《網(wǎng)絡(luò)安全技術(shù)》課件第9章

第9章Internet安全9.1WWW服務(wù)安全9.2FTP服務(wù)安全9.3電子郵件的安全9.4SSL協(xié)議9.5IPSec協(xié)議9.6Internet安全技術(shù)實(shí)例習(xí)題

9.1WWW服務(wù)安全

萬維網(wǎng)(WorldWideWeb)又簡稱為Web，是網(wǎng)絡(luò)最常用的服務(wù)。通過Web訪問，人們可以進(jìn)行信息獲取、交流及電子交易等所有商業(yè)或非商業(yè)的活動(dòng)。目前多數(shù)的攻擊都是針對(duì)Web進(jìn)行的，因?yàn)樗悄軌颢@取的最直接的資源，通過入侵Web服務(wù)器從而掌控主機(jī)系統(tǒng)，再進(jìn)一步深入到該主機(jī)所在的網(wǎng)絡(luò)中獲取更多的資源已經(jīng)成為了黑客攻擊的一種最常見的模式。如何保護(hù)Web站點(diǎn)和服務(wù)安全也成為了管理員最先要考慮的重要的問題，而Internet和Web技術(shù)的開放性和多層次性也決定了對(duì)于Web的保護(hù)也是最復(fù)雜的。Web服務(wù)采用客戶/服務(wù)器(Client/Server)結(jié)構(gòu)，由客戶端(瀏覽器)、服務(wù)端(Web服務(wù)器)和通信協(xié)議(超文本傳輸協(xié)議)三部分組成。Web的服務(wù)安全，除了要保護(hù)上述三個(gè)部分的安全以外，還要包括Web程序設(shè)計(jì)安全、Web數(shù)據(jù)訪問安全，還有相關(guān)的主機(jī)安全和網(wǎng)絡(luò)安全，所有的環(huán)節(jié)中有一處出現(xiàn)問題，則整個(gè)Web服務(wù)都是不安全的。

1.

Web客戶端安全

Web客戶端即為Web瀏覽器，是用于向服務(wù)器發(fā)送資源訪問請(qǐng)求，并將收到的信息顯示給用戶的客戶端軟件。目前市場上常用的瀏覽器有MicrosoftInternetExplorer(IE)、火狐(Firefox)瀏覽器、NetScapeNavigator網(wǎng)景瀏覽器和Opera瀏覽器等。由于IE瀏覽器是隨著Windows免費(fèi)發(fā)送的，因此成為目前使用人數(shù)最多的瀏覽器，不過IE的各版本均存在著各種嚴(yán)重的安全漏洞，即使最新版本IE7做了很多的修補(bǔ)，但仍有許多的安全問題尚待解決。以WindowsServer2003自帶的IE6.0為例，

對(duì)于IE瀏覽器的安全配置主要有以下幾個(gè)方面：1)漏洞修補(bǔ)

任何時(shí)候、任何版本的瀏覽器都不可避免地出現(xiàn)安全漏洞，這時(shí)最主要的就是時(shí)時(shí)關(guān)注軟件發(fā)布網(wǎng)站，及時(shí)修補(bǔ)瀏覽器漏洞，以免黑客掌握了該漏洞而對(duì)系統(tǒng)造成威脅。

2)

IE安全配置

(1)打開IE瀏覽器后單擊菜單上的“工具”→“Internet選項(xiàng)”，選擇“安全”選項(xiàng)卡，如圖9.1所示。圖9.1Internet安全選項(xiàng)配置在圖9.1窗口中通過設(shè)置“受信任的站點(diǎn)”和“受限制的站點(diǎn)”可以將網(wǎng)上提供訪問服務(wù)的站點(diǎn)進(jìn)行分類，單擊“自定義級(jí)別”按鈕打開【安全設(shè)置】窗口，可以對(duì)瀏覽器支持的各種組件和控件等進(jìn)行設(shè)置，也可以設(shè)置安全級(jí)別為“高”、“中”、“中低”和“低”四個(gè)級(jí)別。對(duì)于普通的用戶來說，可以直接選擇安全級(jí)別，而如果用戶對(duì)各項(xiàng)配置均比較熟悉，則可根據(jù)實(shí)際需求決定啟用、提示或禁止某項(xiàng)功能。(2)在圖9.1所示的【Internet選項(xiàng)】窗口中，選擇“隱私”選項(xiàng)卡可以對(duì)隱私和彈出窗口進(jìn)行設(shè)置，如圖9.2所示。

Cookie是一個(gè)存儲(chǔ)于瀏覽器目錄中的文本文件，用于存儲(chǔ)用戶訪問Web站點(diǎn)的信息。多數(shù)Cookie記錄的是用戶訪問站點(diǎn)的普通信息，如用戶的擊鍵信息或訪問過的URL信息等，但也有一些站點(diǎn)利用Cookie記錄用戶的登錄信息，因此對(duì)用戶的隱私造成一定的威脅。對(duì)于Cookie的設(shè)置，一般有“阻止所有Cookie”、“高”、“中高”、“中”、“低”和“接受所有的Cookie”六種，一般設(shè)置以“中高”或“中級(jí)”為主，因?yàn)榈图?jí)沒有作用，而太嚴(yán)格限制Cookie的話會(huì)導(dǎo)致很多網(wǎng)站不能訪問。阻止彈出窗口也有“高”、“中”、“低”三個(gè)級(jí)別供用戶選擇，也可以通過站點(diǎn)的限定決定是否允許其彈出窗口。一般情況下，對(duì)于信任的站點(diǎn)應(yīng)允許其彈出窗口，否則很多彈出頁面不能訪問。圖9.2Internet隱私選項(xiàng)配置(3)在圖9.1【Internet選項(xiàng)】窗口中，選擇“內(nèi)容”選項(xiàng)卡可以對(duì)訪問的Web站點(diǎn)內(nèi)容進(jìn)行審核分級(jí)，限定訪問哪類網(wǎng)站需要輸入密碼。此項(xiàng)功能主要對(duì)未成年人訪問網(wǎng)上站點(diǎn)進(jìn)行限制，防止其訪問不良網(wǎng)站。證書的設(shè)置主要用來管理瀏覽器用戶個(gè)人的數(shù)字證書或受信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)的數(shù)字證書，以便當(dāng)瀏覽器訪問某站點(diǎn)時(shí)可以對(duì)該站點(diǎn)的數(shù)字證書頒發(fā)機(jī)構(gòu)進(jìn)行鑒別，從而決定是否信任該網(wǎng)站，如圖9.3所示。

(4)在圖9.1【Internet選項(xiàng)】窗口中，選擇“高級(jí)”選項(xiàng)卡可以對(duì)安全和瀏覽等其他功能進(jìn)行限制，如圖9.4所示。圖9.3Internet內(nèi)容選項(xiàng)配置圖9.4Internet高級(jí)選項(xiàng)配置

2.

