计算机网络安全技术实验教程第7章网络安全通信

《计算机网络安全技术实验教程第7章网络安全通信》由会员分享，可在线阅读，更多相关《计算机网络安全技术实验教程第7章网络安全通信（54页珍藏版）》请在金锄头文库上搜索。

1、第第7章章 网络安全通信网络安全通信实验实验711：允许：允许Ping入本机但无入本机但无法访问本机资源法访问本机资源 一般情况下，在局域网几台Windows操作系统主机之间既可以互相Ping，又可以互相访问对方的资源。如果有某台主机不想让其它主机看到自己的资源，可以采用IPsec方法实现。一、实验目的一、实验目的 了解设置IPsecIPsec策略前后两台主机之间通讯、远程管理之间的区别。二、实验设备二、实验设备 3台WindowsWindows操作系统主机，最好是ServerServer主机。三、实验步骤三、实验步骤1、点击A机桌面上的开始工具栏运行输入mmc。2、在控制台界面中点击“文件”

2、菜单添加/删除管理单元在“独立”标签卡中，点击“添加”钮，添加“IP安全策略管理”（即IPsec），如图71、图72、图73、图74。图7-1 控制台界面图7-2 添加IPSec管理控制单元图73 设置IPSec管理单元的管理范围图74 为本机添加IP安全策略三、实验步骤三、实验步骤 3、在图75的控制台界面中，双击“IP安全策略”，在右边栏选择“安全服务器”右击属性，如图76。图75 添加IP安全策略后的控制台界面图76 设置安全服务器属性三、实验步骤三、实验步骤 4、在图77所示的界面中，选择“规则”标签卡中的“所有IP通讯量”，并点击“编辑”钮。在图78所示的界面中，选择“身份验证方法”

3、标签卡。在图79所示的界面中，选择“Kerberos”，点击“编辑”钮。在图710所示的界面中输入“123456”的密钥，点击“确定”钮。图77 设置安全服务器规则图78 设置IP筛选器列表图79 设置身份验证方法图710 设置密钥 5、在图711所示的界面中，选择“安全服务器”右击指派。图711 指派安全服务器规则三、实验步骤三、实验步骤 6、测试：局域网中的其它主机对这台进行IP安全策略的主机进行Ping指令，发觉Ping得通；再在其它主机上访问这台主机的共享资源，发觉无法访问了。思考：如果其它主机既想Ping通该实验机，又想访问至该实验机的资源，应该如何配置？答案：当且仅当和实验机做一模

4、一样的配置（包括密钥需要与实验机完全一致）。 7、扩展：观察安全服务器策略被指派之后A机上流出的数据包有什么变化？四、实验小结四、实验小结 在某台实验机上设置IP安全策略之后，如果其它主机想访问该实验机，当且仅当在本机上与实验机做同样的设置才可以。否则，无法正常访问。 实验实验712：禁止：禁止Ping入本机但允入本机但允许访问本机资源许访问本机资源 黑客获得受害主机信息的第一步便是获得受害主机的操作系统版本信息，这个过程是通过黑客机向受害主机进行PingPing操作并根据其所得的TTLTTL返回值而判断的。所以，如果在局域网中防止其它已经成为跳板的主机对自己的攻击，就需要将ICMPICMP协

5、协议禁用议禁用。一、实验目的一、实验目的 掌握通过设置IPsecIPsec的方法限制其它主机对本机的PingPing操作，进而限制ICMPICMP协议。二、实验设备二、实验设备 3台WindowsWindows操作系统主机，最好是ServerServer主机。三、实验步骤三、实验步骤 1、点击A A机桌面上的“开始开始”工具栏工具栏运行运行输入mmcmmc。 2、在控制台界面中点击“文件文件”菜单菜单添加添加/ /删除管删除管理单元理单元在“独立独立”标签卡标签卡中，点击“添加添加”钮，添加添加IPIP安全策略管理安全策略管理（IPSec）。三、实验步骤三、实验步骤 3、在控制台界面中，展开“

