网络安全_网络安全通信2

PPT文档演模板
网络安全_网络安全通信2
一、实验目的
掌握通过设置IPsec的方法限制其它主 机对本机的Ping操作，进而限制ICMP协议。
PPT文档演模板
网络安全_网络安全通信2
二、实验设备
3台Windows操作系统主机，最好是 Server主机。
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
图7－32 创建新的IP安全策略 图7－33 运行安全规则向导 图7－34 设置安全规则 图7－35 选择网络类型 图7－36 设置身份验证方法和密钥 图7－37 选择筛选器列表 图7－38 选择筛选器操作
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
6、指派：在管理控制台界面中选择“屏 蔽危险端口”，将它指派，如图7－39。
三、实验步骤
10、测试：网络中其它主机已经无法Ping通A机，但是 可以访问A机的资源。
思考：如果其它主机既想Ping通A机，又想访问至A机的资源， 应该如何配置？
答案：当且仅当和A机做一模一样的配置（包括密钥得与A机一 致）。
PPT文档演模板
网络安全_网络安全通信2
四、实验小结
由本实验可以看出，使用IP安全策略限 制ICMP协议之后，当且仅当两台主机之间 的IP安全策略设置得完全一样时，两台机 器之间既可以相互Ping通又可以相互访问。 否则，两台机器只能互相访问对方资源但 无法Ping通。
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
3、在控制台界面中，展开“IP安全策略”，右击“IP 安全策略”－>管理IP筛选器列表和筛选器操作，如图7－ 23。在图7－23的界面中，找到“管理IP筛选器列表”标 签卡，添加“IP筛选器列表”：点击“添加”钮，命名为 “禁用危险端口”，如图7－24；点击“添加”钮，源地 址设置为“任何IP”，目标地址设置为“我的IP”，如图 7－25，协议类型设置为“TCP”；在“IP协议端口”设置 中，源端口设置为任何端口，目标端口设置为445，并确 定。在弹出的界面中，不选择“使用添加向导”如图7－ 26。
管理单元－>在“独立”标签卡中，点击“添加” 钮，添加“IP安全策略管理”（即IPsec），如图 7－1、图7－2、图7－3、图7－4。
图7-1 控制台界面 图7-2 添加IPSec管理控制单元 图7－3 设置IPSec管理单元的管理范围 图7－4 为本机添加IP安全策略
PPT文档演模板
网络安全_网络安全通信2
图7－7 设置安全服务器规则 图7－8 设置IP筛选器列表 图7－9 设置身份验证方法 图7－10 设置密钥
5、在图7－11所示的界面中，选择“安全服务器”－> 右击－>指派。
图7－11 指派安全服务器规则
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
6、测试：局域网中的其它主机对这台进行IP安 全策略的主机进行Ping指令，发觉Ping得通；再 在其它主机上访问这台主机的共享资源，发觉无 法访问了。
PPT文档演模板
网络安全_网络安全通信2
PPT文档演模板
网络安全_网络安全通信2
一、实验目的
了解设置IPsec策略前后两台主机之间 通讯、远程管理之间的区别。
Leabharlann Baidu
PPT文档演模板
网络安全_网络安全通信2
二、实验设备
3台Windows操作系统主机，最好是Server主机。
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
1、点击A机桌面上的开始工具栏－>运行－>输入mmc。 2、在控制台界面中点击“文件”菜单－>添加/删除
网络安全_网络安全通信 2
PPT文档演模板
2020/12/13
网络安全_网络安全通信2
实验7－1－1：允许Ping入本机但 无法访问本机资源
一般情况下，在局域网几台Windows操 作系统主机之间既可以互相Ping，又可以 互相访问对方的资源。如果有某台主机不 想让其它主机看到自己的资源，可以采用 IPsec方法实现。
PPT文档演模板
网络安全_网络安全通信2
