網(wǎng)絡(luò)安全通信課件

第7章網(wǎng)絡(luò)安全通信?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第1頁。實(shí)驗(yàn)7－1－1：允許Ping入本機(jī)但無法訪問本機(jī)資源一般情況下，在局域網(wǎng)幾臺(tái)Windows操作系統(tǒng)主機(jī)之間既可以互相Ping，又可以互相訪問對方的資源。如果有某臺(tái)主機(jī)不想讓其它主機(jī)看到自己的資源，可以采用IPsec方法實(shí)現(xiàn)。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第2頁。一、實(shí)驗(yàn)?zāi)康牧私庠O(shè)置IPsec策略前后兩臺(tái)主機(jī)之間通訊、遠(yuǎn)程管理之間的區(qū)別。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第3頁。二、實(shí)驗(yàn)設(shè)備3臺(tái)Windows操作系統(tǒng)主機(jī)，最好是Server主機(jī)。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第4頁。三、實(shí)驗(yàn)步驟1、點(diǎn)擊A機(jī)桌面上的開始工具欄－>運(yùn)行－>輸入mmc。2、在控制臺(tái)界面中點(diǎn)擊“文件”菜單－>添加/刪除管理單元－>在“獨(dú)立”標(biāo)簽卡中，點(diǎn)擊“添加”鈕，添加“IP安全策略管理”（即IPsec），如圖7－1、圖7－2、圖7－3、圖7－4。

圖7-1控制臺(tái)界面圖7-2添加IPSec管理控制單元圖7－3設(shè)置IPSec管理單元的管理范圍圖7－4為本機(jī)添加IP安全策略

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第5頁。三、實(shí)驗(yàn)步驟3、在圖7－5的控制臺(tái)界面中，雙擊“IP安全策略”，在右邊欄選擇“安全服務(wù)器”－>右擊－>屬性，如圖7－6。圖7－5添加IP安全策略后的控制臺(tái)界面圖7－6設(shè)置安全服務(wù)器屬性

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第6頁。三、實(shí)驗(yàn)步驟4、在圖7－7所示的界面中，選擇“規(guī)則”標(biāo)簽卡中的“所有IP通訊量”，并點(diǎn)擊“編輯”鈕。在圖7－8所示的界面中，選擇“身份驗(yàn)證方法”標(biāo)簽卡。在圖7－9所示的界面中，選擇“Kerberos”，點(diǎn)擊“編輯”鈕。在圖7－10所示的界面中輸入“123456”的密鑰，點(diǎn)擊“確定”鈕。

圖7－7設(shè)置安全服務(wù)器規(guī)則圖7－8設(shè)置IP篩選器列表圖7－9設(shè)置身份驗(yàn)證方法圖7－10設(shè)置密鑰5、在圖7－11所示的界面中，選擇“安全服務(wù)器”－>右擊－>指派。圖7－11指派安全服務(wù)器規(guī)則

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第7頁。三、實(shí)驗(yàn)步驟6、測試：局域網(wǎng)中的其它主機(jī)對這臺(tái)進(jìn)行IP安全策略的主機(jī)進(jìn)行Ping指令，發(fā)覺Ping得通；再在其它主機(jī)上訪問這臺(tái)主機(jī)的共享資源，發(fā)覺無法訪問了。思考：如果其它主機(jī)既想Ping通該實(shí)驗(yàn)機(jī)，又想訪問至該實(shí)驗(yàn)機(jī)的資源，應(yīng)該如何配置？

答案：當(dāng)且僅當(dāng)和實(shí)驗(yàn)機(jī)做一模一樣的配置（包括密鑰需要與實(shí)驗(yàn)機(jī)完全一致）。7、擴(kuò)展：觀察安全服務(wù)器策略被指派之后A機(jī)上流出的數(shù)據(jù)包有什么變化？

