实验六IPSc和SSL安全协议网络与信息安全实验报告.docVIP

实验 IPSec和SSL安全协议 同组实验者 实验日期 成绩 1.了解IPSec主要协议2.理解IPSec工作原理3.Windows环境下能够利用IPSec在两台主机间建立安全隧道网络协议分析器一、实验原理详见“信息安全实验平台”，“实验”，“练习一”。 二、实验步骤本练习主机A、B为一组，C、D为一组，E、F为一组。首先使用“快照X”恢复Windows系统环境。下面以主机A、B为例，说明实验步骤。IPsec虚拟专用网络的设置1. 进入IPsec配置界面（1）主机A、B通过“开始”｜“程序”｜“管理工具”｜“本地安全策略”打开IPSec相关配置界面，如图12-1-1所示。（2）在默认情况下IPsec的安全策略处于没有启动状态，必须进行指定，IPsec才能发挥作用。IPsec包含以下3个默认策略，如图1所示。 图1 本地安全设置 安全服务器：对所有IP通讯总是使用Kerberos信任请求安全。不允许与不被信任的客户端的不安全通讯。这个策略用于必须采用安全通道进行通信的计算机。客户端：正常通信，默认情况下不使用IPSec。如果通信对方请求IPSec安全通信，则可以建立IPSec虚拟专用隧道。只有与服务器的请求协议和端口通信是安全的。服务器：默认情况下，对所有IP通信总是使用Kerberos信任请求安全。允许与不响应请求的客户端的不安全通信。（3）以上策略可以在单台计算机上进行指派，也可以在组策略上批量指派，为了达到通过协商后双方可以通信的目的，通信双方都需要设置同样的策略并加以指派。2. 定制IPSec安全策略（1）双击“安全服务器(需要安全)”项，进入“安全服务器属性”页，可以看到在“规则”页签中已经存在3个“IP安全规则”，单击“添加”按钮，进入向导添加新安全规则。（2）在本练习中，我们实现的是两台主机之间的IPSec安全隧道，而不是两个网络之间的安全通信，因此，我们选择“此规则不指定隧道”，即选用传输模式IPSec，选中后单击“下一步”按钮。（3）在选择网络类型的界面。安全规则可以应用到3种网络类型：所有网络连接、局域网(LAN)和远程访问。本练习中，我们选择“所有网络连接”，单击“下一步”按钮。（4）在IP筛选器列表界面。我们定制自己的筛选操作，单击“添加”按钮，进入“IP筛选器列表”界面，如图2所示。 图2 IP筛选器列表（5）定制自己的IP筛选器。点击“添加”按钮进入“IP筛选器向导”，单击“下一步”按钮；（6）在“IP筛选器描述和镜像属性”的“描述”中，可自由添加对新增筛选器的解释信息，在这里输入“与同组主机进行安全的icmp通信”，单击“下一步”按钮；（7）IP通信源选择“我的IP地址”，单击“下一步”按钮；（8）IP通信目标选择“一个特定的IP地址”，IP地址填写：同组主机IP，单击“下一步”按钮；（9）选择“ICMP”协议类型，单击“下一步”按钮。单击“完成”按钮，完成定制IP筛选器；（10）单击“确定”按钮，退出“IP筛选器列表”对话框。操作界面返回到“安全规则向导”，设置新的IP筛选器：（1）在“IP筛选器列表”中选中“新 IP筛选器列表”，单击“下一步”按钮；（2）在“筛选器操作”界面单击“添加”按钮新建筛选器操作，在弹出的“筛选器操作向导”界面中，单击“下一步”按钮；（3）新的筛选器操作名称为“安全的ICMP通信”，描述自定义，单击“下一步”按钮；（4）在“筛选器操作常规选项”中选中“协商安全”，单击“下一步”按钮；（5）选中“不与不支持IPSec的计算机通信”，单击“下一步”按钮；（6）在“IP通信安全措施”中，选择“完整性和加密”，单击“下一步”按钮；最后单击“完成”按钮完成筛选器操作设置。（7）返回到“安全规则向导”，在“筛选器操作”列表中选中“安全的ICMP通信”，单击“下一步”按钮；（8）在“身份验证方法”界面。选中“使用此字符串保护密钥交换(预共享密钥)”，填写共享密钥“jlcss”(主机A、主机B的共享密钥必须一致)，单击“下一步”按钮，直至最终完成。IPsec虚拟专用网络的检测（1）主机A不指派策略，主机B不指派策略。主机A在“cmd”控制台中，输入如下命令：ping 主机B的IP填写ping操作反馈信息：。（2）主机A指派策略，主机B不指派策略。主机A在“cmd”控制台中，输入如下命令：ping 主机B的IP填写ping操作反馈信息：。（3）主机A不指派策略，主机B指派策略。主机A在“cmd”控制台中，输入如下命令：ping 主机B的IP填写ping操作反馈信息：。（4）主机A指派策略，主机B指派策略。主机A在“cmd”控制台中，输入如下命令：ping 主机B的IP填写ping操作反馈信息：。三．协议分析ESP首先确保主机A、主机B均已指派策略。（1）主机A、B进入实验平台，单