L003008001-基于IPSEC的安全通信实验.docx

课程编写 类别 内容 实验课题名称 基于IPSEC的安全通信实验 实验目的与要求 1、理解IPSEC的基本原理 2、掌握IPSEC安全通信的基本配置 实验环境 VPC1(虚拟PC） Windows XP VPC1 连接要求 PC 网络接口，本地连接与VPC2互连互通 VPC2(虚拟PC） Windows Server 2000 VPC2 连接要求 PC 网络接口，本地连接与VPC1互连互通 实验环境描述 1、学生机与实验室网络直连 2、VPC1、VPC2与实验室网络直连 预备知识 在Windows 2000网络中，我们可以通过IPSEC来保护网络的安全。IPSEC的工作原理是这样的：在进行数据交换之前，先相互验证对方的计算机的身份。验证身份通过之后，在这两台计算机之间建立一种安全协作关系，并且在进行数据传输之前将数据进行加密。通过这三个步骤，可以保证网络的通信安全，即使数据中途被截获，因为截获者不知道加密的密钥也就无从了解数据的内容。 Windows 2003操作系统都支持IPSEC，Windows 2003以前的版本，如Windows 98与Windows NT不支持IPSEC。在Windows 2003的网络中，不管是局域网、广域网，都可以使用IPSEC来保证网络的安全。 IPSEC的三种预定策略有安全服务器、服务器和客户机三种。（1）安全服务器(必须安全性)：如果采用这条策略，表示与这台计算机进行通信的计算机必须采用IPSEC安全策略，如果对方计算机没有采用安全策略，将不能与本机进行通信；（2）服务器(请求安全设置)：如果采用这条策略，表示这台计算机与其他计算机进行通信时，首先要求进行安全通信，如果对方计算机不支持安全通信，这台计算机也可以与对方计算机进行通信，但这一通信是不可靠的；（3）客户机(只用于响应)：如果采用这种策略，只有当对方计算机要求进行安全通信时，本机才会应用IPSEC安全策略，如果对方计算机没有要求，则采用正常方法进行通信，这一策略是最不安全的设置。 IPSEC中，有三种身份验证方法：（1）Windows 2003默认值，只有在一个Windows 2003的域中才可以采用这种身份验证方法，如果你的网络有不同的域，则不能采用这种方法。（2）使用由证书颁发机构(CA)颁发的证书，当网络中的计算机都从同一个CA申请证书进行身份验证时，可以采用这种办法。这种方法主要用在广域网中进行通信并且通信双方的计算机都从同一个证书颁发机构申请证书时。（3）预共享密钥，采用这种方法时，通信双方用一个事先认定的字符串来进行身份验证。在广域网中、在不同的域中进行通信，都可以采用这种方法。 传输数据的加密算法有三种选择：（1）56位DES加密算法，采用56位二进制，采用DES算法对传输的数据进行加密；（2）40位DES加密算法；（3）3DES，这是最安全的方法，采用3个56位二进制的密钥，对每一个数据块处理3次，每一次都利用特有的密钥。为身份验证选择加密算法：在身份验证的时候要传输身份验证密钥，为了保证密钥的安全，可以选用两种加密算法加密传输的密钥，一种是SHA加密算法，采用160个二进制位，另一种是MD5加密算法，采用128个二进制位。当对安全性要求不是很高时，可以选用MD5身份验证加密技术和40位DES数据加密算法，这种选择占用处理器资源有限。 另外，如果将IPSEC用在局域网中，则应该选择“传送模式”；如果将IPSEC用于广域网中，则应该选择“隧道模式”，并且指出对方计算机的IP地址。IPSEC的默认模式是“传送模式”， 实验内容 IPSEC的配置 实验步骤 1、学生单击“试验环境试验”进入试验场景，单击“打开控制台”按钮，进入目标主机，如图1所示。 图1 2、输入默认账号administrator，密码123456，进入windows 2000系统主机。 3、在Windows 2000的计算机中，点击“开始”→“运行”，输入“MMC，确定；出现Windows的管理控制台界面，如图2所示。 图2 4、按”CTRL+M键,或者点击菜单“文件”-“添加/删除管理单元”，如图3所示 5、在出现的对话框中点“添加”，如图4所示： 图4 6、在“添加独立的管理单元”对话框中，选中“IP安全策略管理”，点“添加”；在“选择计算机”对话框中，选择“本地计算机”，表示管理现在正在使用的计算机，依次用鼠标按“完成”、“关闭”、“确定”按钮。 图5 图6 6、右击控制台界面左侧IP安全策略管理，选择“创建IP安全策略”，如图7所示: 图7 图9 7、出现“IP策略向导界面”后，点击“下一步”建立一个名为IPsec的安全策略，然后依次点击下一步，下一步，是，完成，如下列图所示 图10 图11 图12 图13 图14 8、完成对话框中选中“编辑属性