实验八 IPSc安全通信.docVIP

实验八 IPSec实现安全通信 【实验目的】 1.了解IPSec主要协议; 2.理解IPSec工作原理; 3.掌握Windows环境下利用IPSec在两台主机间建立安全通道的方法。 【实验环境】 两台以上装有Windows 2000/XP/2003操作系统计算机“主密钥”；第二阶段，利用第一阶建立的安全信道来交换 IPSec SA。 （3）IPSec协议的实现 IPSec的工作原理类似于包过滤防火墙。IPSec通过查询安全策略数据库SPD来决定接收到的IP包的处理，但不同于包过滤防火墙的是，IPSec对IP数据包的处理方法除了丢弃、直接转发（绕过IPSec）外，还有进行IPSec的处理。进行IPSec处理意味着对IP数据包进行加密和认证，保证了在外部网络传输的数据的机密性、真实性、完整性，使通过Internet进行安全通信成为可能。在IETF的标准化下，IPSec的处理流程进行了规范。 IPSec外出处理，在外出处理过程中，传输层的数据包流进IP层，然后按如下步 骤处理，如图8-5所示。 图8-5 IPSec外出处理流程 首先，查找合适的安全策略。从IP包中提取出“选择符”来检索SPD，找到该IP包所对应的外出策略，之后用此策略决定对IP包如何处理；否则绕过安全服务以普通方式传输此包。 其次，查找合适的SA。根据安全策略提供的信息，在安全联盟数据库中查找该IP包所应该应用的SA。如果该SA尚未建立。则会调用IKE，将这个SA建立起来。此SA决定了使用何种协议（AH或ESP），采用哪种模式（隧道模式或传输模式），以确定了加密算法，验证算法，密钥等处理参数。 最后，根据SA进行具体处理。 ②IPSec流入处理，在进入处理过程中，数据包的处理如下步骤执行，如图8-6所示。 图8-6 IPSec数据进入处理流程 首先，IP包类型的判断：如果IP包中不含IPSec头，将该包传递给下一层；如果IP包中包含了IPSec头，会进入下面的处理。 其次，查找适合的SA：从IPSec头中摘出SPI,从外部IP头中摘出目的地址和IPSec协议，然后利用SPI，目的地址，协议在SAD中有哪些信誉好的足球投注网站SA。如果SA有哪些信誉好的足球投注网站失败就丢弃该包。如果找到对应的SA，则转入以下处理。 再次，具体的IPSec处理，根据找到SA对数据包执行验证或解密进行具体的IPSec处理。 最后，策略查询：根据选择符查询SPD，根据此策略检验IPSec处理的应用是否正确。最后，将IPSec头剥离下来，并将包传递到下一层，根据采用的模式，下一层要么是传输层，要么是网络层。 【实验步骤】 IPSec协议是在公共IP网络上确保通信双方数据通信具有可靠性和完整性的技术，它能够为通信双方提供访问控制、无连接完整性、数据源认证、载荷有效性和有限流量机密性等安全服务。Windows系统中提供构建IPSec安全应用的所有组件。 首先配置Web服务器和客户端主机网络： 服务器主机A：Windows Server 2003，IP地址是/24，安装Web站点并测试成功。 测试主机B：Windows 2000/XP/2003/Vista，IP地址是/24，测试与主机A访问成功。 IPSec技术保证应用层服务访问安全主要有以下几个步骤： 在服务器主机A、B上安装并配置IPSec； ● 在服务器主机未启用或启用IPSec的情况下进行测试。 （1） 配置服务器主机 A的IPSec ①建立新的IPSec策略 步骤1：单击“开始”→“所有程序”→“管理工具”→“本地安全策略”，打开【本地安全设 置】窗口。步骤2：在【本地安全设置】窗口左侧对话框中右击“IP安全策略，在本地机器”→“创 建IP安全策略”,如图8-7所示。  图8-7 创建IP安全策略 步骤3：在【欢迎使用IP安全策略】窗口中单击“下一步”按钮。 步骤4：在【IP安全策略名称】窗口中输入名称和描述信息(本实验中的策略名称为新IP安全策略A)，单击“下一步”按钮。 步骤5：在【安全通信请求】窗口中取消“激活默认响应规则”复选框，单击“下一步”按钮。 步骤8：在【完成“IP安全策略向导”】窗口中取消“编辑属性”默认选项，单击“完成”按钮，打开【新IP安全策略A属性】窗口，如图8-8所示。 图8-8 创建新IP安全策略A ②添加新规则 步骤1：在【新IP安全规则A属性】窗口中取消“使用‘添加向导’”选项，再单击“添加” 按钮，如图8-8所示。 步骤2：在【新规则属性】窗口中的“IP筛选器列表”选项卡中选中“所有ICMP通信”， 单击“添加”按钮，出现【IP 筛选器列表】窗口，如图8-9所示。