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第8頁。四、實(shí)驗(yàn)小結(jié)在某臺(tái)實(shí)驗(yàn)機(jī)上設(shè)置IP安全策略之后，如果其它主機(jī)想訪問該實(shí)驗(yàn)機(jī)，當(dāng)且僅當(dāng)在本機(jī)上與實(shí)驗(yàn)機(jī)做同樣的設(shè)置才可以。否則，無法正常訪問。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第9頁。實(shí)驗(yàn)7－1－2：禁止Ping入本機(jī)但允許訪問本機(jī)資源黑客獲得受害主機(jī)信息的第一步便是獲得受害主機(jī)的操作系統(tǒng)版本信息，這個(gè)過程是通過黑客機(jī)向受害主機(jī)進(jìn)行Ping操作并根據(jù)其所得的TTL返回值而判斷的。所以，如果在局域網(wǎng)中防止其它已經(jīng)成為跳板的主機(jī)對自己的攻擊，就需要將ICMP協(xié)議禁用。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第10頁。一、實(shí)驗(yàn)?zāi)康恼莆胀ㄟ^設(shè)置IPsec的方法限制其它主機(jī)對本機(jī)的Ping操作，進(jìn)而限制ICMP協(xié)議。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第11頁。二、實(shí)驗(yàn)設(shè)備3臺(tái)Windows操作系統(tǒng)主機(jī)，最好是Server主機(jī)。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第12頁。三、實(shí)驗(yàn)步驟1、點(diǎn)擊A機(jī)桌面上的“開始”工具欄－>運(yùn)行－>輸入mmc。2、在控制臺(tái)界面中點(diǎn)擊“文件”菜單－>添加/刪除管理單元－>在“獨(dú)立”標(biāo)簽卡中，點(diǎn)擊“添加”鈕，添加IP安全策略管理（IPSec）。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第13頁。三、實(shí)驗(yàn)步驟3、在控制臺(tái)界面中，展開“IP安全策略”，右擊“IP安全策略”－>“創(chuàng)建IP安全策略”，如圖7－12。給新的IP安全策略命名為“阻止ping命令”，如圖7－13。在復(fù)選框中選擇“激活默認(rèn)響應(yīng)規(guī)則”，如圖7－14。圖7－12創(chuàng)建新的IP安全策略圖7－13為新的IP安全策略命名圖7－14設(shè)置安全通訊請求4、在圖7－15所示的界面中，輸入“123456”作為密鑰，點(diǎn)擊“下一步”鈕，確定。圖7－15設(shè)置身份驗(yàn)證密鑰

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第14頁。三、實(shí)驗(yàn)步驟5、在如圖7－16的控制臺(tái)窗口中選擇“阻止Ping命令”并雙擊－>在“規(guī)則”標(biāo)簽卡中添加規(guī)則，如圖7－17。圖7－16為新的IP安全策略添加規(guī)則圖7－17設(shè)置新的安全規(guī)則6、在圖7－17所示界面中，按照系統(tǒng)的默認(rèn)配置一步一步完成，如圖7－18。在“身份驗(yàn)證方法”標(biāo)簽卡中輸入的密鑰為“123456”（與剛才設(shè)置的一致），如圖7－19。圖7－18設(shè)置網(wǎng)絡(luò)連接類型圖7－19設(shè)置密鑰

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第15頁。三、實(shí)驗(yàn)步驟7、在如圖7－20所示的“IP篩選器列表”設(shè)置欄處，點(diǎn)“添加”鈕，將新的篩選器命名為“notping”，源地址為任何地址，目標(biāo)地址為我的IP，協(xié)議類型為ICMP，點(diǎn)擊“確定”。圖7－20設(shè)置新建規(guī)則的篩選器列表

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第16頁。三、實(shí)驗(yàn)步驟8、返回至IP篩選器列表設(shè)置欄，選中“notping”－>下一步，選擇“需要安全”，如圖7－21。再點(diǎn)擊“下一步”，按照系統(tǒng)默認(rèn)的配置設(shè)置，直到完成。圖7－21設(shè)置新建規(guī)則的篩選器操作9、在控制臺(tái)界面中按照圖7－22所示進(jìn)行指派。圖7－22指派新建規(guī)則

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第17頁。三、實(shí)驗(yàn)步驟10、測試：網(wǎng)絡(luò)中其它主機(jī)已經(jīng)無法Ping通A機(jī)，但是可以訪問A機(jī)的資源。思考：如果其它主機(jī)既想Ping通A機(jī)，又想訪問至A機(jī)的資源，應(yīng)該如何配置？