Web服務(wù)器安全

Web服務(wù)器是駐留在服務(wù)器上的軟件，它的作用是管理大量的信息，并按用戶的要求返回信息。Web服務(wù)器安全主要包括以下幾個(gè)方面：

1)漏洞修補(bǔ)

任何時(shí)候、任何版本的瀏覽器都不可避免地會(huì)出現(xiàn)安全漏洞，這時(shí)最主要的就是時(shí)時(shí)關(guān)注軟件發(fā)布網(wǎng)站，及時(shí)修補(bǔ)瀏覽器漏洞，以免黑客掌握了該漏洞而對(duì)系統(tǒng)造成威脅。2)

Web服務(wù)器配置

Web服務(wù)器配置主要在站點(diǎn)屬性中進(jìn)行配置，與安全相關(guān)的主要包括“網(wǎng)站”、“主目錄”、“目錄安全性”、“性能”等主要選項(xiàng)卡配置。

(1)“網(wǎng)站”選項(xiàng)卡：在此窗口中更改Web端口號(hào)，可以使黑客對(duì)服務(wù)器所在主機(jī)的端口掃描信息判斷失誤。另外，通過設(shè)置連接超時(shí)參數(shù)可以防止用戶無限連接網(wǎng)站，大量占用資源；也可以通過啟用日志記錄對(duì)Web站點(diǎn)訪問的重要信息進(jìn)行記錄，從而追查攻擊的來源和痕跡?！熬W(wǎng)站”選項(xiàng)卡設(shè)置界面如圖9.5所示。圖9.5Web站點(diǎn)屬性界面(2)“主目錄”選項(xiàng)卡：首先確保訪問目錄不能放在系統(tǒng)目錄下，其次嚴(yán)格限定對(duì)站點(diǎn)目錄文件訪問的權(quán)限，可以通過Web站點(diǎn)進(jìn)行限制，還要通過系統(tǒng)設(shè)置，對(duì)該目錄訪問進(jìn)行權(quán)限限制，一般設(shè)置權(quán)限為“讀取”。除此之外，對(duì)站點(diǎn)上的應(yīng)用程序還要進(jìn)行設(shè)置，一般禁止執(zhí)行應(yīng)用程序，防止被黑客利用攻擊系統(tǒng)。但如果確實(shí)需要提供此功能，一定要對(duì)該程序進(jìn)行嚴(yán)格控制，防止其被非法使用?！爸髂夸洝迸渲萌鐖D9.6所示。圖9.6Web站點(diǎn)主目錄配置(3)“目錄安全性”選項(xiàng)卡：包括“身份驗(yàn)證和訪問控制”、“IP地址和域名限制”和“安全通信”三項(xiàng)設(shè)置。其中“安全通信”應(yīng)用將在9.6.1節(jié)中進(jìn)行介紹，“IP地址和域名限制”比較簡單，主要是對(duì)授權(quán)或拒絕訪問的IP或域名進(jìn)行限制，而“身份驗(yàn)證和訪問控制”包含了用戶訪問Web站點(diǎn)的幾種身份認(rèn)證方法，如圖9.7所示。圖9.7Web站點(diǎn)身份驗(yàn)證方法配置一般Web站點(diǎn)訪問是允許用戶以匿名方式訪問服務(wù)器的，但是如果是內(nèi)部網(wǎng)站，建議可以取消匿名訪問方式，而是以系統(tǒng)身份認(rèn)證來進(jìn)行，如選擇“集成Windows身份驗(yàn)證”或者“Windows域服務(wù)器的摘要式身份驗(yàn)證”，但不建議采用“基本身份驗(yàn)證”，因?yàn)樵擈?yàn)證信息是以明文方式發(fā)送密碼，容易被截獲。如果采用系統(tǒng)身份認(rèn)證的方式來訪問站點(diǎn)，一定要注意用戶的權(quán)限應(yīng)該是最小權(quán)限，不能擴(kuò)大其權(quán)限以免被黑客利用從而對(duì)系統(tǒng)造成威脅。(4)“性能”選項(xiàng)卡：通過限制網(wǎng)站帶寬可以防止由于大量對(duì)該網(wǎng)站的訪問消耗網(wǎng)絡(luò)帶寬資源從而影響其他網(wǎng)絡(luò)服務(wù)；而限制網(wǎng)站連接數(shù)可以防止過多用戶同時(shí)連接網(wǎng)站而使服務(wù)器性能下降。這兩項(xiàng)設(shè)置都可以防止黑客進(jìn)行拒絕服務(wù)攻擊。

除了以上對(duì)服務(wù)器安全設(shè)置以外，還應(yīng)該加強(qiáng)對(duì)Web服務(wù)器的安全管理，如以安全的方式更新Web服務(wù)器，定時(shí)審計(jì)有關(guān)日志記錄，對(duì)Web數(shù)據(jù)進(jìn)行必要的備份，定期檢查Web服務(wù)器安全設(shè)置，安裝新的工具、軟件等。3)

Web通信協(xié)議安全

Web瀏覽器和服務(wù)器之間采用超文本傳輸協(xié)議(HyperTextTransferProtocol,HTTP)進(jìn)行通信傳輸。HTTP在TCP/IP協(xié)議棧中屬于應(yīng)用層，是Web應(yīng)用的核心協(xié)議技術(shù)。它定義了Web瀏覽器向Web服務(wù)器發(fā)送索取Web頁面請(qǐng)求的格式，以及Web頁面在Internet上的傳輸方式。HTTP最主要的安全問題就是明文傳輸信息，因此信息容易被截獲，如果是用戶敏感信息，如信用卡信息被黑客截獲，則會(huì)對(duì)用戶造成重大損失，因此必須采用加密技術(shù)對(duì)Web信息進(jìn)行加密，最常用的Web安全協(xié)議是安全套接層(SecureSocketLayer,SSL)協(xié)議和安全電子交易協(xié)議(SecureElectronicTransaction，SET)。SSL協(xié)議能夠保證信息的真實(shí)性、完整性和保密性，能夠在Web客戶端和服務(wù)器端之間建立一個(gè)安全連接，保證數(shù)據(jù)傳輸安全。但是，由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的，不能對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行簽名，因此沒有辦法提供交易的不可否認(rèn)性等其他更復(fù)雜的安全功能，于是便產(chǎn)生了專門用于保障電子交易安全的一系列協(xié)議，其中最常用的就是SET協(xié)議。SET協(xié)議是由美國Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機(jī)構(gòu)共同定制的應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的標(biāo)準(zhǔn)。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，保障了網(wǎng)上購物信息的安全。4)

