课程编写课程编写类别类别内容内容实验课实验课 题名称题名称基于 IPSEC 的安全通信实验实验目实验目 的与要的与要 求求1、理解 IPSEC 的基本原理 2、掌握 IPSEC 安全通信的基本配置VPC1VPC1 ( (虚虚 拟拟 PCPC))Windows XPVPC1VPC1 连接连接 要求要求PC 网络接口,本地连接与 VPC2 互连互通VPC2VPC2 ( (虚虚 拟拟 PCPC))Windows Server 2000VPC2VPC2 连接连接 要求要求PC 网络接口,本地连接与 VPC1 互连互通实实 验验 环环 境境实验实验 环境环境 描述描述1、学生机与实验室网络直连 2、VPC1、VPC2 与实验室网络直连预备知预备知 识识在 Windows 2000 网络中,我们可以通过 IPSEC 来保护网络的安全 IPSEC 的工作原理是这样的:在进行数据交换之前,先相互验证对方 的计算机的身份验证身份通过之后,在这两台计算机之间建立一种 安全协作关系,并且在进行数据传输之前将数据进行加密通过这三 个步骤,可以保证网络的通信安全,即使数据中途被截获,因为截获 者不知道加密的密钥也就无从了解数据的内容。
Windows 2003 操作系统都支持 IPSEC,Windows 2003 以前的版本, 如 Windows 98 与 Windows NT 不支持 IPSEC在 Windows 2003 的网络 中,不管是局域网、广域网,都可以使用 IPSEC 来保证网络的安全 IPSEC 的三种预定策略有安全服务器、服务器和客户机三种1) 安全服务器(必须安全性):如果采用这条策略,表示与这台计算机进 行通信的计算机必须采用 IPSEC 安全策略,如果对方计算机没有采用 安全策略,将不能与本机进行通信;(2)服务器(请求安全设置): 如果采用这条策略,表示这台计算机与其他计算机进行通信时,首先 要求进行安全通信,如果对方计算机不支持安全通信,这台计算机也 可以与对方计算机进行通信,但这一通信是不可靠的;(3)客户机 (只用于响应):如果采用这种策略,只有当对方计算机要求进行安全 通信时,本机才会应用 IPSEC 安全策略,如果对方计算机没有要求,则采用正常方法进行通信,这一策略是最不安全的设置 IPSEC 中,有三种身份验证方法:(1)Windows 2003 默认值,只 有在一个 Windows 2003 的域中才可以采用这种身份验证方法,如果 你的网络有不同的域,则不能采用这种方法。
2)使用由证书颁发 机构(CA)颁发的证书,当网络中的计算机都从同一个 CA 申请证书进 行身份验证时,可以采用这种办法这种方法主要用在广域网中进行 通信并且通信双方的计算机都从同一个证书颁发机构申请证书时 (3)预共享密钥,采用这种方法时,通信双方用一个事先认定的字 符串来进行身份验证在广域网中、在不同的域中进行通信,都可以 采用这种方法 传输数据的加密算法有三种选择:(1)56 位 DES 加密算法,采用 56 位二进制,采用 DES 算法对传输的数据进行加密;(2)40 位 DES 加密算法;(3)3DES,这是最安全的方法,采用 3 个 56 位二进制的 密钥,对每一个数据块处理 3 次,每一次都利用特有的密钥为身份 验证选择加密算法:在身份验证的时候要传输身份验证密钥,为了保 证密钥的安全,可以选用两种加密算法加密传输的密钥,一种是 SHA 加密算法,采用 160 个二进制位,另一种是 MD5 加密算法,采用 128 个二进制位当对安全性要求不是很高时,可以选用 MD5 身份验证加 密技术和 40 位 DES 数据加密算法,这种选择占用处理器资源有限 另外,如果将 IPSEC 用在局域网中,则应该选择“传送模式”;如 果将 IPSEC 用于广域网中,则应该选择“隧道模式”,并且指出对方 计算机的 IP 地址。
IPSEC 的默认模式是“传送模式”,实验内实验内 容容IPSEC 的配置实验步实验步 骤骤1、学生单击“试验环境试验”进入试验场景,单击“打开控制台” 按钮,进入目标主机,如图 1 所示图 1 2、输入默认账号 administrator,密码 123456,进入 windows 2000 系统主机3、在 Windows 2000 的计算机中,点击“开始”→“运行”,输入 “MMC“,确定;出现 Windows 的管理控制台界面,如图 2 所示图 24、按”CTRL+M“键,或者点击菜单“文件”-“添加/删除管理单元”, 如图 3 所示5、在出现的对话框中点“添加”,如图 4 所示:图 4 6、在“添加独立的管理单元”对话框中,选中“IP 安全策略管理”, 点“添加”;在“选择计算机”对话框中,选择“本地计算机”,表 示管理现在正在使用的计算机,依次用鼠标按“完成”、“关闭”、 “确定”按钮图 5图 6 6、右击控制台界面左侧 IP 安全策略管理,选择“创建 IP 安全策略” ,如图 7 所示:图 7图 9 7、出现“IP 策略向导界面”后,点击“下一步”建立一个名为 IPsec 的安全策略,然后依次点击下一步,下一步,是,完成,如下 列图所示图 10图 11图 12图 13图 14 8、完成对话框中选中“编辑属性”,会弹出如图 15 所示窗口:图 15 9、点击“添加”按钮,注意将旁边的“使用添加向导”选项去掉。
图 16 10、点击右侧“添加”按钮,将下方的“使用添加向导”选项去掉, 如图 17 所示:图 17 11、源地址设为任何 IP 地址,目标地址也设为任何 IP 地址,协议类 型选择任意如图 18、19 所示图 18图 19 点击“确定”,再点击“确定”后,返回属性界面图 20 12、选中“筛选器操作”选项卡,选中“请求安全”一项,对其进行 编辑在“安全措施”中,选择“阻止”一项在“常规”中,将名 称起为 defaultIP点击确定图 21图 22图 23 13、点击“确定”,完成设置然后点击“关闭”,如图 24 所示图 24图 25 14、完成所有设置后,点击“确定”关闭属性页面对新的安全策略 进行指派,如图 26 所示使用 ifconfig 命令查看 ip图 26 15、现在开始测试在 VPC2 主机上启动“命令提示符”,输入 “ping‘虚拟机 IP 地址’”,出现如下图中的请求不能通过即为成 功,否则配置失败图 27 16、设置 IPsec 属性,通信源地址选择“一个特定的 IP 地址”,设 定除 VPC2 主机的任一 IP 地址,如图所示,使得 VPC2 主机没有被筛 选掉点击下一步,目标地址选择“我的 IP 地址”,选择协议类型 为 ICMP。
图 28 17、现在开始测试在 VPC2 主机上启动“命令提示符”,输入 “ping ‘虚拟机 IP 地址’”,出现如下图中的请求能通过即为设置 成功如图 29 所示:图 29。