答案：當(dāng)且僅當(dāng)和A機(jī)做一模一樣的配置（包括密鑰得與A機(jī)一致）。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第18頁。四、實(shí)驗(yàn)小結(jié)由本實(shí)驗(yàn)可以看出，使用IP安全策略限制ICMP協(xié)議之后，當(dāng)且僅當(dāng)兩臺(tái)主機(jī)之間的IP安全策略設(shè)置得完全一樣時(shí)，兩臺(tái)機(jī)器之間既可以相互Ping通又可以相互訪問。否則，兩臺(tái)機(jī)器只能互相訪問對方資源但無法Ping通。?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第19頁。實(shí)驗(yàn)7－1－3：利用IPSec篩選表屏蔽危險(xiǎn)端口Windows操作系統(tǒng)主機(jī)默認(rèn)有一些不安全的設(shè)置，其對應(yīng)的服務(wù)在默認(rèn)情況下是自啟動(dòng)的，可以通過屏蔽危險(xiǎn)端口的方法將其關(guān)閉。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第20頁。一、實(shí)驗(yàn)?zāi)康恼莆胀ㄟ^設(shè)置IPsec的方法屏蔽本機(jī)的危險(xiǎn)端口。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第21頁。二、實(shí)驗(yàn)設(shè)備3臺(tái)Windows操作系統(tǒng)主機(jī)，最好是Server主機(jī)。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第22頁。三、實(shí)驗(yàn)步驟1、點(diǎn)擊A機(jī)桌面上的“開始”工具欄－>運(yùn)行－>輸入mmc。2、在控制臺(tái)界面中點(diǎn)擊“文件”菜單－>添加/刪除管理單元－>在“獨(dú)立”標(biāo)簽卡中，點(diǎn)擊“添加”鈕，添加IP安全策略管理。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第23頁。三、實(shí)驗(yàn)步驟3、在控制臺(tái)界面中，展開“IP安全策略”，右擊“IP安全策略”－>管理IP篩選器列表和篩選器操作，如圖7－23。在圖7－23的界面中，找到“管理IP篩選器列表”標(biāo)簽卡，添加“IP篩選器列表”：點(diǎn)擊“添加”鈕，命名為“禁用危險(xiǎn)端口”，如圖7－24；點(diǎn)擊“添加”鈕，源地址設(shè)置為“任何IP”，目標(biāo)地址設(shè)置為“我的IP”，如圖7－25，協(xié)議類型設(shè)置為“TCP”；在“IP協(xié)議端口”設(shè)置中，源端口設(shè)置為任何端口，目標(biāo)端口設(shè)置為445，并確定。在彈出的界面中，不選擇“使用添加向?qū)А比鐖D7－26。圖7-23管理篩選器列表和篩選器操作圖7-24新建IP篩選器列表圖7－25設(shè)置篩選器屏蔽端口圖7－26確認(rèn)篩選器列表的設(shè)置

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第24頁。三、實(shí)驗(yàn)步驟4、返回“管理IP篩選器列表和篩選器操作”界面，如圖7－27。在圖7－27的界面中，切換至“管理篩選器操作”標(biāo)簽卡，如圖7－28。在圖7－28所示的界面中，添加“篩選器操作”：點(diǎn)擊“添加”鈕，并將“新的篩選器操作”命名為“阻止高危端口”；將“篩選器操作”類型選擇為“協(xié)商安全”，如圖7－29；再選擇“不和不支持Ipsec的計(jì)算機(jī)通訊”，如圖7－30；然后按照系統(tǒng)默認(rèn)的步驟點(diǎn)擊、確定、關(guān)閉，如圖7－31。

圖7－27“管理IP篩選器列表和篩選器操作”界面圖7－28添加篩選器操作圖7－29設(shè)置篩選器操作的行為圖7－30配置通訊計(jì)算機(jī)的類型圖7－31添加篩選器操作后的界面

