subjectname）： 密鑰擁有者的名稱。主體識別碼（subjectname）（可選）：用做密鑰擁有者的唯一標識。公鑰信息（algorithmparameterskey）： 包括主體的公鑰、該公鑰的使用算法及參數。有效期（notbeforenotafter）： 開始時間和終止時間。擴充域（extensions）： 包括一個或多個擴充的數據域，僅用于第3版以上。簽字（algorithmparametersencryption）： 此域是CA用自己的私密鑰對上述域實施Hash值簽名的結果，并包括簽名算法標識符。使用數字證書需要一個適當的認證協議。例如，目前在Web系統中廣為使用的協議是SSL（securesocketlayer）。該協議是由Netscape首先提出的用于網絡數據安全傳輸的協議，其首要目的是在兩個通信之間提供秘密而可靠的連接。利用這個功能，將部分具有機密性質的見面設置為加密傳輸模式，可以避免數據在網絡上傳送時不被其他人竊聽。目前，大部分的Web服務器和瀏覽器都支持SSL加密傳輸協議。2．CA及其功能 頒發(fā)數字證書的權威機構稱為認證中心（certificateauthority，CA）它是可以信賴的第三方機構，并具有如下一些功能。頒發(fā)證書。如密鑰對的生成、私鑰的保護等，并保證證書持有者都應有不同的密鑰對。管理證書。記錄所有頒發(fā)過的證書以及所有被吊銷的證書。用戶管理。對于每一個新提交的申請，都要和列表中現存的標識名相比照，若出現重復，就予以拒絕。吊銷證書。在證書有效期內使其無效，并發(fā)表CRL。驗證申請者身份。對每一個申請者進行必要的身份認證。保護證書服務器。證書服務器必須是安全的，CA應采取相應措施保證其安全性。例如，加強對系統管理員的管理，防火墻保護等。保護CA私鑰和用戶私鑰。CA簽發(fā)證書所用的私鑰要受到嚴格的保護，不能被毀壞，也不能非法使用。同時，要根據用戶密鑰對的產生方式，在某些情況下有保護用戶私鑰的責任。審計與日志檢查。為了安全起見，CA對一些重要的操作應記入系統日志。在CA發(fā)生事故后，要根據系統日志做善后追蹤處理——審計。CA管理員要定期檢查日志文件，盡早發(fā)現可能的隱患。3．PKI及其職能公開密鑰基礎設施（PublicKeyInfrastructure,PKI）是一種以CA系統為核心，擔負證書的創(chuàng)建、管理、存儲、分布和撤銷的一系列軟件、硬件、人員、政策和過程的集合。它基于數字證書，使用戶在虛擬的網絡環(huán)境下能夠相互驗證身份，并提供敏感信息傳輸的機密性、完整性和不可否認性。一個典型的PKI系統主要有如下組件。CA。注冊機構（RegistrationAuthority，RA）：負責接受用戶的證書申請，核實用戶的身份，并代理用戶向CA提出證書請求，最后把證書發(fā)給用戶。證書操作闡述（CertificatePracticeStatement，CPS）：一些操作過程的詳細文件，包括CA如何建立和運作，證書如何發(fā)行、接收和撤銷，密鑰如何產生、注冊和認證等。這些數據可以提供給CA。安全策略：建立和定義了組織或企業(yè)信息安全方面的指導方針，同時定義了密碼系統的處理方法和原則。基于PKI的應用接口，以提供多種安全應用服務。4．Windows2000PKI系統組成圖3-1所示的是組成Windows2000PKI最高一層的系統組成圖。其中，各個組成部分只是邏輯上的劃分，并不意味著在物理上它們需要布置在不同的服務器上。