Web數(shù)據(jù)安全

SQL注入攻擊是Web最重要的攻擊方式之一。SQL注入是一種特殊形式的輸入驗(yàn)證，攻擊者通過發(fā)出原始的SQL語句來試圖操縱應(yīng)用程序數(shù)據(jù)庫。由于大多數(shù)SQL注入攻擊，如執(zhí)行命令、檢索任意數(shù)據(jù)，都需要使用一些通常不會(huì)出現(xiàn)在現(xiàn)實(shí)中的特殊語法，因此防范SQL注入攻擊的最好對(duì)策是依靠強(qiáng)大的輸入驗(yàn)證例程，如在數(shù)據(jù)庫應(yīng)用程序?qū)用嫔喜扇∫恍┨厥獯胧?，包括使用?qiáng)類型的變量和數(shù)據(jù)庫列定義、將查詢結(jié)果賦給強(qiáng)類型變量、限制數(shù)據(jù)長度、避免通過字符串連接創(chuàng)建查詢，以及在數(shù)據(jù)庫中采用數(shù)據(jù)分離和基于角色的訪問控制等。除此之外，還要限制使用低權(quán)限的數(shù)據(jù)庫帳戶來執(zhí)行SQL查詢，即該帳戶可能創(chuàng)建并修改與應(yīng)用程序有關(guān)的表，但不能執(zhí)行類似重啟數(shù)據(jù)庫或修改系統(tǒng)表的操作。5)

Web程序安全

Web程序安全直接影響著Web服務(wù)，開發(fā)者按照良好的編碼標(biāo)準(zhǔn)能夠抵御絕大多數(shù)的攻擊，比如對(duì)錯(cuò)誤進(jìn)行適當(dāng)?shù)奶幚聿⑶覍?duì)用戶提供的數(shù)據(jù)進(jìn)行嚴(yán)格的輸入驗(yàn)證。常用的安全程序設(shè)計(jì)包括對(duì)用戶名、密碼及敏感的用戶行為等各種信息的驗(yàn)證；對(duì)會(huì)話和數(shù)據(jù)庫進(jìn)行正確處理；對(duì)應(yīng)用程序進(jìn)行審核等等。只有程序安全，才不會(huì)被黑客找到漏洞并加以利用，從而對(duì)系統(tǒng)造成威脅。

9.2FTP服務(wù)安全

FTP服務(wù)是基于TCP/IP協(xié)議的文件傳輸協(xié)議，在局域網(wǎng)和廣域網(wǎng)中可以用來上傳和下載任何類型的文件。大多數(shù)提供FTP服務(wù)的站點(diǎn)都允許用戶以anonymous作為用戶名，以自己的郵件地址做密碼進(jìn)行登錄，甚至很多情況下不需要用戶密碼，即提供匿名FTP服務(wù)。匿名FTP服務(wù)給用戶的使用帶來了很大的方便，但是如果對(duì)服務(wù)器配置不當(dāng)將會(huì)給系統(tǒng)帶來安全威脅，如使用者越權(quán)申請(qǐng)系統(tǒng)上其他的區(qū)域或文件。同時(shí)，如果FTP服務(wù)器允許用戶上傳自己的文件，那么可能會(huì)有用戶有意或無意地上傳攜帶病毒或木馬的文件，不僅會(huì)使站點(diǎn)受到破壞，而且也會(huì)使其他用戶下載該文件后在自己機(jī)器上執(zhí)行時(shí)受到影響，因此，要加強(qiáng)對(duì)FTP服務(wù)器中可寫目錄的監(jiān)控。除此之外，F(xiàn)TP服務(wù)應(yīng)限定磁盤空間的使用，以免被過多資源占用后對(duì)系統(tǒng)性能造成影響。最重要的一點(diǎn)，由于FTP服務(wù)是明文傳輸信息，因此可能受到網(wǎng)絡(luò)監(jiān)聽攻擊，獲取系統(tǒng)管理員信息，從而控制整個(gè)系統(tǒng)。與Web服務(wù)器安全配置類似，

在FTP站點(diǎn)屬性窗口中有“FTP站點(diǎn)”、“安全帳戶”、“主目錄”和“目錄安全性”四個(gè)與安全相關(guān)的選項(xiàng)卡。

“FTP站點(diǎn)”選項(xiàng)卡：可以對(duì)FTP端口號(hào)進(jìn)行更改以迷惑攻擊者，對(duì)FTP站點(diǎn)連接進(jìn)行限制以防止過多用戶同時(shí)連接對(duì)系統(tǒng)性能造成影響，還可以啟用日志記錄功能對(duì)訪問FTP站點(diǎn)事件進(jìn)行記錄以便事后分析。

“安全帳戶”選項(xiàng)卡：可以對(duì)是否允許匿名用戶登錄進(jìn)行設(shè)置，還應(yīng)該對(duì)能訪問FTP的用戶進(jìn)行嚴(yán)格的權(quán)限限制。

“主目錄”選項(xiàng)卡：可以對(duì)FTP站點(diǎn)主目錄進(jìn)行設(shè)置，同Web主目錄一樣，不應(yīng)將其放到系統(tǒng)目錄下，并應(yīng)對(duì)其訪問進(jìn)行嚴(yán)格限制。

“目錄安全性”選項(xiàng)卡：可以對(duì)授權(quán)或拒絕訪問的IP地址進(jìn)行設(shè)置以便最大程度限制對(duì)不安全I(xiàn)P地址的訪問。與Telnet服務(wù)一樣，除了上述FTP服務(wù)器的安全配置以外，F(xiàn)TP協(xié)議本身并沒有太大的安全缺陷，但其明文傳輸確實(shí)是容易被網(wǎng)絡(luò)監(jiān)聽竊取的最大隱患。對(duì)于信息傳輸進(jìn)行加密的技術(shù)很多，如前面Web安全中所提到的SSL協(xié)議也可以對(duì)FTP和Telnet安全提供保證，不過就像代理服務(wù)器中一個(gè)代理模塊那樣，只能對(duì)一項(xiàng)服務(wù)進(jìn)行代理，SSL要實(shí)現(xiàn)對(duì)其他服務(wù)的支持也必須要另外配置，因此不是很方便。想要對(duì)應(yīng)用層所有服務(wù)都提供信息安全保障，最合適的協(xié)議就是IPSec協(xié)議協(xié)議。有關(guān)IPSec協(xié)議將在9.5節(jié)進(jìn)行詳細(xì)說明。

9.3電子郵件的安全

電子郵件已經(jīng)成為網(wǎng)絡(luò)應(yīng)用中不可缺少的一個(gè)服務(wù)，它在很大程度上取代了傳統(tǒng)的信息傳輸方式，采用電子信息來取代以往的書信郵寄。電子郵件給人們帶來便利的同時(shí)也帶來了新的安全問題。電子郵件常見的威脅主要有以下幾類：