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第25頁。三、實(shí)驗(yàn)步驟5、在圖7－32所在的界面中，右擊“IP安全策略”－>創(chuàng)建新IP安全策略，并將策略命名為“屏蔽危險(xiǎn)端口”，按照默認(rèn)配置完成，如圖7－33、7－34、7－35、7－36。選中“屏蔽危險(xiǎn)端口”策略，右擊－>屬性，在“規(guī)則”標(biāo)簽卡中選“添加”鈕，選擇剛才添加過的“禁用危險(xiǎn)端口”篩選器列表，如圖7－37。在“篩選器操作”中選擇剛才添加過的“阻止高危端口”，如圖7－38。圖7－32創(chuàng)建新的IP安全策略圖7－33運(yùn)行安全規(guī)則向?qū)D7－34設(shè)置安全規(guī)則圖7－35選擇網(wǎng)絡(luò)類型圖7－36設(shè)置身份驗(yàn)證方法和密鑰圖7－37選擇篩選器列表圖7－38選擇篩選器操作

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第26頁。三、實(shí)驗(yàn)步驟6、指派：在管理控制臺(tái)界面中選擇“屏蔽危險(xiǎn)端口”，將它指派，如圖7－39。圖7－39指派“屏蔽危險(xiǎn)端口”規(guī)則7、測試：網(wǎng)絡(luò)中其它主機(jī)無法訪問到實(shí)驗(yàn)機(jī)的默認(rèn)共享資源。?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第27頁。三、實(shí)驗(yàn)步驟8、推廣：可以用剛才類似的方法將UDP協(xié)議的445端口，以及TCP和UDP的135端口禁用。思考：如果其它主機(jī)既想Ping通實(shí)驗(yàn)機(jī)，又想使用至實(shí)驗(yàn)機(jī)的資源和服務(wù)，應(yīng)該如何配置？答案：當(dāng)且僅當(dāng)和實(shí)驗(yàn)機(jī)做一模一樣的配置（包括密鑰得與實(shí)驗(yàn)機(jī)一致）。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第28頁。四、實(shí)驗(yàn)小結(jié)通過使用IP安全策略的方法可以實(shí)現(xiàn)對某臺(tái)主機(jī)危險(xiǎn)端口的屏蔽。其它主機(jī)如果想對實(shí)驗(yàn)機(jī)的危險(xiǎn)端口進(jìn)行訪問，當(dāng)且僅當(dāng)它的IP安全策略與實(shí)驗(yàn)機(jī)設(shè)置得完全相同時(shí)才可以。由此可見，使用IPsec之后可以允許或拒絕不同類型的通信，而且通過使用IPsec的方法可以實(shí)現(xiàn)網(wǎng)絡(luò)安全縱深防御中的網(wǎng)段安全隔離與維護(hù)。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第29頁。實(shí)驗(yàn)7－2：利用PGP軟件實(shí)現(xiàn)電子郵件加密使用TCP/IP系列的很多協(xié)議和應(yīng)用程序是以明文傳輸數(shù)據(jù)的，其數(shù)據(jù)包中的敏感信息會(huì)被網(wǎng)絡(luò)嗅探工具所攔截。加強(qiáng)數(shù)據(jù)的機(jī)密性的一個(gè)方法是加密數(shù)據(jù)，即將要傳輸?shù)男畔⑥D(zhuǎn)換成為除預(yù)期的接受者之外的任何人都不能理解的格式的過程。只有當(dāng)接收方具有合適密鑰的時(shí)候才能將密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)。加密技術(shù)也可以用來驗(yàn)證發(fā)送方的身份（簽名）和消息的保密性。使用PGP或者GPG軟件可以實(shí)現(xiàn)這些功能，PGP是用于文件加密和電子郵件加密的軟件，是為防止網(wǎng)絡(luò)中私人郵件被竊聽而使用的。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第30頁。一、實(shí)驗(yàn)?zāi)康牧私釶GP軟件的使用，了解對稱加密、非對稱加密、數(shù)字簽名的實(shí)現(xiàn)原理。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第31頁。二、實(shí)驗(yàn)設(shè)備3臺(tái)Windows主機(jī)。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第32頁。三、實(shí)驗(yàn)步驟1、首先在A機(jī)上安裝Mdaemon電子郵件服務(wù)器，并和。在B機(jī)和C機(jī)上啟動(dòng)outlook，，。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第33頁。三、實(shí)驗(yàn)步驟2、在B機(jī)上安裝PGP。