事實上其中的許活動目錄CA定位和策略分布活動目錄CA定位和策略分布認證服務認證登記和撤銷客戶機登錄驗證域控制器圖3-1Windows2000PKI系統組成認證服務PKI中的一個關鍵部分是認證服務（CertificateServices）。通過它可以部署一個或多個企業(yè)性的CA。為支持建立CA，Windows2000內置了一整套頒發(fā)證書和管理證書的基礎功能。最主要的配件是證書服務器（CertificateServer）。通過認證服務器，企業(yè)可以為用戶頒發(fā)各種電子證書，比如用于網上購物的安全通道協議（SSL）使用的證書，用于加密本地文件（EFS）的證書等等。認證服務器還管理證書的失效、發(fā)布失效證書列表等。每個用戶或計算機都有自己的一個證書服務器，其中既放置著自己從CA申請獲得的證書，也有自己所信任的CA的根證書?；顒幽夸浱峁┝薈A的定位信息和CA策略，并可以公布有關認證發(fā)布和撤銷的信息。PKI并沒有取代已有的基于域控制器（DC）和密鑰分配中心（KerberosKeyDistributionCenter，KDC）的Windows域信任。甚至，PKI可以與這些服務一同工作，并使應用服務更能滿足廣域網和因特網的實際要求。進一步地，PKI可以滿足諸如伸縮性、分布式鑒定和認證、完整性和機密性的要求。支持PKI的應用程序使用PKI來進行加密和認證的應用程序有MicrosoftInternetExplorer、MicrosoftInternetInformationService、MicrosoftOutlook、MicrosoftOutlookExpress、MicrosoftMoney和其他第三方程序。五、實驗內容 在WindowsServer2000上安裝證書組件，實現證書服務六、綜合性實驗1．實驗要求 （1）按步驟完成實驗任務，撰寫實驗報告。 （2）掌握WindowsServer2000中證書服務的主要用途。 （3）掌握Web服務器證書申請、安裝和使用。2．實驗步驟 （1）安裝證書服務。具體步驟如下：圖3-2安裝證書服務組件選擇“開始→設置→控制面板”命令，在“控制面板”窗口中雙擊“添加/刪除程序”圖標，在打開的“添加/刪除程序”窗口中單擊“添加/刪除Windows組件”按鈕，在打開的“Windows組件向導圖3-2安裝證書服務組件圖3-3系統提示系統將提示在安裝證書服務后將不能修改計算機名，同時不能改變域的關系，如圖3-3所示，單擊“是”按鈕，繼續(xù)安裝。圖3-3系統提示選擇安裝證書服務機構的類型，級別從高到低。只有升級為域控制器的Windows2000Server才能安裝成為企業(yè)根CA和企業(yè)從屬CA。本實驗選擇“獨立根CA”安裝，如圖3-4所示：輸入CA注冊信息，說明CA的屬性，如圖3-5所示。確定CA證書數據庫、數據庫日志及共享文件夾的存放位置，如圖3-6所示。在CA安裝過程中，如果計算機中運行有Internet信息服務（IIS服務），如圖3-7所示，需要停止IIS服務。安裝成功后，IIS服務和證書服務將自動啟動。圖3-7停止IIS服務圖3-6指定證書數據庫和數據庫日志等的存入路徑圖3-5編輯CA標識信息圖3-4選擇證書頒發(fā)機構類型為獨立根CA圖3-7停止IIS服務圖3-6指定證書數據庫和數據庫日志等的存入路徑圖3-5編輯CA標識信息圖3-4選擇證書頒發(fā)機構類型為獨立根CA （2）Web服務器證書申請及應用。