安全漏洞：電子郵件服務(wù)器本身是存在安全漏洞的，一旦漏洞被黑客利用就可能對(duì)網(wǎng)絡(luò)造成巨大的威脅。如Unix/Linux系統(tǒng)中的電子郵件服務(wù)器Sendmail是以root帳戶運(yùn)行的，如果黑客掌握了這個(gè)漏洞就可以利用它來攻擊系統(tǒng)，還有曾經(jīng)震驚世界的蠕蟲病毒也是利用Sendmail的安全缺陷使大批的網(wǎng)絡(luò)服務(wù)器陷于癱瘓，造成了巨大的損失。

病毒、蠕蟲、木馬：黑客可以利用電子郵件的附件功能發(fā)送帶有惡意代碼的文件，用戶一旦打開此郵件惡意程序便開始運(yùn)行，破壞主機(jī)數(shù)據(jù)或?qū)⒂?jì)算機(jī)變成可遠(yuǎn)程控制的主機(jī)。

網(wǎng)絡(luò)釣魚：利用偽造的郵件內(nèi)容將收件人引到欺詐性站點(diǎn)并誘騙其輸入機(jī)密的金融數(shù)據(jù)，如銀行帳號(hào)、密碼等，以竊取用戶敏感信息。

垃圾郵件：是郵件用戶幾乎每天都要面對(duì)的問題，雖然它不像前面兩種威脅給用戶帶來明顯的直接影響，但是給用戶正常使用郵箱帶來了不小的麻煩。有的用戶會(huì)因?yàn)槔]件太多而放棄該郵箱的使用，這就有點(diǎn)類似網(wǎng)絡(luò)上的拒絕服務(wù)攻擊了，當(dāng)然，放棄使用郵箱是一種極端的做法，所以多數(shù)用戶還是不得不每天清除垃圾郵件。

安全傳輸：郵件信息的安全傳輸也是一個(gè)需要解決的問題，必須用加密技術(shù)來保證郵件信息不被非法讀取和篡改。針對(duì)電子郵件的安全措施主要有以下幾方面：

1)選擇一個(gè)安全的郵件客戶端軟件

如果客戶端軟件漏洞太多就為黑客造成大量的攻擊機(jī)會(huì)，嚴(yán)重的可以通過一些漏洞進(jìn)而控制整個(gè)主機(jī)系統(tǒng)，因此必須選擇一款安全的客戶端軟件以避免漏洞攻擊，并經(jīng)常到發(fā)布網(wǎng)站上安裝補(bǔ)丁。2)對(duì)郵件客戶端軟件進(jìn)行安全配置

以WindowsServer2003自帶的OutlookExpress6為例，在配置好用戶郵件帳戶信息以后，在OutlookExpress菜單中選擇“工具”→“選項(xiàng)”進(jìn)行以下安全配置。

(1)“安全”選項(xiàng)卡：可配置與“病毒防護(hù)”、“下載圖像”和“安全郵件”相關(guān)選項(xiàng)和參數(shù)，如圖9.8所示。圖9.8OutlookExpress安全配置

“選擇要使用的InternetExplorer安全區(qū)域”：用戶可以選擇使用Internet上所有網(wǎng)址的所有郵箱還是只能使用IE中限定地址的郵箱。

“當(dāng)別的應(yīng)用程序試圖用我的名義發(fā)送電子郵件時(shí)警告我”：防止非法程序利用用戶郵箱發(fā)送非法郵件，如木馬可以利用用戶郵箱發(fā)送信件給監(jiān)控者；病毒可以利用用戶郵箱傳播自己等。

“不允許保存或打開可能有病毒的附件”：防止打開附件中的木馬或病毒程序。

“阻止HTML電子郵件中的圖像和其他外部內(nèi)容”：可防止執(zhí)行收到的郵件中包含的惡意代碼。

安全郵件中的“數(shù)字標(biāo)識(shí)”是由權(quán)威機(jī)構(gòu)頒發(fā)給用戶的身份標(biāo)識(shí)，它結(jié)合了安全/多用途Internet郵件擴(kuò)展(S/MIME)規(guī)范來確保電子郵件的安全。用戶可以通過“獲取數(shù)字標(biāo)識(shí)”選項(xiàng)連接到站點(diǎn)上申請(qǐng)自己的數(shù)字標(biāo)識(shí)，并且用申請(qǐng)到的數(shù)字標(biāo)識(shí)對(duì)發(fā)送的郵件進(jìn)行數(shù)字簽名或加密，通過“高級(jí)”按鈕設(shè)置加密和簽名參數(shù)。(2)“回執(zhí)”選項(xiàng)卡：回執(zhí)功能可能會(huì)作為黑客探測合法郵箱的一種手段，因此應(yīng)謹(jǐn)慎設(shè)置。使用“安全回執(zhí)”按鈕可以對(duì)安全回執(zhí)參數(shù)進(jìn)行設(shè)置。

(3)“郵件規(guī)則”選項(xiàng)卡：在OutlookExpress菜單中選擇“工具”→“郵件規(guī)則”，可以對(duì)郵件、新聞及發(fā)件人名單進(jìn)行設(shè)置并過濾符合相關(guān)條件的垃圾郵件。(4)除以上對(duì)郵件客戶端軟件的配置以外，還可以采取以下措施：

利用防火墻對(duì)進(jìn)出的郵件進(jìn)行控制，過濾、篩選和屏蔽掉有害的電子郵件。

對(duì)重要的郵件進(jìn)行加密，除了用一些客戶端自帶的加密技術(shù)，如OutlookExpress中的S/MIME以外，還可利用第三方加密軟件，如在第2章中介紹的PGP軟件，它是一個(gè)比S/MIME功能更強(qiáng)的且可免費(fèi)使用的郵件/文件加密軟件。

利用病毒查殺軟件對(duì)所有的郵件進(jìn)行病毒檢查后再打開，并確保只打開安全的郵件附件。

9.4SSL協(xié)議

SSL是由Netscape通信公司提出、用于網(wǎng)絡(luò)保密通信的安全協(xié)議。SSL協(xié)議位于TCP層和應(yīng)用層之間，利用TCP協(xié)議能夠提供可靠的端到端安全服務(wù)，但對(duì)應(yīng)用層是透明的。

SSL協(xié)議在應(yīng)用層協(xié)議之下，網(wǎng)絡(luò)層協(xié)議之上，不是單個(gè)協(xié)議，而是兩層協(xié)議，其體系結(jié)構(gòu)如圖9.9所示。圖9.9SSL協(xié)議體系結(jié)構(gòu)其中：

SSL記錄協(xié)議(SSLRecordProtocol)：建立在TCP協(xié)議之上，用來封裝高層協(xié)議。

SSL握手協(xié)議(SSLHandshakeProtocol)：準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前，可以通過特定的加密算法相互認(rèn)證。