6、IP安全策略”，右击“IP安全策略”“创建IP安全策略”，如图712。给新的IP安全策略命名为“阻止ping命令”，如图713。在复选框中选择“激活默认响应规则”，如图714。图712 创建新的IP安全策略图713 为新的IP安全策略命名图714 设置安全通讯请求 4、在图715所示的界面中，输入“123456”作为密钥，点击“下一步”钮，确定。图715 设置身份验证密钥三、实验步骤三、实验步骤 5、在如图716的控制台窗口中选择“阻止Ping命令”并双击在“规则”标签卡中添加规则，如图717。图716 为新的IP安全策略添加规则图717 设置新的安全规则 6、在图717所示界面中，按照系统的

7、默认配置一步一步完成，如图718。在“身份验证方法”标签卡中输入的密钥为“123456”（与刚才设置的一致），如图719。图718 设置网络连接类型图719 设置密钥三、实验步骤三、实验步骤 7、在如图720所示的“IPIP筛选器列表筛选器列表”设置栏处，点“添加添加”钮，将新的筛选新的筛选器器命名名为“not pingnot ping”，源地址为任何地源地址为任何地址址，目标地址为我的目标地址为我的IPIP，协议类型为协议类型为ICMPICMP，点击“确定确定”。图720 设置新建规则的筛选器列表三、实验步骤三、实验步骤 8、返回至IPIP筛选器列表设置栏筛选器列表设置栏，选中“not pi

8、ngnot ping”下一步下一步，选择“需要安全需要安全”，如图721。再点击“下一步下一步”，按照按照系统默认的配置设置系统默认的配置设置，直到完成直到完成。图721 设置新建规则的筛选器操作 9、在控制台界面中按照图722所示进行指派指派。图722 指派新建规则三、实验步骤三、实验步骤 10、测试：网络中其它主机已经无法Ping通A机，但是可以访问A机的资源。 思考：如果其它主机既想Ping通A机，又想访问至A机的资源，应该如何配置？ 答案：当且仅当和A机做一模一样的配置（包括密钥得与A机一致）。四、实验小结四、实验小结 由本实验可以看出，使用IP安全策略限制ICMP协议之后，当且仅当两

9、台主机之间的IP安全策略设置得完全一样时，两台机器之间既可以相互Ping通又可以相互访问。否则，两台机器只能互相访问对方资源但无法Ping通。 实验实验713：利用：利用IPSec筛选表屏筛选表屏蔽危险端口蔽危险端口 Windows操作系统主机默认有一些不安全的设置，其对应的服务在默认情况下是自启动的，可以通过屏蔽危险端口的方法将其关闭。一、实验目的一、实验目的 掌握通过设置IPsec的方法屏蔽本机的危险端口。二、实验设备二、实验设备 3台WindowsWindows操作系统主机，最好是ServerServer主机。三、实验步骤三、实验步骤 1、点击A A机桌面上的“开始开始”工具栏运行运行输

10、入mmcmmc。 2、在控制台界面中点击“文件文件”菜单添加添加/ /删除管理单元删除管理单元在“独立独立”标签卡标签卡中，点击“添加添加”钮，添加添加IPIP安全策略管理安全策略管理。三、实验步骤三、实验步骤 3 3、在控制台界面中，展开、在控制台界面中，展开“IPIP安全策略安全策略”，右击，右击“IPIP安全策略安全策略” 管理管理IPIP筛选器列表和筛选器操作，如图筛选器列表和筛选器操作，如图7 72323。在图。在图7 72323的界面中，找到的界面中，找到“管理管理IPIP筛选器列表筛选器列表”标标签卡，添加签卡，添加“IPIP筛选器列表筛选器列表”：点击：点击“添加添加”钮，命名