具體操作步驟如下：圖3-8在“目錄安全性”標簽頁中單擊“服務器證書”單擊“開始→程序→管理工具→Internet服務管理器”，在左邊的樹形結構中選擇“默認Web站點”，右擊鼠標，在快捷菜單中選擇“屬性”；單擊到“目錄安全性”標簽頁（如圖3-8所示），單擊圖3-8在“目錄安全性”標簽頁中單擊“服務器證書”圖3-9啟動“Web服務器證書向導”閱讀“Web服務器證書向導”的歡迎頁面中的內容，當確定要創(chuàng)建一個證書時，單擊“下一步”按鈕，進入“IIS證書向導”的“服務器證書”頁面，如圖3-10所示。選擇“創(chuàng)建一個新證書”，并單擊“下一步”按鈕確認。系統進入如圖3-11所示的“圖3-9啟動“Web服務器證書向導”選擇“現在準備請求但稍候發(fā)送”，并單擊“下一步”。系統依次進入下面的頁面，并提示用戶輸入相應的數據。之后，進入“證書請求文件名”頁面，如圖3-12所示。最后系統會彈出一個證書確認頁面，顯示用戶前面輸入的信息列表，要求確認。最后進入“完成Web服務證書向導”頁面。圖3-12“證書請求文件名圖3-12“證書請求文件名”頁面圖3-11“稍候或立即請求”頁面圖3-10在“IIS證書向導”中選擇“創(chuàng)建一個新證書”回到“Internet信息服務”窗口，選中CertSrv，右擊，在快捷菜單中選擇“瀏覽”，打開“證書服務”頁面，如圖3-13所示。選擇“申請證書”，進行證書類型選擇，如圖3-14所示，選擇“高級申請”，進入“高級申請”頁面，選擇“使用base64編碼的PKCS#10文件提交一個證書申請，或使用base64編碼的PKCS#7文件更新證書申請?！眻D3-14證書類型選擇圖3-13進入“圖3-14證書類型選擇圖3-13進入“證書服務”頁面圖3-15“提交一個保存的申請”頁面圖3-17“證書頒發(fā)機構”頒發(fā)證書圖3-16證書掛起單擊“開始”→“程序”圖3-17“證書頒發(fā)機構”頒發(fā)證書圖3-16證書掛起圖3-18“證書已發(fā)布”頁面點擊“主頁”，再次回到圖3-14所示“證書服務”圖3-18“證書已發(fā)布”頁面回到圖3-8所示“目錄安全性”標簽，再次點擊“服務器證書”，進入“Web服務器證書向導”，如圖3-19所示，處理剛剛掛起的證書。（注意，此時的頁面和剛剛的“Web服務器證書向導”頁面有所不同。）圖3-20“掛起證書請求”頁面圖3-19圖3-20“掛起證書請求”頁面圖3-19“Web服務器證書向導”頁面圖3-21圖3-21“完成Web服務器證書向導”頁面圖3-22“安全通信”頁（3）IIS服務器的安全設置。完成證書的導入之后，IIS網站還沒有啟用SSL安全加密功能，需要對IIS服務器進行配置。在圖3-8的“目錄安全性”標簽頁中，單擊安全通信中的“編輯”按鈕，進入如圖3-22所示的“安全通信”頁。選擇“申請安全通道（SSL）”和“申請128位加密”，再選擇“接收客戶證書”，單擊“確定”按鈕?；氐綀D3-8的“目錄安全性圖3-22“安全通信”頁 （4）進行安全通信圖3-23利用普通的HTTP進行瀏覽利用普通的HTTP進行瀏覽，將會得到錯誤信息“該網頁必須通過安全頻道查看圖3-23利用普通的HTTP進行瀏覽利用HTTPS進行瀏覽，系統將通過IE瀏覽器提示客戶Web站點的安全證書問題，如圖3-24所示。圖3-24圖3-24客戶查看Web證書