（1）這是選擇需要安裝的PGP組件，建議全選，如圖7－40。然后屏幕提示讓你選擇密鑰存儲(chǔ)的目錄，使用默認(rèn)路徑即可。圖7－40安裝PGP軟件的界面（2）會(huì)出現(xiàn)圖7－41的提示，問是不是馬上創(chuàng)建密鑰？選否。圖7－41提示是否馬上創(chuàng)建密鑰

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第34頁。三、實(shí)驗(yàn)步驟3、創(chuàng)建一對密鑰。

（1）在開始菜單―>程序―>PGP中點(diǎn)擊運(yùn)行PGP。

（2）單擊“密鑰”菜單條—>新建密鑰，如圖7－42。為zff添加姓名、電子郵箱（），如圖7－43。下面是向?qū)Ы缑?，按照提示一步一步做，如圖7－44、圖7－45、圖7－46。在“密鑰管理密碼”界面中輸入的密鑰管理密碼，如圖7－47。點(diǎn)擊“下一步”┉直至完成，如圖7－48、圖7－49、圖7－50所示。圖7－42PGP密鑰管理器主界面圖7－43輸入密鑰名稱、郵件地址圖7－44選擇密鑰類型圖7－45選擇密鑰長度圖7－46選擇密鑰時(shí)效圖7－47輸入密鑰管理密碼圖7－48生成zff的密鑰對圖7－49選擇是否發(fā)送密鑰匙到根服務(wù)器圖7－50成功生成密鑰對

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第35頁。三、實(shí)驗(yàn)步驟4、在C主機(jī)上一對密鑰。5、：選擇需要導(dǎo)出的密鑰—>右擊—>導(dǎo)出(或者在“密鑰管理器”的菜單欄上選擇需要導(dǎo)出的密鑰―>導(dǎo)出)。彈出導(dǎo)出對話框，如圖7-51。可以將的桌面。圖7-51導(dǎo)出zff密鑰.6、同理，在C機(jī)上安裝PGP并生成qjy的密鑰對，至桌面。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第36頁。三、實(shí)驗(yàn)步驟7、。（1）在B機(jī)的OUTLOOK環(huán)境中，郵箱身份將剛才保存至本機(jī)桌面的@company.mail郵箱?？捎靡韵碌膬煞N方式實(shí)現(xiàn)：①通過文本的形式傳播公鑰：可以用記事本打開公鑰文件zff.asc，如圖7-52。只要復(fù)制其中的全部文本傳遞給別人，別人用記事本打開進(jìn)行復(fù)制，然后另存為.asc格式，再雙擊導(dǎo)入即可。圖7-52用記事本打開zff的公鑰文件②也可以將公鑰文件作為電子郵件的附件發(fā)給對方郵箱。

注意：只有一段的是公鑰，有兩段的是公鑰加私鑰。這里需要謹(jǐn)慎傳遞?。?）同理，C機(jī)上的@company.mail郵箱。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第37頁。三、實(shí)驗(yàn)步驟8、使用公鑰加密文件。（1）加密：最好在加密前將文件打包（比如用RAR壓縮），選擇需要加密的文件->右擊->PGP->Encrypt彈出加密對話框，選擇一個(gè)加密用的公鑰，在要用的公鑰上雙擊即可完成加密。加密完成后，會(huì)生成后綴名為.pgp的加密文件。（2）解密：雙擊這個(gè)文件對其解密，如圖7-53。

如果沒能輸入正確的密鑰，便會(huì)出現(xiàn)錯(cuò)誤提示框。因?yàn)槲覀冸m然有他的公鑰，可以加密，但是沒有他的私鑰，無法解密?，F(xiàn)在用自己的公鑰創(chuàng)建一個(gè)加密文件，雙擊進(jìn)行解密。輸入管理密碼（私鑰），即可完成解密。圖7-53對加密文件進(jìn)行解密的界面