11、为钮，命名为“禁用危险端口禁用危险端口”，如图，如图7 72424；点击；点击“添加添加”钮，源地钮，源地址设置为址设置为“任何任何IPIP”，目标地址设置为，目标地址设置为“我的我的IPIP”，如图，如图7 72525，协议类型设置为，协议类型设置为“TCPTCP”；在；在“IPIP协议端口协议端口”设置设置中，源端口设置为任何端口，目标端口设置为中，源端口设置为任何端口，目标端口设置为445445，并确，并确定。在弹出的界面中，不选择定。在弹出的界面中，不选择“使用添加向导使用添加向导”如图如图7 72626。图图7-23 7-23 管理筛选器列表和筛选器操作管理筛选器列表和筛选器操作图图

12、7-24 7-24 新建新建IPIP筛选器列表筛选器列表图图7 725 25 设置筛选器屏蔽端口设置筛选器屏蔽端口图图7 726 26 确认筛选器列表的设置确认筛选器列表的设置三、实验步骤三、实验步骤 4、返回“管理IP筛选器列表和筛选器操作”界面，如图727。在图727的界面中，切换至“管理筛选器操作”标签卡，如图728。在图728所示的界面中，添加“筛选器操作”：点击“添加”钮，并将“新的筛选器操作”命名为“阻止高危端口”；将“筛选器操作”类型选择为“协商安全”，如图729；再选择“不和不支持Ipsec的计算机通讯”，如图730；然后按照系统默认的步骤点击、确定、关闭，如图731。图727

13、 “管理IP筛选器列表和筛选器操作”界面图728 添加筛选器操作图729 设置筛选器操作的行为图730 配置通讯计算机的类型图731 添加筛选器操作后的界面三、实验步骤三、实验步骤 5、在图732所在的界面中，右击“IP安全策略”创建新IP安全策略，并将策略命名为“屏蔽危险端口”，按照默认配置完成，如图733、734、735、736。选中“屏蔽危险端口”策略，右击属性，在“规则”标签卡中选“添加”钮，选择刚才添加过的“禁用危险端口”筛选器列表，如图737。在“筛选器操作”中选择刚才添加过的“阻止高危端口”，如图738。图732 创建新的IP安全策略图733 运行安全规则向导图734 设置安全规

14、则图735 选择网络类型图736 设置身份验证方法和密钥图737 选择筛选器列表图738 选择筛选器操作三、实验步骤三、实验步骤 6、指派：在管理控制台界面中选择“屏蔽危险端口”，将它指派，如图739。图739 指派“屏蔽危险端口”规则 7、测试：网络中其它主机无法访问到实验机的默认共享资源。三、实验步骤三、实验步骤 8、推广：可以用刚才类似的方法将UDP协议的445端口，以及TCP和UDP的135端口禁用。思考：如果其它主机既想Ping通实验机，又想使用至实验机的资源和服务，应该如何配置？答案：当且仅当和实验机做一模一样的配置（包括密钥得与实验机一致）。四、实验小结四、实验小结 通过使用IP

15、安全策略的方法可以实现对某台主机危险端口的屏蔽。其它主机如果想对实验机的危险端口进行访问，当且仅当它的IP安全策略与实验机设置得完全相同时才可以。由此可见，使用IPsecIPsec之后可以允许或拒绝不同类型的通信，而且通过使用IPsecIPsec的方法可以实现网络安全纵深防御中的网段安全隔离与维护。 实验实验72：利用：利用PGP软件实现电子软件实现电子邮件加密邮件加密 使用TCP/IP系列的很多协议和应用程序是以明文传输数据的，其数据包中的敏感信息会被网络嗅探工具所拦截。加强数据的机密性的一个方法是加密数据，即将要传输的信息转换成为除预期的接受者之外的任何人都不能理解的格式的过程。只有当接收

16、方具有合适密钥的时候才能将密文数据转换成明文数据。加密技术也可以用来验证发送方的身份（签名）和消息的保密性。使用PGP或者GPG软件可以实现这些功能，PGP是用于文件加密和电子邮件加密的软件，是为防止网络中私人邮件被窃听而使用的。一、实验目的一、实验目的 了解PGPPGP软件的使用，了解对称加密、非对称加密、数字签名的实现原理。二、实验设备二、实验设备 3台WindowsWindows主机。三、实验步骤三、实验步骤 1、首先在A A机上安装MdaemonMdaemon电子邮件服务器，并创建创建2 2个邮箱帐号个邮箱帐号zffcompany.mailzffcompany.mail和qjycomp