實驗六：電子郵件證書應用實驗（N06）一、實驗名稱和性質所屬課程信息安全實驗名稱電子郵件證書應用實驗學時2實驗性質□驗證√綜合□設計必做/選做√必做□選做二、實驗目的通過實驗掌握電子郵件證書中OutlookExpress的設置與使用。三、實驗的軟硬件環(huán)境要求運行Windows操作系統及OutlookExpress5.0的計算機。四、知識準備在安全電子郵件應用中，數字證書主要可以解決：保密性：通過使用發(fā)件人的數字證書對電子郵件加密，只有收件人才能閱讀加密的郵件，這樣保證在Internet上傳遞的電子郵件信息不會被他人竊取，即使發(fā)錯郵件，收件人由于無法解密而不能夠看到郵件內容。完整性：利用發(fā)件人數字證書在傳送前對電子郵件進行數字簽名不僅可確定發(fā)件人身份，而且可以判斷發(fā)送的信息在傳遞的過程中是否被篡改過。身份認證：在Internet上傳遞電子郵件的雙方互相不能見面，所以必須有方法確定對方的身份。利用發(fā)件人數字證書在傳送前對電子郵件進行數字簽名即可確定發(fā)件人身份，而不是他人冒充的。不可否認性：發(fā)件人的數字證書只有發(fā)件人唯一擁有，故發(fā)件人利用其數字證書在傳送前對電子郵件進行數字簽名后，發(fā)件人就無法否認發(fā)送過此電子郵件。OutlookExpress是安全電子郵件應用的常用工具。五、實驗內容 在Windows操作系統上通過使用OutlookExpress。掌握電子郵件證書的應用。六、綜合性實驗1．實驗要求 熟練掌握OutlookExpress中電子郵件證書的使用從而理解電子郵件證書的工作原理。2．實驗步驟圖3-25添加新郵件地址（1）在OutlookExpress5.0中單擊“工具→帳戶”，出現Internet帳號對話框，點擊“添加→郵件”，如圖3-25圖3-25添加新郵件地址圖3-26圖3-26輸入郵件顯示姓名輸入郵件地址，如圖3-27所示。分別輸入接收郵件服務器和發(fā)送郵件服務器的域名或IP地址，本例分別為：，，如下圖3-28所示。圖3-28圖3-28輸入接收郵件服務器和發(fā)送郵件服務器圖3-27輸入郵件地址點擊下一步，系統讓您輸入登錄到郵箱的帳號和密碼，如下圖3-29所示。圖3-29輸入登錄到郵箱的帳號和密碼點擊下一步，系統提示郵件設置成功，點擊完成，完成郵件的設置圖3-29輸入登錄到郵箱的帳號和密碼圖3-30圖3-30完成帳戶的添加

實驗七：PPTPVPN配置及應用實驗（N07）一、實驗名稱和性質所屬課程信息安全實驗名稱PPTPVPN配置及應用實驗學時2實驗性質□驗證√綜合□設計必做/選做√必做□選做二、實驗目的理解VPN的工作原理。了解VPN的應用。掌握PPTPVPN實現的技術方法，掌握PPTPVPN配置流程及應用。三、實驗的軟硬件環(huán)境要求 多臺運行WindowsServer2000操作系統的計算機連接成以太網，并接入Internet。四、知識準備 （一）VPN概述1．VPN基本原理虛擬專用網（virtualprivatenetwork，VPN），是指物理上分布在不同地點的專用網絡，通過不可信任的公共網絡構造成邏輯上信任的虛擬子網，進行安全的通信。這里，公共網絡主要指Internet。專網1專網2專網3VPN設施路由器VPN設施專網1專網2專網3VPN設施路由器VPN設施VPN設施路由器路由器公共網絡隧道隧道隧道圖4-1VPN的結構與基本原理VPN的基本處理過程如下。（1）要保護的主機發(fā)送明文信息到其VPN設備。（2）VPN設備根據網絡管理員設置的規(guī)則，確定是對數據進行加密還是直接傳送。（3）對需要加密的數據，VPN設備將其整個數據包（包括要傳送的數據、源IP地址和目標IP地址）進行加密并附上數字簽名，加上新的數據報頭（包括目的地VPN設備需要的安全信息和一些初始化參數），重新封裝。