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第38頁。三、實(shí)驗(yàn)步驟9、通過PGP進(jìn)行電子郵件加密通信。其實(shí)郵件加密很簡單，就是對郵件的文本進(jìn)行加密處理。這個(gè)需要用到PGP的托盤圖標(biāo)，托盤沒有一個(gè)鎖圖標(biāo)，在PGP的安裝目錄中雙擊PGPtray文件即可。（1）首先進(jìn)入qjy郵箱，寫好收件人郵箱地址、郵件標(biāo)題、正文。然后選中需要加密的郵件正文，如圖7-54。圖7-54選擇需要加密的郵件正文（2）然后直接在托盤的鎖圖標(biāo)上單擊右鍵，選擇“當(dāng)前的窗口”―>“加密”，如圖7-55。圖7-55加密被選擇的郵件正文（3）彈出選擇公鑰對話框。選擇相應(yīng)的公鑰（用zff的公鑰），采用與加密文件相同的步驟，然后點(diǎn)擊“確定”即可看到被加密過的文本，如圖7-56，并點(diǎn)擊“發(fā)送”鈕。圖7-56加密后的郵件正文（4）打開zff郵箱，選擇所有加密過的文本，在托盤的鎖圖標(biāo)上單擊右鍵，選擇“當(dāng)前的窗口”―>“解密&驗(yàn)證”，如圖7-57。然后在彈出的對話框中輸入密鑰的管理密碼（只有zff帳號(hào)才擁有的，與加密公鑰相對應(yīng)的私鑰），再點(diǎn)擊“確定”即可看到原文，如圖7-58，表示解密成功。這樣就可以保證電子郵件的安全性。圖7－57對加密后的電子郵件正文進(jìn)行解密圖7－58解密后的電子郵件正文?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第39頁。三、實(shí)驗(yàn)步驟10、PGPdisk工具：硬盤上保留一塊空間存放敏感數(shù)據(jù)，創(chuàng)建一個(gè)名為PGPdisk的卷。如果別人不知口令就無法訪問它。11、擴(kuò)展：混合加密（包括數(shù)字簽名和電子郵件正文加密）。步驟與電子郵件加密相似，只是在進(jìn)行加密時(shí)選擇“加密&簽名”，這樣還可以對發(fā)送方進(jìn)行身份驗(yàn)證。對于接收方來講與電子郵件解密類似，只是解密時(shí)選擇“解密&驗(yàn)證”。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第40頁。四、實(shí)驗(yàn)小結(jié)加密程序的安全性取決于算法、密鑰。PGP是個(gè)融加密、解密、數(shù)字簽名為一體的軟件，通過PGP軟件的使用可以充分理解對稱加密、非對稱加密、混合加密的工作原理。?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第41頁。實(shí)驗(yàn)7－3：Windows2003Server的Web證書服務(wù)HTTP是以明碼傳輸信息的協(xié)議。在訪問Web站點(diǎn)時(shí)，如果沒有較強(qiáng)的安全措施，用戶訪問的數(shù)據(jù)是可以使用網(wǎng)絡(luò)工具捕獲并分析出來的。在Web站點(diǎn)的身份驗(yàn)證中，有一種基本身份驗(yàn)證方法，它要求用戶訪問時(shí)輸入的用戶名和密碼是以明文形式發(fā)送的，蓄意破壞安全性的人可以使用協(xié)議分析程序破譯出用戶名和密碼。此外，在HTTP協(xié)議的通信過程中有可能被流氓服務(wù)器假扮成真正的服務(wù)器，對受害主機(jī)進(jìn)行釣魚式攻擊。為避免這個(gè)問題，可利用SSL通信協(xié)議在Web服務(wù)器上啟用安全通道以實(shí)現(xiàn)高安全性。SSL安全套接字協(xié)議是用來管理信息加密的。當(dāng)使用SSL連接到Web服務(wù)器時(shí)，地址欄中的URL會(huì)顯示為HTTPS。SSL使用TCP的443端口。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第42頁。一、實(shí)驗(yàn)?zāi)康牧私釽indows2003Server環(huán)境下的證書服務(wù)的作用，掌握證書的安裝、配置方法。

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第43頁。二、實(shí)驗(yàn)設(shè)備1、實(shí)驗(yàn)設(shè)備：2臺(tái)Windows主機(jī)，其中一臺(tái)為Windows2003Server。2、實(shí)驗(yàn)拓樸如圖7－59。在安裝證書服務(wù)之前，已經(jīng)在服務(wù)器上建了Web站點(diǎn)，并配置了DNS服務(wù)器。圖7－59實(shí)驗(yàn)拓樸圖

