2015南京邮电大学信息安全技术实验报告.docxVIP

实验报告（２０15 / ２０1 6 学年 第 一学期）课程名称信息安全技术实验名称防火墙和安全IP实验实验时间２０15年10月21/22/29日指导单位计算机学院/软件学院指导教师沈苏彬、王光辉学生姓名□□□班级学号□□□□□学院(系)□□□□□专 业□□□□□□实 验 报 告实验名称防火墙和安全IP实验指导教师沈苏彬、王光辉实验类型上机实验学时8实验时间2015-10-21/22/29实验目的和要求（1）理解防火墙技术和安全IP技术的原理（2）掌握个人电脑的防火墙、安全IP的配置方法。（3）完成防火墙的配置和测试、安全IP的配置和测试、以及基于报文嗅探软件的测试。要求独立完成实验方案的设计、配置和测试；要求独立完成实验报告的编写。二、实验环境(实验设备)硬件：微机软件：嗅探软件Wireshark，Windows系统三、实验原理及内容实验1：安全IP实验。两个同学为一组进行试验；如果没有找到合作进行实验的同学，并且存在多余的实验电脑，则可以一位同学通过两台电脑完成实验。1.1实验和测试在没有安全IP保护的网络环境下的网络安全危险：实验和测试在没有安全保护的情况下，通过嗅探报文可以看到在同一个网段内传送的所有IP报文以及这些IP报文包括的内容，例如可以通过Ping另一台电脑，通过嗅探软件，测试是否能够分析出Ping报文。1.2配置和测试安全IP：在两台电脑上配置安全IP策略，选择安全关联建立的方法（例如：采用基于共享密钥的安全关联建立方式），通过嗅探软件，观察和分析安全IP的安全关联建立过程，以及嗅探软件可以窥探到安全IP报文的哪些内容。1.3 通过嗅探软件，对照安全IP的原理，观察和分析安全IP的特性，例如观察安全IP的面向连接特性等。实验2：防火墙实验。两个同学为一组进行试验；如果没有找到合作进行实验的同学，并且存在多余的实验电脑，则可以一位同学通过两台电脑完成实验。2.1通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某台联网电脑访问设置防火墙电脑的限制，以及设置防火墙电脑对某台联网电脑访问限制，并且通过相关网络应用（例如Ping），测试防火墙的作用。2.2通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某类应用（例如基于ICMPv4的Ping）访问设置防火墙电脑的限制，以及设置防火墙电脑对某类应用（例如基于ICMPv4的Ping）访问限制，并且通过对该应用的使用，测试防火墙的作用。2.3 配置和验证自己认为具有实际应用价值的个人电脑防火墙规则，并且测试该防火墙的作用。2.4 罗列以上防火墙配置对应的访问控制列表。实 验 报 告四、实验过程实验一：安全IP实验。在这个实验当中，我（10.20.79.194）是和我们班另一位同学（10.20.79.191）进行合作的。(4.1)在还未配置防火墙以及安全IP设置时，使用计算机cmd（命令提示行）当中的ping指令可以测试A与B之间的连通性。由此可见，连通是没有异常的。因此，可以向下进行实验内容。 (4.2)打开Wireshark软件，通过这个软件抓取ping报文并进行分析。Ping作为ICMP的一种，是用来检查网络是否通畅或者网络连接速度的命令。Ping也有其固定的格式。报文长度（98bytes）= 以太网头（14bytes）+ IP头（20bytes）+ICMP头（8bytes）+ ICMP数据内容（56字节）。此处研究的是报文前面的内容。在数据包当中能解析到的有价值的信息是dst以及src，分别是接送方以及发送方的IP地址。再往前的以太网头里面，也涵盖着双方的MAC地址。红色框体部分是报文内容，未加密时就是明文的字母表。这样对于个人隐私是很不利的。于是我们应该尝试通过安全IP的配置来尽可能保护住自己的隐私。接下来，使用安全配置进行尝试。 (4.3)将我的计算机（命名为A机，IP地址为10.20.79.194）配置本地安全策略。同学的计算机上面（B机，IP为10.20.79.191）配置保持不变。 10.20.79.191（B机-未设置）无法ping到10.20.79.194（A机-IPsec）。在这种情况下，Wireshark上面无法抓取到ICMP类型的报文。通过A机也无法ping到B机，cmd显示如下：可以认为，当A配置了安全IP之后，B以及其它未配置安全IP的电脑就无法通过原来的默认方式连接到A机。而A机ping到其它电脑使用的是自己的安全IP配置。于是可以认为，配置了安全IP之后，在一定程度上可以防止自己的电脑被攻破。但是访问没有配置安全IP的电脑还需要用未配置安全IP的协议，这样才不会出现访问不到之类的错误。(4.4)调试B机和A机同样的设置，于是两台计算机可以互相ping到对方。当A、B两台计算机都指派相