第9章网络应用系统的安全配置和管理课程.ppt

第9章 网络应用系统的安全配置和管理;;实验1 IPC$入侵方法及防范 ;实验目的;实验原理;;3． 实验内容和要求;9.1.2 实验规划;2． 实验拓扑;9.1.3 实验步骤;;2． 为继续入侵作准备 ;;;;8.1.4 结果验证;;;实验2 利用IPSec实现网络安全通信;在网络中为了实现设备之间的安全通信，目前有多种解决方案，如VPN、SSL、加密技术、数字认证等。本实验以Windows Server 2003为平台，介绍利用IPSec实现网络安全通信的原理和方法。 9.2.1 实验概述 IPSec（Internet Protocol Security，Internet协议安全）可以在两台计算机之间实现信息的安全传输，目前广泛应用于Internet和Intranet中。;实验目的;实验原理;;根据密钥管理的对称性，一个SA中仅存放了端到端的两台计算机的安全通信协议和密钥。所以，当一台计算机同时与多台计算机利用IPSec进行安全连接时，这台计算机中将会存在多个SA，每一个SA对应着这台计算机与另一台计算机之间的关联。其中，SPI的作用就是来判断此SA是与哪一台计算机所协商而得到的。 为了加深读者对IPSec的理解，这是再对IKE进行必要的介绍。两台IPSec计算机在交换数据之前，必须首先建立某种约定，这种约定称为“安全关联”（SA），指双方需要就如何保护信息、交换信息等公用的安全设置达成一致。更重要的是，必须有一种方法使两台计算机安全地交换一套密钥，以便在它们的连接中使用。Internet工程任务组（IETF）制定的安全关联标准和密钥交换解决方案IKE负责这些任务，它提供一种方法供两台计算机建立安全关联。SA对两台计算机之间的策略协议进行编码，指定他们将使用哪些算法和什么样的密钥长度，以及实际的密钥本身。IKE主要完成两个作用： ?安全关联的集中化管理，减少连接时间 ?密钥的生成和管理;3． 实验内容和要求;9.2.2 实验规划;2． 实验拓扑;9.2.3 实验步骤;管理员可以根据需要来选取其中一个策略，这3个策略的功能说明如下： · 服务器（请求安全）。该方式为主动请求使用IPSec。当该计算机要与其他计算机通信时，或其他计算机要与该计算机通信时，该计算机都会主动地请求对方使用IPSec。如果对方不支持IPSec，该计算机将以不支持IPSec方式与另一台计算机建立连接。 · 客户端（仅响应）。该方式为被动响应使用IPSec。也就是说，当其他的计算机请求与该计算机建立IPSec连接时，该计算机才会使用IPSec。 · 安全服务器（需要安全）。该方式为强制使用IPSec。当该计算机要与其他计算机通信时，或其他计算机要与该计算机通信时，该计算机都会强制对方使用IPSec。如果对方的计算机不支持IPSec，则双方无法建立连接。 需要说明的是，“服务器（请求安全）”和“安全服务器（需要安全）”都是针对所有的IP通信协议来设置的，但是对于ICMP通信协议不适用，即ICMP以没有IPSec的方式来通信。 ;9.2.4 结果验证;实验3 企业CA的部署;凡是使用过网上银行业务的读者都接触过数字证书。作为一种已经成熟的安全技术（也可称为“安全产品”），数字证书（Digital Certificate，或Digital ID）无论从实现技术还是应用范围上都发展到了一个较高的技术水平，它将为现在及将来网络的应用尤其是安全产生深远的影响。数字证书由一个权威的证书认证机构（Certificate Authority，CA）发行，在网络中可以通过从CA中获得的数字证书来识别对方的身份。本实验将介绍CA的部署方法，下一个实验将以一个实例介绍数字证书的具体应用。 9.3.1 实验概述 数字证书可以通过证书认证机构（Certificate Authority，CA）获得。有些证书认证机构是面向所有网络用户的，例如网证通NETCA电子认证系统（）。对于单位用户来说，可以部署自己的CA。Windows Server 2003提供了功能完善的CA及数字证书管理功能。;实验目的;实验原理;（2） 公开密钥加密法 公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理，其中公开密钥用来进行加密，而私有密钥用来进行解密，这种加密和解密的处理方式也称为“非对称”（asymmetric）加密法。另外，还有一种称为“秘密密钥加密法”（secret key encryption），该算法也称为“对称”（symmetric）加密法，这种方法在进行加密和解密的过程中都使用同一个密钥。;（3） 公开密钥验证法 数字签名与用户的姓名和手写签名形式毫无关系，它实际使用了信息发送者的私有密钥变换所需传输的信息。对于不同的文档信息，发送者的数字签名并不相同。没有私有密