（4）將封裝后的數據包通過隧道在公共網上傳送。（5）數據包到達目的VPN設備，將數據包解封，核對數字簽名無誤后，對數據包解密。2．VPN的服務類型從應用的角度看，VPN的服務大致有如下3種類型。（1）遠程訪問VPN（accessVPN）。遠程訪問VPN適合于在外地需要流動辦公的情況。這時的駐外工作人員只能通過賓館或其他設施以撥號方式與本部進行VPN連接，利用HTTP，FTP等或其他網絡服務與本部交換信息。（2）內聯VPN（intranetVPN）。內聯VPN適合在外地有固定分支機構的情形。這時，駐外分支機構通過ISP與本部進行VPN安全連接。（3）外聯VPN（extranetVPN）。外聯VPN適合于與業(yè)務伙伴之間通信的連接。這時，往往需要通過專線連接公共基礎設施，并借助電子商務軟件等與本部進行VPN連接。（二）隧道技術1．數據在隧道中的傳輸在VPN中，隧道并非物理上的專線，而是通過某種技術措施建立的虛擬的專門數據通路。其傳輸過程大致可以分為如下3步。（1）將要傳輸的數據包（幀）按照隧道協議進行封裝，被封裝的數據（或負載）可以是不同協議的數據幀或包。（2）新的包頭提供了路由信息，從而使封裝的負載數據能夠通過Internet來傳遞。所謂“隧道”就是指被封裝的數據包在公共網絡上傳遞時所經過的邏輯路徑。（3）被封裝的數據包一旦到達網絡終點，數據將被解包并送達主機。所以，隧道技術是指包括數據封裝、傳輸和解包在內的全過程。2．隧道的類型（1）自愿隧道（Voluntarytunnel）自愿隧道是以用戶端計算機為端點的隧道，通過用戶端計算機發(fā)送VPN請求配置并創(chuàng)建。在這種系統中，將為每個客戶創(chuàng)建一條單獨的隧道。為建立自愿隧道，要求有以下兩個條件。①用戶端計算機必須安裝適當的隧道協議軟件。②需要有一條IP連接（通過局域網或撥號線路）。使用撥號方式時，用戶端必須在建立隧道之前創(chuàng)建與公共互聯網絡的撥號連接。（2）強制隧道（compulsorytunnel）強制隧道具有如下特點：①用戶端的計算機不作為隧道端點，而是由位于客戶計算機和隧道服務器之間的遠程接入服務器――前端機（FEP）作為隧道的一個端點。②用戶端計算機中不需要安裝隧道軟件，僅在FEP中安裝適當的隧道協議軟件，以創(chuàng)建隧道。③用戶端計算機必須使用FEP創(chuàng)建的隧道，FEP和隧道服務器之間建立的隧道可以被多個撥號客戶共享，而不必為每個客戶建立一條新的隧道。（三）隧道協議隧道技術是VPN的關鍵技術，其主要作用是進行數據封裝――將一種協議數據封裝在另一種協議中傳輸，以保證被封裝協議數據的安全傳輸。下面介紹幾種隧道協議。1．安全IP協議（IPSec）IPSec（IPsection）是由IFTFIPSec組織制訂的一套保護IP通信安全的協議族，包括網絡安全協議和密鑰協商協議兩部分。網絡安全協議包括：AH（authenticationheader，認證協議頭）協議和ESP（encapsulationsecuritypayload，安全負荷封裝）協議。密鑰協商協議包括IKE（Internetkeyexchange，Internet密鑰交換）協議。（1）AH協議AH協議對IP數據包進行完整性檢驗、數據源身份驗證以及抗重放攻擊等，但不提供數據的機密性保護。IPTCIPTCP數據IPTCP數據IP2AH頭圖4-2AH處理示意AH頭由一些字段組成，其中一個字段稱為“認證數據”，它是一個長度可變的字段，由對保護的IP分組頭、上層數據和公鑰3部分內容通過MD5計算得到。