SSL更改密碼規(guī)格協(xié)議(SSLChangeCipherSpecProtocol)：保證可擴(kuò)展性。

SSL告警協(xié)議(SSLAlertProtocol)：產(chǎn)生必要的警告信息。在SSL協(xié)議中還有兩個(gè)重要的概念SSL連接和SSL會(huì)話：

SSL連接：一個(gè)SSL連接是提供一種恰當(dāng)類型的傳輸，是點(diǎn)對(duì)點(diǎn)的關(guān)系。連接是暫時(shí)的，每一個(gè)連接和一個(gè)會(huì)話相聯(lián)系。

SSL會(huì)話：一個(gè)SSL會(huì)話是一個(gè)在客戶機(jī)和服務(wù)器之間的關(guān)聯(lián)，由SSL握手協(xié)議來創(chuàng)建。會(huì)話定義了加密安全參數(shù)的一個(gè)集合，該集合可以被多個(gè)連接所共享，避免為每個(gè)連接進(jìn)行昂貴的安全參數(shù)的協(xié)商。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議無關(guān)的。高層應(yīng)用協(xié)議(如HTTP、FTP和Telnet)能夠建立在SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器的認(rèn)證工作。在此之后，應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的私密性。SSL協(xié)議基本運(yùn)作方式如下：(1)通信雙方執(zhí)行握手協(xié)議建立連接后，獲得共有的通信密碼作為加密密鑰。

(2)發(fā)送方將傳輸?shù)臄?shù)據(jù)在執(zhí)行記錄協(xié)議階段用已獲得的通信密碼加密后發(fā)送出去。接收方用相同的密碼作為解密密鑰。

(3)在執(zhí)行握手協(xié)議或記錄協(xié)議的過程中，任何一方有異常出現(xiàn)，都可以用告警協(xié)議通知對(duì)方，以進(jìn)行相應(yīng)的處理。

(4)任何一方想更換密鑰時(shí)，可以利用更改密碼說明協(xié)議來重新獲得密鑰。

9.5IPSec協(xié)議

IPSec協(xié)議彌補(bǔ)了TCP/IP協(xié)議體系中所固有的一些漏洞，是在IP協(xié)議層上提供訪問控制、無連接完整性、數(shù)據(jù)源認(rèn)證、載荷有效性和有限流量機(jī)密性等安全服務(wù)的體系，可在公共IP網(wǎng)絡(luò)上確保數(shù)據(jù)通信的可靠性和完整性。

1.

IPSec協(xié)議體系

IPSec協(xié)議主要通過使用認(rèn)證頭(AuthenticationHeader，AH)和封裝安全載荷(EncapsulatingSecurityPayload，ESP)兩種通信安全協(xié)議來實(shí)現(xiàn)。兩種協(xié)議中均使用到安全關(guān)聯(lián)(SecurityAssociation，SA)。同時(shí)，AH和ESP這兩個(gè)機(jī)制還需要因特網(wǎng)密鑰交換(InternetKeyExchange，IKE)協(xié)議提供密鑰管理和協(xié)商的約定，首先對(duì)這幾個(gè)關(guān)鍵概念簡單解釋如下：

AH協(xié)議：可提供數(shù)據(jù)源認(rèn)證和無連接的數(shù)據(jù)完整性服務(wù)，使得通信的一方能夠確認(rèn)另一方的身份，并能夠確認(rèn)數(shù)據(jù)在傳輸?shù)倪^程中沒有遭到篡改。

ESP協(xié)議：主要用來處理對(duì)IP數(shù)據(jù)包的加密，同時(shí)也可提供認(rèn)證功能。

SA協(xié)議：是發(fā)送者和接受者之間的一個(gè)單向關(guān)系，是通信雙方之間對(duì)某些要素的一種協(xié)定，如IPSec協(xié)議的使用、操作模式、密鑰算法、密鑰、密鑰的生存周期等。AH協(xié)議和ESP協(xié)議的執(zhí)行都依賴于SA。由于SA只能表示一種單向關(guān)系，因此，如果需要一個(gè)對(duì)等的關(guān)系用于雙向的安全交換，就要有兩個(gè)SA。

IKE協(xié)議：主要對(duì)密鑰交換進(jìn)行管理，提供安全可靠的算法和密鑰協(xié)商。以后就可以使用這個(gè)密鑰來對(duì)它們之間交換的數(shù)據(jù)進(jìn)行加密，從而保證數(shù)據(jù)傳輸安全。

2.傳輸模式和隧道模式

在IPSec協(xié)議中，無論是AH還是ESP，都可工作于傳輸模式(TransportMode)和隧道模式(TunnelMode)。

1)傳輸模式

傳輸模式主要為上層協(xié)議提供保護(hù)，即傳輸模式的保護(hù)擴(kuò)充到IP分組的有效載荷。傳輸模式使用原始的明文IP頭，只加密數(shù)據(jù)部分(包括TCP頭或UDP頭)，其數(shù)據(jù)報(bào)格式如圖9.10所示。圖9.10傳輸模式傳輸模式的典型應(yīng)用是用于兩個(gè)主機(jī)之間的端到端的通信。使用IPSec認(rèn)證服務(wù)傳輸模式SA如圖9.11所示，在服務(wù)器和客戶工作站之間直接提供認(rèn)證服務(wù)。工作站可以與服務(wù)器同在一個(gè)網(wǎng)絡(luò)中(如客戶端A和服務(wù)器A)，也可以在外部網(wǎng)絡(luò)中(如客戶端B在外部網(wǎng)絡(luò)中)。只要工作站和服務(wù)器共享受保護(hù)的密鑰，認(rèn)證處理就是安全的。圖9.11IPSec認(rèn)證服務(wù)傳輸模式2)隧道模式

與傳輸模式相比，隧道模式對(duì)整個(gè)IP分組提供保護(hù)，整個(gè)IP數(shù)據(jù)包全部被加密封裝，得到一個(gè)新的IP數(shù)據(jù)包，而新的IP頭可以包含完全不同的源地址和目的地址，因此在傳輸過程中，由于路由器不能夠檢查內(nèi)部IP頭，從而增加了數(shù)據(jù)安全性。隧道模式的數(shù)據(jù)報(bào)格式如圖9.12所示。圖9.12隧道模式隧道模式通常用于當(dāng)SA的一端或兩端是安全網(wǎng)關(guān)，如實(shí)現(xiàn)了IPSec的防火墻或路由器的情況。使用隧道模式，在防火墻之后的網(wǎng)絡(luò)上的一組主機(jī)可以不實(shí)現(xiàn)IPSec而參加安全通信。通過局域網(wǎng)邊界的防火墻或安全路由器上的IPSec軟件建立隧道模式SA，這些主機(jī)產(chǎn)生的未保護(hù)的分組通過隧道連到外部網(wǎng)絡(luò)。主機(jī)A與主機(jī)B采用隧道模式IPSec運(yùn)作過程如圖9.13所示。