17、any.mailqjycompany.mail。在B B机和机和C C机上启动机上启动outlookoutlook，B B机机outlookoutlook的的邮箱帐号设置为邮箱帐号设置为zffcompany.mailzffcompany.mail，C C机机outlookoutlook的邮箱帐号设置为的邮箱帐号设置为qjycompany.mailqjycompany.mail。三、实验步骤三、实验步骤 2、在B B机上安装PGPPGP。（1）这是选择需要安装的PGPPGP组件，建议全选，如图740。然后屏幕提示让你选择密钥存储的目录，使用默认路径即可。图740 安装PGP软件的界面（2）会出现

18、图741的提示，问是不是马上创建密钥？选否。图741 提示是否马上创建密钥三、实验步骤三、实验步骤3、创建一对密钥。（1）在开始开始菜单程序程序PGPPGP中点击运行PGPPGP。（2）单击“密钥密钥”菜单条新建密钥新建密钥，如图742。为zffzff添加姓名、电子邮箱（zffcompany.mailzffcompany.mail），如图743。下面是向导界面，按照提示一步一步做，如图744、图745、图746。在“密钥管理密码”界面中输入zffcompany.mailzffcompany.mail的密钥管理密码，如图747。点击“下一步”直至完成，如图748、图749、图750所示。图742

19、 PGP密钥管理器主界面图743 输入密钥名称、邮件地址图744 选择密钥类型图745 选择密钥长度图746 选择密钥时效图747 输入密钥管理密码图748 生成zff的密钥对图749 选择是否发送密钥匙到根服务器图750 成功生成密钥对三、实验步骤三、实验步骤4、在在C C主机主机上为为qjycompany.mailqjycompany.mail生成生成一对密钥。密钥。5、B B机上导出机上导出zffcompany.mailzffcompany.mail的公钥的公钥：选择需要导出的密钥密钥右击右击导出导出(或者在“密钥管理器”的菜单栏上选择需要导出的密钥导出)。弹出导出对话框，如图7-51。

20、可以将zffcompany.mailzffcompany.mail的公钥导出至的公钥导出至B B机机的桌面。图7-51 导出zff密钥.6、同理，在在C C机上安装机上安装PGPPGP并生成并生成qjyqjy的密钥对，导的密钥对，导出出qjycompany.mailqjycompany.mail的公钥的公钥至桌面。三、实验步骤三、实验步骤7、交换交换zffcompany.mailzffcompany.mail与与qjycompany.mailqjycompany.mail的公钥的公钥。（1）在B B机的OUTLOOKOUTLOOK环境中，以以zffcompany.mailzffcompany.

21、mail邮箱身份邮箱身份将刚才保存至本机桌面的zffcompany.mailzffcompany.mail的公钥发给的公钥发给qjycompany.mailqjycompany.mail邮箱邮箱。可用以下的两种方式实现：通过文本的形式传播公钥：可以用记事本打开公钥文件用记事本打开公钥文件zff.asczff.asc，如图7-52。只要复制其中的全部文本复制其中的全部文本传递给别人，别人用记事本打开进别人用记事本打开进行复制行复制，然后另存另存为. .ascasc格式，再双击导入双击导入即可。图7-52 用记事本打开zff的公钥文件也可以将公钥文件作为电子邮件的附件发给对方邮箱。注意：只有一段的

22、是公钥，有两段的是公钥加私钥。这里需要谨慎传递！（2）同理，C C机机上的qjycompany.mailqjycompany.mail邮箱将自己的公钥发给邮箱将自己的公钥发给zffcompany.mailzffcompany.mail邮箱。邮箱。三、实验步骤三、实验步骤8、使用公钥加密公钥加密文件。（1）加密：最好在加密前将文件打包（比如用RARRAR压缩），选择需要加密的文件-右击右击-PGPPGP-Encrypt Encrypt 弹出加密对话框，选择选择一个加密用的公钥加密用的公钥，在要用的公钥上双击双击即可完成加密。加密完成后，会生成后缀名为. .pgppgp的加密文件。（2）解密：双击