這時，上層數據和IP頭都被AH頭封裝了。在AH頭外面添加的IP2是依隧道的類型不同而有差異，可能是防火墻或其他安全網關的地址。封裝的數據包傳送到目的地之后，那里的隧道服務器首先對認證數據認證無疑后，才會拆去AH頭，再傳送到目的主機。（2）ESP協議ESP協議用于對IP數據包的封裝、加密、認證和完整性保護。IPTCIPTCP數據IPTCP數據IP2ESP頭圖4-3ESP處理示意ESP尾ESP認證（3）密鑰協商協議與SAESP協議和AH協議在進行IPSec數據封裝的過程中，用到了加密算法、密鑰等多種安全參數。采用IPSec連接的兩臺計算機或網關必須使用相同的參數，才能在一端進行封裝，另一端進行解封。為此，兩端必須進行協商。通過封裝之前通信雙方的協商，保證封裝使用參數相同。在IPSec中，安全參數用SA（securityassociation，安全協同）加以描述。2．用路由封裝協議（GRE）GRE（genericroutingencapsulation）是一種將任意類型的網絡層數據封裝進另一種網絡層數據包的封裝協議。圖4-4為GRE處理示意圖?？梢钥闯?，原始數據包首先被封裝成GRE數據包，然后被封裝為一個新的協議（在Internet中為IP），從而實現了對任意類型網絡層數據的封裝。GRE稱為封裝協議，原始協議稱為乘客協議，新的協議稱為傳遞（delivery）IPTCIPTCP數據IPTCP數據協議頭GRE圖4-4GRE處理示意3．點對點隧道協議（PPTP）數據鏈路層頭IP頭數據鏈路層頭IP頭PPP頭加密的PPP有效數據鏈路層包尾GRE頭圖4-5PPTP封裝后的數據包格式4．二層轉發(fā)協議（L2F）L2F（layer2forwarding）是Cisco北方電信等公司支持的封裝協議。5．第2層隧道協議（L2TP）L2TP（layer2tunnelingProtocol）結合了PPTP與L2F的優(yōu)點，允許對IP，IPX或NetBEUI數據流進行加密，然后通過支持點對點數據報傳遞的任意網絡發(fā)送，如IP，X.25，幀中繼或ATM。五、實驗內容 1．建立PPTPVPN，完成VPN服務器和客戶端配置。 2．測試配置后的PPTPVPN網絡。六、綜合性實驗1．實驗要求 掌握在WindowsServer2000操作系統中利用PPTP配置VPN網絡的流程，包括服務器端和客戶端的配置。掌握PPTPVPN的應用。2．實驗步驟（1）配置PPTPVPN服務器要想讓WindowsServer2000計算機能夠接受客戶機的VPN撥入，必須首先配置VPN服務器。配置方法如下：在WindowsServer2000中單擊“開始→程序→管理工具→路由和遠程訪問”，彈出如圖4-6所示界面。在左邊窗口中選中“服務器名”，在其上右擊，選擇“配置并圖4-6“路由和遠程訪問圖4-6“路由和遠程訪問”界面如果以前已經配置過這臺服務器，現在需要重新開始，則應在“服務器名”上右擊，選擇“禁用路由和遠程訪問”，即可停止此服務，以便重新配置。圖4-7“路由和遠程訪問服務器安裝向導”界面進行上述操作后，即彈出“路由和遠程訪問服務器安裝向導”，如圖4-7所示。在“公共設置”圖4-7“路由和遠程訪問服務器安裝向導”界面單擊“下一步”按鈕，進入如圖4-8所示頁面，在文本框中選擇或添加VPN訪問所需要的協議。如果所要求的協議（要求必須有TCP/IP協議）已經包含，則單擊“下一步”按鈕，進入如圖4-9所示界面。按照系統提示選擇一個該服務器所使用的Internet連接（如已建立好的撥號連接或通過指定的網卡進行連接等）。