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第44頁。三、實(shí)驗(yàn)步驟1、客戶機(jī)將自己設(shè)置成為DNS服務(wù)器的客戶端，在本機(jī)的IE瀏覽器中訪問Web站點(diǎn)，效果如圖7－60。圖7－60使用SSL之前對Web站點(diǎn)的瀏覽效果

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第45頁。三、實(shí)驗(yàn)步驟2、服務(wù)器上安裝證書服務(wù)。（1）打開“控制面板”－>“添加/刪除Windows組件”，勾選“證書服務(wù)”復(fù)選框，如圖7－61。圖7－61添加證書服務(wù)組件（2）在圖7－62中選擇獨(dú)立根CA。說明：①企業(yè)根CA：如果選擇它，則需要AD服務(wù)──即計(jì)算機(jī)在活動(dòng)目錄中才可以使用。②企業(yè)從屬CA：如果選擇它，必須從另一臺(tái)CA（父CA）上獲取它的證書。③獨(dú)立根CA：如果選擇它，該服務(wù)器可以在AD中，也可以不在AD中。圖7－62選擇CA類型（3）在圖7－63界面中，在此CA的公用名稱中輸入CA的名稱，一般是域名稱，這里輸入h123。圖7－63設(shè)置CA識(shí)別信息（4）設(shè)置證書數(shù)據(jù)庫以及日志的路徑，如圖7－64。如果要卸載證書服務(wù)，必須刪除證書數(shù)據(jù)庫，否則無法再次安裝證書服務(wù)。圖7－64設(shè)置證書數(shù)據(jù)庫及日志路徑（5）安裝完成后，會(huì)在IIS管理器“默認(rèn)站點(diǎn)”中添加一個(gè)虛擬目錄，如圖7－65。并在瀏覽器中輸入時(shí)出現(xiàn)Microsoft證書服務(wù)頁面，如圖7－66。圖7－65IIS中添加一個(gè)虛擬目錄圖7－66證書服務(wù)頁面?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第46頁。三、實(shí)驗(yàn)步驟3、生成證書申請（1）打開“IIS管理器”－>右擊“默認(rèn)網(wǎng)站”選擇“屬性”－>在“目錄安全性”選項(xiàng)卡中單擊“服務(wù)器證書”按鈕，開始證書的申請，如圖7－67。圖7－67開始申請證書（2）在圖7－68所在界面中選擇“新建證書”。圖7－68新建證書注意：如果可以直接聯(lián)系到網(wǎng)絡(luò)中的CA（一般是企業(yè)CA），則可以選擇“立即將證書請求發(fā)送到聯(lián)機(jī)證書頒發(fā)機(jī)構(gòu)”，此后就不需要生成證書申請了。?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第47頁。三、實(shí)驗(yàn)步驟（3）在圖7－69所在界面中選擇“現(xiàn)在準(zhǔn)備證書請求”。圖7－69準(zhǔn)備證書請求（4）在圖7－70的界面中輸入密鑰位長。圖7－70輸入密鑰位長（5）在圖7－71界面中輸入單位信息、部門，單擊下一步。圖7－71輸入單位信息（6）在圖7－72界面的“公用名稱”中輸入Web站點(diǎn)的域名,填寫國家、地區(qū)等詳細(xì)資料。圖7－72輸入站點(diǎn)公用名稱（7）輸入“證書請求的文件名”，如圖7－73。圖7－73輸入證書請求的文件名