(1)主機(jī)A產(chǎn)生的IP數(shù)據(jù)包中的目的地址是主機(jī)B的IP地址。

(2)主機(jī)A產(chǎn)生的IP數(shù)據(jù)包被傳到A的網(wǎng)絡(luò)邊界的一臺(tái)安全網(wǎng)關(guān)A(防火墻或安全路由器)上。

(3)如果從主機(jī)A到主機(jī)B的這個(gè)IP數(shù)據(jù)包需要IPSec，安全網(wǎng)關(guān)A完成IPSec處理并將這個(gè)數(shù)據(jù)包封裝在外部IP頭里形成新IP數(shù)據(jù)包。這個(gè)新IP數(shù)據(jù)包的源地址是這個(gè)安全網(wǎng)關(guān)A，而目的地址可能是主機(jī)B的局域網(wǎng)邊界的安全網(wǎng)關(guān)B。(4)新IP數(shù)據(jù)包被傳到外部網(wǎng)絡(luò)上，中間的路由器只檢查外部的IP頭，將數(shù)據(jù)包路由到安全網(wǎng)關(guān)B。

(5)安全網(wǎng)關(guān)B收到新IP數(shù)據(jù)包，將外部IP頭剝掉，內(nèi)部數(shù)據(jù)(即主機(jī)A發(fā)出的原始IP數(shù)據(jù)報(bào))交付給主機(jī)B。主機(jī)B對(duì)數(shù)據(jù)包進(jìn)行處理，完成整個(gè)數(shù)據(jù)安全傳輸過程。圖9.13隧道模式IPSec運(yùn)作過程

3.

IPSec的應(yīng)用

IPSec提供了在局域網(wǎng)、專用和公用的廣域網(wǎng)和Internet上安全通信的能力，可包括如圖9.14所示的應(yīng)用。

(1)

Internet上的安全分支連接：公司可以利用IPSec技術(shù)在Internet網(wǎng)絡(luò)上建立安全的虛擬專用網(wǎng)。如圖9.14中網(wǎng)絡(luò)A和網(wǎng)絡(luò)B可以是一個(gè)公司的不同部門，雙方之間通過IPSec技術(shù)進(jìn)行安全通信，使企業(yè)減少了構(gòu)建專用網(wǎng)的需求，并節(jié)省了費(fèi)用和網(wǎng)絡(luò)管理負(fù)擔(dān)。

圖9.14IPSec應(yīng)用方案(2)

Internet上的安全訪問：系統(tǒng)上實(shí)現(xiàn)了IPSec的終端用戶可以通過調(diào)用本地的Internet服務(wù)提供商(ISP)來對(duì)遠(yuǎn)程的公司網(wǎng)絡(luò)進(jìn)行安全訪問，如圖9.14中實(shí)現(xiàn)IPSec的用戶系統(tǒng)可以通過實(shí)現(xiàn)IPSec的聯(lián)網(wǎng)設(shè)備訪問公司網(wǎng)絡(luò)，從而為在外旅行的雇員和遠(yuǎn)程工作者減少長途通信費(fèi)用。

(3)與合作者之間建立企業(yè)內(nèi)部和外部的連接：利用IPSec可以與其他組織之間實(shí)現(xiàn)安全通信，保證認(rèn)證和機(jī)密性，并且提供密鑰交換機(jī)制。如圖9.14中網(wǎng)絡(luò)A與網(wǎng)絡(luò)B分屬兩家不同企業(yè)，但卻可以通過IPSec技術(shù)實(shí)現(xiàn)安全通信。(4)增強(qiáng)電子商務(wù)的安全性：雖然一些Web和電子商務(wù)應(yīng)用已經(jīng)有了內(nèi)置的安全協(xié)議，但使用IPSec可以增強(qiáng)其安全性。

由于IPSec能夠加密或認(rèn)證在IP層的所有通信量，因此所有的分布式應(yīng)用，包括遠(yuǎn)程注冊(cè)、客戶/服務(wù)器、電子郵件、文件傳輸、Web訪問等，都可以利用IPSec來增強(qiáng)通信安全性。

9.6Internet安全技術(shù)實(shí)例

9.6.1SSL技術(shù)應(yīng)用

【實(shí)驗(yàn)背景】

SSL協(xié)議是在Web客戶端和服務(wù)器端之間建立一個(gè)安全連接的最常用的技術(shù)，它能夠保證信息的真實(shí)性、完整性和保密性。Windows系統(tǒng)中提供構(gòu)建SSL安全應(yīng)用的所有組件?！緦?shí)驗(yàn)?zāi)康摹?/p>

掌握SSL技術(shù)，保證Web客戶端與服務(wù)器信息傳輸安全。

【實(shí)驗(yàn)條件】

(1)基于WindowsServer2003的PC機(jī)一臺(tái)。

(2)基于Windows2000/XP/2003/Vista的PC機(jī)一臺(tái)。

【實(shí)驗(yàn)任務(wù)】

(1)實(shí)現(xiàn)Web服務(wù)器證書申請(qǐng)和安裝。

(2)利用SSL技術(shù)實(shí)現(xiàn)Web客戶端對(duì)安裝了證書的Web服務(wù)器的認(rèn)證和安全訪問?！緦?shí)驗(yàn)內(nèi)容】

首先配置Web服務(wù)器和客戶端主機(jī)網(wǎng)絡(luò)：

服務(wù)器主機(jī)A：WindowsServer2003，IP地址是/24，安裝Web站點(diǎn)并設(shè)置好默認(rèn)主頁，測試

訪問成功。

客戶端主機(jī)B:Windows2000/XP/2003/Vista，IP地址是/24，從該客戶端主機(jī)B訪問服務(wù)器主機(jī)A的Web站點(diǎn)，測試

http://192.168.0.3訪問成功。SSL技術(shù)保證Web客戶端和服務(wù)器端訪問安全主要有以下幾個(gè)步驟：

證書頒發(fā)機(jī)構(gòu)(CA)的安裝和配置；

Web服務(wù)器證書的生成；

Web服務(wù)器證書的提交；

CA頒發(fā)證書；

Web服務(wù)器證書的安裝，并啟用SSL安全通道；

Web客戶端通過SSL協(xié)議訪問Web服務(wù)器。

1.