23、双击这个文件对其解密，如图7-53。如果没能输入正确的密钥，便会出现错误提示框。因为我们虽然有他的公钥，可以加密，但是没有他的私钥，无法解密。现在用自己的公钥创建一个加密文件，双击进行解密。输入管理密码（私钥），即可完成解密。图7-53 对加密文件进行解密的界面三、实验步骤三、实验步骤9、通过PGP进行电子邮件加密通信。 其实邮件加密很简单，就是对邮件的文本进行加密处理。这个需要用到PGP的托盘图标，托盘没有一个锁图标，在PGP的安装目录中双击PGPtray文件即可。（1）首先进入qjy邮箱，写好收件人邮箱地址、邮件标题、正文。然后选中需要加密的邮件正文，如图7-54。图7-54 选择需要加密

24、的邮件正文（2）然后直接在托盘的锁图标上单击右键，选择“当前的窗口”“加密”，如图7-55。图7-55 加密被选择的邮件正文（3）弹出选择公钥对话框。选择相应的公钥（用zff的公钥），采用与加密文件相同的步骤，然后点击“确定”即可看到被加密过的文本，如图7-56，并点击“发送”钮。图7-56 加密后的邮件正文（4）打开zff邮箱，选择所有加密过的文本，在托盘的锁图标上单击右键，选择“当前的窗口”“解密&验证”，如图7-57。然后在弹出的对话框中输入密钥的管理密码（只有zff帐号才拥有的，与加密公钥相对应的私钥），再点击“确定”即可看到原文，如图7-58，表示解密成功。这样就可以保证电子邮件的安

25、全性。图757 对加密后的电子邮件正文进行解密图758 解密后的电子邮件正文三、实验步骤三、实验步骤1010、PGPdiskPGPdisk工具：硬盘上保留一块空间存放敏感数工具：硬盘上保留一块空间存放敏感数据，创建一个名为据，创建一个名为PGPdiskPGPdisk的卷。如果别人不知口的卷。如果别人不知口令就无法访问它。令就无法访问它。1111、扩展：混合加密（包括数字签名和电子邮件正、扩展：混合加密（包括数字签名和电子邮件正文加密）。步骤与电子邮件加密相似，只是在进文加密）。步骤与电子邮件加密相似，只是在进行加密时选择行加密时选择“加密加密& &签名签名”，这样还可以对发送，这样还可以对发送

26、方进行身份验证。对于接收方来讲与电子邮件解方进行身份验证。对于接收方来讲与电子邮件解密类似，只是解密时选择密类似，只是解密时选择“解密解密& &验证验证”。四、实验小结四、实验小结 加密程序的安全性取决于算法、密钥。PGPPGP是个融加密、解密、数字签名加密、解密、数字签名为一体的软件，通过PGPPGP软件的使用可以充分理解对称加密、非对称加密、混合加密的工作原理。 实验实验73：Windows 2003 Server的的Web证书服务证书服务 HTTPHTTP是以明码传输信息的协议。在访问WebWeb站点时，如果没有较强的安全措施，用户访问的数据是可以使用网络工具捕获并分析出来的。在WebW

27、eb站点的身份验证中，有一种基本身份验证方法，它要求用户访问时输入的用户名和密码是以明文形式发送的，蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。此外，在HTTPHTTP协议的通信过程中有可能被流氓服务器假扮成真正的服务器，对受害主机进行钓鱼式攻击。为避免这个问题，可利用SSLSSL通信协议在WebWeb服务器上启用安全通道以实现高安全性。SSLSSL安全套接字协议是用来管理信息加密的。当使用SSLSSL连接到WebWeb服务器时，地址栏中的URLURL会显示为HTTPSHTTPS。SSLSSL使用TCPTCP的443443端口。一、实验目的一、实验目的 了解Windows 200