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第48頁。三、實(shí)驗(yàn)步驟4、申請、下載證書。上一步已經(jīng)生成了證書的申請，此時(shí)我們需要申請證書（如果在生成證書申請中選擇“立即將證書請求發(fā)送到聯(lián)機(jī)證書頒發(fā)機(jī)構(gòu)”，就不需要這一步）。（1）用記事本打開“證書請求的文件”（c:\certreq.txt）并復(fù)制所有內(nèi)容，如圖7－74。圖7－74用記事本打開證書請求的文件（2）在瀏覽器中輸入“”打開Microsoft證書服務(wù)，并單擊“申請一個(gè)證書”，如圖7－75。圖7－75Microsoft證書服務(wù)界面（3）在圖7－76所在界面中選擇“高級(jí)證書申請”。圖7－76申請高級(jí)證書（4）在“高級(jí)證書申請”窗口中，選擇第二項(xiàng)（使用base64），如圖7－77。圖7－77選擇證書類別（5）在“提交一個(gè)證書申請”窗口中，選擇“Base-64”，并將剛剛復(fù)制的內(nèi)容粘貼到文本框上，單擊“提交”按鈕，如圖7－78。圖7－78提交證書申請的界面?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第49頁。三、實(shí)驗(yàn)步驟（6）頒發(fā)證書。①打開“管理工具”中的“證書頒發(fā)機(jī)構(gòu)”，在證書頒發(fā)機(jī)構(gòu)中點(diǎn)擊“掛起的申請”，右擊右邊的任務(wù)，選擇“所有任務(wù)”－>“頒發(fā)”，如圖7－79，這樣CA給Web頒發(fā)了證書。圖7－79頒發(fā)證書注意：在安裝證書服務(wù)時(shí)，如果選擇“企業(yè)根CA”則不需要頒發(fā)證書，直接處于“頒發(fā)狀態(tài)”，如果選擇“獨(dú)立CA”則必須頒發(fā)證書。②下載證書。再次打開Microsoft證書服務(wù)界面，選擇“查看掛起的證書申請的狀態(tài)”，在查看掛起的證書申請的狀態(tài)窗口中單擊“保存的申請證書┉”，如圖7－80。如果此時(shí)證書還沒有被頒發(fā)，或頒發(fā)了還未被通知，出現(xiàn)圖7－81的界面。如果此時(shí)證書已頒發(fā)，勾選“Base64編碼”，并單擊“下載證書”，完成證書的下載，如圖7－82。圖7－80查看掛起的證書申請的狀態(tài)圖7－81沒有掛起證書申請的提示圖7－82頒發(fā)證書的提示?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第50頁。三、實(shí)驗(yàn)步驟5、在Web服務(wù)器上安裝證書。（1）打開“IIS管理器”－>右擊“默認(rèn)網(wǎng)站”－>屬性－>打開“目錄安全性”選項(xiàng)卡，并單擊“服務(wù)器證書”，開始安裝證書，如圖7－83。圖7－83掛起的證書請求（2）選擇證書下載的目錄，如圖7－84。圖7－84選擇證書下載的目錄（3）設(shè)置SSL使用端口，默認(rèn)為443，如圖7－85。圖7－85設(shè)置SSL的使用端口（4）查看安裝的證書概要信息，單擊下一步―>完成，完成了證書的安裝，如圖7－86。圖7－86完成證書安裝

?網(wǎng)絡(luò)安全通信課件全文共55頁，當(dāng)前為第51頁。三、實(shí)驗(yàn)步驟（5）完成證書的安裝后，在“目錄安全性”選項(xiàng)卡中單擊“安全通道”的“編輯”按鈕，出現(xiàn)“安全通信”對話框，在安全通信對話框中勾選“要求安全通道（SSL）”、“要求128位加密”前的復(fù)選框，如圖7－87。圖7－87IIS中設(shè)置站點(diǎn)的安全通信關(guān)于“客戶端證書”框架的設(shè)置說明：①忽略客戶端證書：無論用戶是否擁有證書，都將被授予訪問權(quán)限，客戶端不需要申請和安裝客戶端證書（此實(shí)驗(yàn)可以先選①項(xiàng)或②項(xiàng)查看效果,有效果之后客戶機(jī)再在IE中輸入或申請高級(jí)證書----即客戶端瀏覽器證書成功并安裝后，再選擇第③項(xiàng)）。。②接受客戶端證書：用戶可以使用客戶端證書訪問資源，但證書并不是必需要求的?？蛻舳瞬恍枰暾埡桶惭b客戶端證書。③要求客戶端證書：服務(wù)器在將用戶與資源連接之間要請求客戶端證書?？蛻舳吮匦枭暾埡桶惭b客戶端證書（建議選擇此項(xiàng)）。?網(wǎng)絡(luò)安全通信課件全文共55