然后繼續(xù)單擊“下一步”按鈕。進入如圖4-10所示界面，選定IP地址指定方法。按照“您想如何對遠程客戶分配IP地址”的詢問，進行選擇回答。如果已在服務器端安裝好了DHCP服務器，可以選擇“自動”；否則推薦選擇“來自一個指定的地址范圍”。單擊“下一步”按鈕。進入如圖4-11所示界面，根據提示輸入需要分配給客戶端使用的IP地址范圍；“添加”進列表中后，單擊“下一步”按鈕。圖4-10選定IP地址指定方法圖4-9選擇Internet連接圖4-8添加或選擇需要的協議在如圖4-12所示的是否使用RADIUS服務器“管理多個遠程訪問服務器”的界面中，選擇默認的“圖4-10選定IP地址指定方法圖4-9選擇Internet連接圖4-8添加或選擇需要的協議單擊“下一步”按鈕，再單擊“完成”按鈕，屏幕上將自動出現一個正在開啟的“路由和遠程訪問服務”的小窗口。當它消失之后，打開“管理工具”中的“服務”，即可看到“RoutingandRemoteAccess（路由和遠程訪問）”項自動處于“已啟動”狀態(tài)了。圖4-12是否使用RADIUS服務器管理多個遠程訪問服務器圖4-圖4-12是否使用RADIUS服務器管理多個遠程訪問服務器圖4-11指定客戶端使用的IP地址范圍圖4-13“遠程訪問策略”由于默認代表任何用戶均被拒絕撥入到服務器上，所以要給一個用戶賦予撥入到此服務器的權限。打開“路由和遠程訪問”窗口，打開服務樹形結構，選擇“遠程訪問策略”，如圖4-13所示，雙擊“如果啟用撥號許可，就允許訪問”，在窗口中選擇圖4-13“遠程訪問策略”圖4-14圖4-14“授予遠程訪問權限”圖4-15“網絡連接向導”在Windows2000/xp中選擇“控制面板→網絡與撥號連接”，雙擊“新建連接”，進入圖4-15“網絡連接向導”圖4-16選擇網絡連接類型單擊“下一步”按鈕，在創(chuàng)建的“網絡連接類型”界面中選擇“通過Internet連接到專用網絡”圖4-16選擇網絡連接類型圖4-17VPN服務器選擇單擊“下一步”圖4-17VPN服務器選擇圖4-18完成網絡連接界面圖4-18完成網絡連接界面圖4-19客戶端連接界面點擊完成后，自動彈出客戶端連接界面，如圖4-19所示，同時在桌面上創(chuàng)建“虛擬專用連接”快捷方式，通過雙擊桌面上的“虛擬專用連接”快捷方式也可以打開圖4-19所示界面。還可以通過點擊“開始→設置→網絡和撥號連接→虛擬專用連接”圖4-19客戶端連接界面圖4-21高級安全屬性的設置圖4-20屬性配置窗口VPN客戶端的連接屬性配置，可以單擊客戶端連接界面中的“屬性”按鈕，在彈出的屬性配置窗口中選擇“安全措施”標簽頁，如圖4-20所示，選中“高級”，再單擊“設置”按鈕，進入“高級安全設置圖4-21高級安全屬性的設置圖4-20屬性配置窗口當雙方建立好通過Internet的VPN連接后，即相當于又在Internet上建立好一個雙方專用的虛擬通道。通過此通道，雙方可以在網上鄰居中進行互訪，即相當于又組成了一個局域網絡。而且這個網絡是雙方專用的，并具有良好的保密性能。

實驗八：IPSecVPN配置及應用實驗（N08）一、實驗名稱和性質所屬課程信息安全實驗名稱IPSecVPN配置及應用實驗學時2實驗性質□驗證√綜合□設計必做/選做√必做□選做二、實驗目的理解IPSecVPN的工作原理。了解IPSecVPN的應用。掌握IPSecVPN實現的技術方法。掌握IPSecVPN配置流程及應用。三、實驗的軟硬件環(huán)境要求 多臺運行WindowsServer2000操作系