实验7－2：利用PGP软件实现电子 邮件加密
使用TCP/IP系列的很多协议和应用程序是以明文传输 数据的，其数据包中的敏感信息会被网络嗅探工具所拦截。 加强数据的机密性的一个方法是加密数据，即将要传输的 信息转换成为除预期的接受者之外的任何人都不能理解的 格式的过程。只有当接收方具有合适密钥的时候才能将密 文数据转换成明文数据。加密技术也可以用来验证发送方 的身份（签名）和消息的保密性。使用PGP或者GPG软件可 以实现这些功能，PGP是用于文件加密和电子邮件加密的 软件，是为防止网络中私人邮件被窃听而使用的。
三、实验步骤
3、在图7－5的控制台界面中，双击“IP 安全策略”，在右边栏选择“安全服务器” －>右击－>属性，如图7－6。
图7－5 添加IP安全策略后的控制台界面 图7－6 设置安全服务器属性
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
4、在图7－7所示的界面中，选择“规则”标签卡中的 “所有IP通讯量”，并点击“编辑”钮。在图7－8所示 的界面中，选择“身份验证方法”标签卡。在图7－9所示 的界面中，选择“Kerberos”，点击“编辑”钮。在图7 －10所示的界面中输入“123456”的密钥，点击“确定” 钮。
网络安全_网络安全通信2
三、实验步骤
7、在如图7－20所示的“IP筛选器列表” 设置栏处，点“添加”钮，将新的筛选器 命名为“not ping”，源地址为任何地址， 目标地址为我的IP，协议类型为ICMP，点 击“确定”。
图7－20 设置新建规则的筛选器列表
PPT文档演模板
网络安全_网络安全通信2
PPT文档演模板
网络安全_网络安全通信2
实验7－1－2：禁止Ping入本机但 允许访问本机资源
黑客获得受害主机信息的第一步便是 获得受害主机的操作系统版本信息，这个 过程是通过黑客机向受害主机进行Ping操 作并根据其所得的TTL返回值而判断的。所 以，如果在局域网中防止其它已经成为跳 板的主机对自己的攻击，就需要将ICMP协 议禁用。
图7－39 指派“屏蔽危险端口”规则
7、测试：网络中其它主机无法访问到实 验机的默认共享资源。
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
8、推广：可以用刚才类似的方法将UDP 协议的445端口，以及TCP和UDP的135端口 禁用。
思考：如果其它主机既想Ping通实验机，又想使 用至实验机的资源和服务，应该如何配置？
PPT文档演模板
网络安全_网络安全通信2
一、实验目的
了解PGP软件的使用，了解对称加密、 非对称加密、数字签名的实现原理。
PPT文档演模板
网络安全_网络安全通信2
二、实验设备
3台Windows主机。
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
1、首先在A机上安装Mdaemon电子邮件 服务器，并创建2个邮箱帐号 zff@company.mail和qjy@company.mail。 在B机和C机上启动outlook，B机outlook的 邮箱帐号设置为zff@company.mail，C机 outlook的邮箱帐号设置为 qjy@company.mail。
PPT文档演模板
网络安全_网络安全通信2
实验7－1－3：利用IPSec筛选表屏 蔽危险端口
Windows操作系统主机默认有一些不安全的设 置，其对应的服务在默认情况下是自启动的，可 以通过屏蔽危险端口的方法将其关闭。
PPT文档演模板
网络安全_网络安全通信2
一、实验目的
掌握通过设置IPsec的方法屏蔽本机的危 险端口。
1、点击A机桌面上的“开始”工具栏－>运行－>输入 mmc。
2、在控制台界面中点击“文件”菜单－>添加/删除管 理单元－>在“独立”标签卡中，点击“添加”钮，添加 IP安全策略管理（IPSec）。
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
3、在控制台界面中，展开“IP安全策略”，右击“IP 安全策略”－>“创建IP安全策略”，如图7－12。给新的 IP安全策略命名为“阻止ping命令”，如图7－13。在复 选框中选择“激活默认响应规则”，如图7－14。