CA的安裝和配置

(1)單擊“開始”→“控制面板”→“添加或刪除程序”→“添加/刪除Windows組件”，在【W(wǎng)indows組件】窗口中選中“證書服務(wù)”，單擊“下一步”按鈕。

(2)在【CA類型】窗口中選擇“獨(dú)立根CA(S)”，單擊“下一步”按鈕。

(3)在【CA識(shí)別信息】窗口中填入CA的公用名稱及有限期限等相關(guān)信息，單擊“下一步”按鈕。

(4)在【Microsoft證書服務(wù)】提示窗口中單擊“是”按鈕。(5)在【數(shù)據(jù)存儲(chǔ)位置】窗口中指定存儲(chǔ)配置數(shù)據(jù)、數(shù)據(jù)庫和日志的位置，將WindowsServer2003安裝光盤放入，單擊“下一步”按鈕，程序自動(dòng)安裝CA組件。

(6)測試：單擊“開始”按鈕→“所有程序”→“管理工具”→“證書頒發(fā)機(jī)構(gòu)”，可看到已經(jīng)生成的CA相關(guān)信息。

2.

Web服務(wù)器證書的生成

(1)單擊“開始”按鈕→“所有程序”→“管理工具”→“Internet信息服務(wù)(IIS)管理器”，右擊需要配置的Web站點(diǎn)→“屬性”→“目錄安全性”→“服務(wù)器證書”，打開Web服務(wù)器向?qū)А?/p>

(2)在【歡迎使用Web服務(wù)器證書向?qū)А看翱趩螕簟跋乱徊健卑粹o。

(3)在【服務(wù)器證書】窗口選擇“新建證書”，單擊“下一步”按鈕。(4)在【稍候或立即請(qǐng)求】窗口選擇“現(xiàn)在準(zhǔn)備請(qǐng)求，但稍候發(fā)送”，單擊“下一步”按鈕。

(5)在【名稱和安全性設(shè)置】窗口中輸入新證書名稱和選擇加密密鑰的位長，位長越高，安全性越高，但效率越低，單擊“下一步”按鈕。

(6)在【單位信息】窗口中輸入單位和部門信息，單擊“下一步”按鈕。

(7)在【站點(diǎn)公用名稱】窗口中輸入服務(wù)器的域名，單擊“下一步”按鈕。

(8)在【地理信息】窗口中輸入服務(wù)器的國家、省/自治區(qū)及市縣信息，單擊“下一步”按鈕。(9)在【證書請(qǐng)求文件名】窗口中確認(rèn)證書文件名，單擊“下一步”按鈕。

(10)在【請(qǐng)求文件摘要】窗口中可看到證書請(qǐng)求文件的所有內(nèi)容，即前面輸入的信息，單擊“下一步”按鈕。

(11)在【完成Web服務(wù)器證書向?qū)А看翱谥袉螕簟巴瓿伞卑粹o，回到“目錄安全性”選項(xiàng)卡。

3.將服務(wù)器證書提交給CA

(1)打開IE，鍵入U(xiǎn)RL地址http://localhost/CertSrv

/default.asp，打開歡迎窗口。

(2)在瀏覽器【歡迎】窗口中選擇“申請(qǐng)一個(gè)證書”。

(3)在【申請(qǐng)一個(gè)證書】窗口中選擇“高級(jí)證書申請(qǐng)”。

(4)在【高級(jí)證書申請(qǐng)】窗口中選擇用base64編碼提交證書，打開【提交一個(gè)證書申請(qǐng)或續(xù)訂申請(qǐng)】瀏覽器窗口，然后將剛才生成證書用文本打開，將所有內(nèi)容復(fù)制，然后粘貼到“保存的申請(qǐng)”對(duì)話框中，如圖9.15所示。

(5)在【提交一個(gè)證書申請(qǐng)或續(xù)訂申請(qǐng)】瀏覽器窗口中單擊“提交”，打開【證書掛起】窗口，可以看到有關(guān)證書掛起的信息，包括證書的ID號(hào)及證書頒發(fā)的時(shí)間。圖9.15Web服務(wù)器證書申請(qǐng)?zhí)峤?/p>

4.

CA對(duì)服務(wù)器提交的證書進(jìn)行頒發(fā)

(1)單擊“開始”→“所有程序”→“管理工具”→“證書頒發(fā)機(jī)構(gòu)”，打開【證書頒發(fā)機(jī)構(gòu)】窗口，單擊窗口左側(cè)“掛起的申請(qǐng)”，可以看到窗口右側(cè)所有掛起的證書列表，右擊剛剛申請(qǐng)的條目→“所有任務(wù)”→“頒發(fā)”，則證書已經(jīng)頒發(fā)。

(2)在“頒發(fā)的證書”中找到剛剛頒發(fā)的證書，雙擊打開【證書】窗口，在“常規(guī)”選項(xiàng)卡中可看到證書申請(qǐng)時(shí)填寫的簡要信息。

(3)在【證書】窗口中選擇“詳細(xì)信息”選項(xiàng)卡可以看到申請(qǐng)證書時(shí)填寫的詳細(xì)信息，單擊“復(fù)制到文件”按鈕。(4)在【歡迎使用證書導(dǎo)出向?qū)А看翱谥袉螕簟跋乱徊健卑粹o。

(5)在【導(dǎo)出文件格式】窗口中選中文件要使用的格式“DER編碼二進(jìn)制X.509(.cer)”，單擊“下一步”按鈕。

(6)在【要導(dǎo)出的文件】窗口中輸入要導(dǎo)出的文件名(本實(shí)驗(yàn)使用d:\server.cer)，單擊“下一步”按鈕。

(7)在【正在完成證書導(dǎo)出向?qū)А看翱谥?，單擊“完成”按鈕。

(8)在【證書導(dǎo)出向?qū)А刻崾敬翱谥袉螕簟按_定”按鈕，回到如圖所示的證書詳細(xì)信息窗口，單擊“確定”按鈕，關(guān)閉【證書】窗口。

5.服務(wù)器安裝CA頒發(fā)的證書，并啟用SSL安全通道

(1)在如圖9.5所示的Web站點(diǎn)屬性界面選擇“目錄安全性”→“服務(wù)器證書”。

(2)在【歡迎使用Web服務(wù)器證書向?qū)А看翱趩螕簟跋乱徊健卑粹o。

(3)在【掛起的證書請(qǐng)求】窗口中選中“處理掛起的請(qǐng)求并安裝證書”，單擊“下一步”按鈕。

(4)在【處理掛起的請(qǐng)求】窗口中輸入包含證書頒發(fā)機(jī)構(gòu)相應(yīng)的文件的路徑和名稱，如之前導(dǎo)出的服務(wù)器證書(d:\server.cer)，單擊“下一步”按鈕。(5)在【SSL端口】窗口中輸入該網(wǎng)站應(yīng)該使用的SSL端口443，單擊“下一步”按鈕。