28、3 ServerWindows 2003 Server环境下的证书服务的作用，掌握证书的安装、配置方法。二、实验设备二、实验设备1、实验设备：2台WindowsWindows主机，其中一台为Windows 2003 ServerWindows 2003 Server。2、实验拓朴如图759。在安装证书服务之前，已经在服务器上建了WebWeb站点，并配置了DNSDNS服务器。图759 实验拓朴图三、实验步骤三、实验步骤 1、客户机将自己设置成为DNS服务器的客户端，在本机的IE浏览器中访问Web站点，效果如图760。图图7 760 60 使用使用SSLSSL之前对之前对WebWeb站点的浏览效果

29、站点的浏览效果三、实验步骤三、实验步骤2、服务器上安装证书服务。（1）打开“控制面板”“添加/删除Windows组件”，勾选“证书服务”复选框，如图761。图761 添加证书服务组件（2）在图762中选择独立根CACA。说明：企业根CACA：如果选择它，则需要ADAD服务即计算机在活动目录中才可以使用。企业从属CACA：如果选择它，必须从另一台CA（父CA）上获取它的证书。独立根CACA：如果选择它，该服务器可以在ADAD中，也可以不在ADAD中。图762 选择CA类型（3）在图763界面中，在此CACA的公用名称中输入CACA的名称，一般是域名称，这里输入h123h123。图763 设置CA

30、识别信息（4）设置证书数据库以及日志的路径，如图764。如果要卸载证书服务，必须删除证书数据库，否则无法再次安装证书服务。图764 设置证书数据库及日志路径（5）安装完成后，会在IISIIS管理器“默认站点”中添加一个虚拟目录，如图765。并在浏览器中输入http:/ IIS中添加一个虚拟目录图766 证书服务页面三、实验步骤三、实验步骤3 3、生成证书申请、生成证书申请（1 1）打开）打开“IISIISIISIIS管理器管理器” 右击右击“默认网站默认网站”选择选择“属性属性” 在在“目录安全性目录安全性”选项卡中单击选项卡中单击“服服务器证书务器证书”按钮，开始证书的申请，如图按钮，开始证

31、书的申请，如图7 76767。图图7 767 67 开始申请证书开始申请证书（2 2）在图）在图7 76868所在界面中选择所在界面中选择“新建证书新建证书”。图图7 768 68 新建证书新建证书注意：注意：如果可以直接联系到网络中的如果可以直接联系到网络中的CACACACA（一般是企业（一般是企业CACACACA），），则可以选择则可以选择“立即将证书请求发送到联机证书颁立即将证书请求发送到联机证书颁发机构发机构”，此后就不需要生成证书申请了。，此后就不需要生成证书申请了。三、实验步骤三、实验步骤（3 3）在图）在图7 76969所在界面中选择所在界面中选择“现在准备证书请求现在准备证书请

32、求”。图图7 769 69 准备证书请求准备证书请求（4 4）在图）在图7 77070的界面中输入密钥位长。的界面中输入密钥位长。图图7 770 70 输入密钥位长输入密钥位长（5 5）在图）在图7 77171界面中输入单位信息、部门，单击下一步。界面中输入单位信息、部门，单击下一步。图图7 771 71 输入单位信息输入单位信息（6 6）在图）在图7 77272界面的界面的“公用名称公用名称”中输入中输入WebWebWebWeb站点的域名站点的域名, , 填写国家、地区等详细资料。填写国家、地区等详细资料。图图7 772 72 输入站点公用名称输入站点公用名称（7 7）输入）输入“证书请求的