图7-23 管理筛选器列表和筛选器操作 图7-24 新建IP筛选器列表 图7－25 设置筛选器屏蔽端口 图7－26 确认筛选器列表的设置
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
4、返回“管理IP筛选器列表和筛选器操作”界面，如 图7－27。在图7－27的界面中，切换至“管理筛选器操作” 标签卡，如图7－28。在图7－28所示的界面中，添加“筛 选器操作”：点击“添加”钮，并将“新的筛选器操作” 命名为“阻止高危端口”；将“筛选器操作”类型选择为 “协商安全”，如图7－29；再选择“不和不支持Ipsec的 计算机通讯”，如图7－30；然后按照系统默认的步骤点 击、确定、关闭，如图7－31。
思考：如果其它主机既想Ping通该实验机，又想访问至该实验机 的资源，应该如何配置？ 答案：当且仅当和实验机做一模一样的配置（包括密钥需要与 实验机完全一致）。
7、扩展：观察安全服务器策略被指派之后A机 上流出的数据包有什么变化？
PPT文档演模板
网络安全_网络安全通信2
四、实验小结
在某台实验机上设置IP安全策略之后， 如果其它主机想访问该实验机，当且仅当 在本机上与实验机做同样的设置才可以。 否则，无法正常访问。
图7－16 为新的IP安全策略添加规则 图7－17 设置新的安全规则
6、在图7－17所示界面中，按照系统的默认配 置一步一步完成，如图7－18。在“身份验证方法” 标签卡中输入的密钥为“123456”（与刚才设置 的一致），如图7－19。
图7－18 设置网络连接类型 图7－19 设置密钥
PPT文档演模板
三、实验步骤
8、返回至IP筛选器列表设置栏，选中 “not ping”－>下一步，选择“需要安 全”，如图7－21。再点击“下一步”，按 照系统默认的配置设置，直到完成。
图7－21 设置新建规则的筛选器操作
9、在控制台界面中按照图7－22所示进 行指派。
图7－22 指派新建规则
PPT文档演模板
网络安全_网络安全通信2
答案：当且仅当和实验机做一模一样的配置（包 括密钥得与实验机一致）。
PPT文档演模板
网络安全_网络安全通信2
四、实验小结
通过使用IP安全策略的方法可以实现对 某台主机危险端口的屏蔽。其它主机如果 想对实验机的危险端口进行访问，当且仅 当它的IP安全策略与实验机设置得完全相 同时才可以。由此可见，使用IPsec之后可 以允许或拒绝不同类型的通信，而且通过 使用IPsec的方法可以实现网络安全纵深防 御中的网段安全隔离与维护。
图7－27 图7－28 图7－29 图7－30 图7－31
“管理IP筛选器列表和筛选器操作”界面 添加筛选器操作 设置筛选器操作的行为 配置通讯计算机的类型 添加筛选器操作后的界面
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
5、在图7－32所在的界面中，右击“IP安全策略”－>创建新IP安 全策略，并将策略命名为“屏蔽危险端口”，按照默认配置完成，如 图7－33、7－34、7－35、7－36。选中“屏蔽危险端口”策略，右击 －>属性，在“规则”标签卡中选“添加”钮，选择刚才添加过的 “禁用危险端口”筛选器列表，如图7－37。在“筛选器操作”中选 择刚才添加过的“阻止高危端口”，如图7－38。
PPT文档演模板
网络安全_网络安全通信2
二、实验设备
3台Windows操作系统主机，最好是 Server主机。
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
1、点击A机桌面上的“开始”工具栏－>运行 －>输入mmc。
2、在控制台界面中点击“文件”菜单－>添加 /删除管理单元－>在“独立”标签卡中，点击 “添加”钮，添加IP安全策略管理。
图7－12 创建新的IP安全策略 图7－13 为新的IP安全策略命名 图7－14 设置安全通讯请求
4、在图7－15所示的界面中，输入“123456”作为密 钥，点击“下一步”钮，确定。
图7－15 设置身份验证密钥
PPT文档演模板
网络安全_网络安全通信2
三、实验步骤
5、在如图7－16的控制台窗口中选择“阻止 Ping命令”并双击－>在“规则”标签卡中添加规 则，如图7－17。