(6)在【證書摘要】窗口可以看到選擇從響應(yīng)文件安裝證書的摘要信息，單擊“下一步”按鈕。

(7)在【完成Web服務(wù)器證書向?qū)А看翱谥袉螕簟巴瓿伞卑粹o，結(jié)束服務(wù)器證書安裝。

(8)在如圖9.5所示的Web站點(diǎn)屬性界面單擊“目錄安全性”，單擊“安全通信”中的“編輯”，打開【安全通信】窗口，選擇“申請(qǐng)安全通道(SSL)”，客戶證書選擇為“忽略客戶證書”，如圖9.16所示。圖9.16安全通信配置(9)確定關(guān)閉所有窗口后再打開Web站點(diǎn)屬性窗口，可以看到SSL加密通道，端口是443。

6.測試

(1)在客戶端主機(jī)B()的IE中輸入，看到“該頁必須通過安全通道查看”等信息。

(2)在客戶端主機(jī)B的IE中再輸入

，訪問結(jié)果如圖9.17所示。

(3)在【安全警報(bào)】窗口中單擊“確定”按鈕，出現(xiàn)“證書安全警報(bào)提示窗口”，如圖9.18所示。

(4)在“證書安全警報(bào)提示窗口”中確定證書提示信息，單擊“是”銨鈕，出現(xiàn)訪問網(wǎng)站主頁。圖9.17通過SSL訪問Web站點(diǎn)圖9.18Web服務(wù)器證書安全警報(bào)9.6.2IPSec技術(shù)應(yīng)用

【實(shí)驗(yàn)背景】

IPSec協(xié)議是在公共IP網(wǎng)絡(luò)上確保通信雙方數(shù)據(jù)通信具有可靠性和完整性的技術(shù)，它能夠?yàn)橥ㄐ烹p方提供訪問控制、無連接完整性、數(shù)據(jù)源認(rèn)證、載荷有效性和有限流量機(jī)密性等安全服務(wù)。Windows系統(tǒng)中提供構(gòu)建IPSec安全應(yīng)用的所有組件?！緦?shí)驗(yàn)?zāi)康摹?/p>

掌握IPSec技術(shù)，保證應(yīng)用層傳輸安全。

【實(shí)驗(yàn)條件】

(1)基于WindowsServer2003的PC機(jī)兩臺(tái)。

(2)基于Windows2000/XP/2003/Vista的PC機(jī)一臺(tái)

【實(shí)驗(yàn)任務(wù)】

(1)實(shí)現(xiàn)IPSec配置。

(2)利用IPSec技術(shù)進(jìn)行應(yīng)用層服務(wù)安全訪問?！緦?shí)驗(yàn)內(nèi)容】

首先配置Web服務(wù)器和客戶端主機(jī)網(wǎng)絡(luò)：

服務(wù)器主機(jī)A：WindowsServer2003，IP地址是/24，安裝Web站點(diǎn)和FTP站點(diǎn)并測試成功。

服務(wù)器主機(jī)B：WindowsServer

2003，IP地址是/24，測試訪問主機(jī)A的Web站點(diǎn)和FTP站點(diǎn)成功。

測試主機(jī)C：Windows2000/XP/2003/Vista，IP地址是/24，測試與主機(jī)A和B互聯(lián)訪問成功。IPSec技術(shù)保證應(yīng)用層服務(wù)訪問安全主要有以下幾個(gè)步驟：

在服務(wù)器主機(jī)A上安裝并配置IPSec；

在服務(wù)器主機(jī)B上安裝并配置IPSec；

在各服務(wù)器主機(jī)未啟用或啟用IPSec的情況下進(jìn)行測試。

1.配置服務(wù)器主機(jī)A的IPSec

1)建立新的IPSec策略

(1)單擊“開始”→“所有程序”→“管理工具”→“本地安全策略”，打開【本地安全設(shè)置】窗口。

(2)在【本地安全設(shè)置】窗口左側(cè)對(duì)話框中右擊“IP安全策略，在本地機(jī)器”→“創(chuàng)建IP安全策略”。

(3)在【歡迎使用IP安全策略】窗口中單擊“下一步”按鈕。

(4)在【IP安全策略名稱】窗口中輸入名稱和描述信息(本實(shí)驗(yàn)中的策略名稱為新IP安全策略A)，單擊“下一步”按鈕。

(5)在【安全通信請(qǐng)求】窗口中選擇“激活默認(rèn)響應(yīng)規(guī)則”，單擊“下一步”按鈕。

(6)在【默認(rèn)響應(yīng)規(guī)則身份驗(yàn)證方法】窗口中接受默認(rèn)的選項(xiàng)“Windows2003默認(rèn)值KerberosV5”作為默認(rèn)響應(yīng)規(guī)則身份驗(yàn)證方法，單擊“下一步”按鈕。

(7)在【警告】窗口中選擇“是”按鈕。

(8)在【完成“IP安全策略向?qū)А薄看翱谥薪邮堋熬庉媽傩浴蹦J(rèn)選項(xiàng)，單擊“完成”按鈕，打開【新IP安全策略A屬性】窗口，如圖9.19所示。2)添加新規(guī)則

(1)在【新IP安全規(guī)則A屬性】窗口中取消“使用‘添加向?qū)А边x項(xiàng)，再單擊“添加”按鈕，如圖9.19所示。

(2)在【新規(guī)則屬性】窗口中的“IP篩選器列表”選項(xiàng)卡中選中“所有ICMP通信”，單擊“添加”按鈕，出現(xiàn)【IP篩選器列表】窗口。圖9.19IP安全策略屬性3)添加新過濾器

(1)在【IP篩選器列表】窗口中輸入篩選器的名稱，并取消“使用‘添加向?qū)А边x項(xiàng)，單擊“添加”按鈕。

(2)在【IP篩選器屬性】窗口中設(shè)置源地址和目標(biāo)地址為特定的IP地址(本實(shí)驗(yàn)為主機(jī)到主機(jī)實(shí)現(xiàn)IPSec安全通信)，如圖9.20所示。圖9.20IP篩選器地址設(shè)置(3)在【IP篩選器屬性】窗口中選擇“協(xié)議”選項(xiàng)卡，選擇“協(xié)議類型”為ICMP，單擊“確定”按鈕。

(4)在【IP篩選器列表】窗口中單擊“確定”按鈕，返回【新規(guī)則屬性】窗口，通過單擊新添加的過濾器旁邊的單選按鈕激活新設(shè)置的過濾器，如圖9.21所示。圖9.21IP篩選器激活4)規(guī)定過濾器動(dòng)作

(1)在【新規(guī)則屬性】窗口中選擇“篩選器操作”選項(xiàng)卡，取消“使用‘添加向?qū)А边x項(xiàng)，單擊“添加”按鈕。

(2)在【新篩選器操作屬性】窗口中默認(rèn)選擇“協(xié)商安全”選項(xiàng)，單擊“添加”按鈕。

(3)在【新增安全措施】窗口中默