33、文件名证书请求的文件名”，如图，如图7 77373。图图7 773 73 输入证书请求的文件名输入证书请求的文件名三、实验步骤三、实验步骤4、申请、下载证书。 上一步已经生成了证书的申请，此时我们需要申请证书（如果在生成证书申请中选择“立即将证书请求发送到联机证书颁发机构”，就不需要这一步）。（1）用记事本打开“证书请求的文件”（c:certreq.txtc:certreq.txt）并复制所有内容，如图774。图774 用记事本打开证书请求的文件（2）在浏览器中输入“http:/ Microsoft证书服务界面（3）在图776所在界面中选择“高级证书申请”。图776 申请高级证书（4）在“高级

34、证书申请”窗口中，选择第二项（使用base 64base 64），如图777。图777 选择证书类别（5）在“提交一个证书申请”窗口中，选择“Base-64Base-64”，并将刚刚复制的内容粘贴到文本框上，单击“提交”按钮，如图778。图778 提交证书申请的界面三、实验步骤三、实验步骤（6）颁发证书。打开“管理工具”中的“证书颁发机构”，在证书颁发机构中点击“挂起的申请”，右击右边的任务，选择“所有任务”“颁发”，如图779，这样CACA给WebWeb颁发了证书。图779 颁发证书 注意：在安装证书服务时，如果选择“企业根CACA”则不需要颁发证书，直接处于“颁发状态”，如果选择“独立CA

35、CA”则必须颁发证书。下载证书。再次打开MicrosoftMicrosoft证书服务界面，选择“查看挂起的证书申请的状态”，在查看挂起的证书申请的状态窗口中单击“保存的申请证书”，如图780。如果此时证书还没有被颁发，或颁发了还未被通知，出现图781的界面。如果此时证书已颁发，勾选“Base 64 Base 64 编码编码”，并单击“下载证书下载证书”，完成证书的下载，如图782。图780 查看挂起的证书申请的状态图781 没有挂起证书申请的提示图782 颁发证书的提示三、实验步骤三、实验步骤5、在WebWeb服务器上安装证书。（1）打开“IISIIS管理器”右击“默认网站” 属性打开“目录安

36、全性”选项卡，并单击“服务器证书”，开始安装证书，如图783。图783 挂起的证书请求（2）选择证书下载的目录，如图784。图784 选择证书下载的目录（3）设置SSLSSL使用端口，默认为443443，如图785。图785 设置SSL的使用端口（4）查看安装的证书概要信息，单击下一步完成，完成了证书的安装，如图786。图786 完成证书安装三、实验步骤三、实验步骤（5）完成证书的安装后，在“目录安全性”选项卡中单击“安全通道”的“编辑”按钮，出现“安全通信”对话框，在安全通信对话框中勾选“要求安全要求安全通道（通道（SSLSSL）”、“要求要求128128位加密位加密”前的复选框，如图787

37、。图787 IIS中设置站点的安全通信关于“客户端证书”框架的设置说明：忽略客户端证书：无论用户是否拥有证书，都将被授予访问权限，客户端不需要申请和安装客户端证书（此实验可以先选项或项查看效果,有效果之后客户机再在IE中输入http:/ 。接受客户端证书：用户可以使用客户端证书访问资源，但证书并不是必需要求的。客户端不需要申请和安装客户端证书。要求客户端证书：服务器在将用户与资源连接之间要请求客户端证书。客户端必需申请和安装客户端证书（建议选择此项）。三、实验步骤三、实验步骤6、使用客户端测试。（1）在客户机的WebWeb浏览器中输入服务器的URLURL地址，屏幕出现如图788的提示。图788 在客户端上使用非证书方式访问站点的情况（2）客户机再输入https:/https:/,可以正常访问站点，如图789。如果进行网络监听的话，会发现截获的信息均为乱码。即使截获的数据包中存在敏感信息，也无法通过网络嗅探工具发现。图789 在客户端上使用证书方式访问站点的情况四、实验小结四、实验小结 证书服务是保证传输安全性的一个好方法。它不仅可以防止钓鱼攻击，而且因为它在客户端与服务器端之间建立了加密传输通道，还可以防止嗅探攻击。不过，这种方法是以牺牲系统效率及网络效率为代价的，对硬件设备有一定要求。