计算机网络安全技术实验教程 第7章 网络安全通信.pptVIP

第7章 网络安全通信 实验7－1－1：允许Ping入本机但无法访问本机资源 一般情况下，在局域网几台Windows操作系统主机之间既可以互相Ping，又可以互相访问对方的资源。如果有某台主机不想让其它主机看到自己的资源，可以采用IPsec方法实现。 一、实验目的 了解设置IPsec策略前后两台主机之间通讯、远程管理之间的区别。 二、实验设备 3台Windows操作系统主机，最好是Server主机。 三、实验步骤 1、点击A机桌面上的开始工具栏－运行－输入mmc。 2、在控制台界面中点击“文件”菜单－添加/删除管理单元－在“独立”标签卡中，点击“添加”钮，添加“IP安全策略管理”（即IPsec），如图7－1、图7－2、图7－3、图7－4。 图7-1 控制台界面 图7-2 添加IPSec管理控制单元 图7－3 设置IPSec管理单元的管理范围 图7－4 为本机添加IP安全策略 三、实验步骤 3、在图7－5的控制台界面中，双击“IP安全策略”，在右边栏选择“安全服务器”－右击－属性，如图7－6。 图7－5 添加IP安全策略后的控制台界面 图7－6 设置安全服务器属性 三、实验步骤 4、在图7－7所示的界面中，选择“规则”标签卡中的“所有IP通讯量”，并点击“编辑”钮。在图7－8所示的界面中，选择“身份验证方法”标签卡。在图7－9所示的界面中，选择“Kerberos”，点击“编辑”钮。在图7－10所示的界面中输入“123456”的密钥，点击“确定”钮。 图7－7 设置安全服务器规则 图7－8 设置IP筛选器列表 图7－9 设置身份验证方法 图7－10 设置密钥 5、在图7－11所示的界面中，选择“安全服务器”－右击－指派。 图7－11 指派安全服务器规则 三、实验步骤 6、测试：局域网中的其它主机对这台进行IP安全策略的主机进行Ping指令，发觉Ping得通；再在其它主机上访问这台主机的共享资源，发觉无法访问了。 思考：如果其它主机既想Ping通该实验机，又想访问至该实验机的资源，应该如何配置？答案：当且仅当和实验机做一模一样的配置（包括密钥需要与实验机完全一致）。 7、扩展：观察安全服务器策略被指派之后A机上流出的数据包有什么变化？ 四、实验小结 在某台实验机上设置IP安全策略之后，如果其它主机想访问该实验机，当且仅当在本机上与实验机做同样的设置才可以。否则，无法正常访问。 实验7－1－2：禁止Ping入本机但允许访问本机资源 黑客获得受害主机信息的第一步便是获得受害主机的操作系统版本信息，这个过程是通过黑客机向受害主机进行Ping操作并根据其所得的TTL返回值而判断的。所以，如果在局域网中防止其它已经成为跳板的主机对自己的攻击，就需要将ICMP协议禁用。 一、实验目的 掌握通过设置IPsec的方法限制其它主机对本机的Ping操作，进而限制ICMP协议。 二、实验设备 3台Windows操作系统主机，最好是Server主机。 三、实验步骤 1、点击A机桌面上的“开始”工具栏－运行－输入mmc。 2、在控制台界面中点击“文件”菜单－添加/删除管理单元－在“独立”标签卡中，点击“添加”钮，添加IP安全策略管理（IPSec）。 三、实验步骤 3、在控制台界面中，展开“IP安全策略”，右击“IP安全策略”－“创建IP安全策略”，如图7－12。给新的IP安全策略命名为“阻止ping命令”，如图7－13。在复选框中选择“激活默认响应规则”，如图7－14。 图7－12 创建新的IP安全策略 图7－13 为新的IP安全策略命名 图7－14 设置安全通讯请求 4、在图7－15所示的界面中，输入“123456”作为密钥，点击“下一步”钮，确定。 图7－15 设置身份验证密钥 三、实验步骤 5、在如图7－16的控制台窗口中选择“阻止Ping命令”并双击－在“规则”标签卡中添加规则，如图7－17。 图7－16 为新的IP安全策略添加规则 图7－17 设置新的安全规则 6、在图7－17所示界面中，按照系统的默认配置一步一步完成，如图7－18。在“身份验证方法”标签卡中输入的密钥为“123456”（与刚才设置的一致），如图7－19。 图7－18 设置网络连接类型 图7－19 设置密钥 三、实验步骤 7、在如图7－20所示的“IP筛选器列表”设置栏处，点“添加”钮，将新的筛选器命名为“not ping”，源地址为任何地址，目标地址为我的IP，协议类型为ICMP，点击“确定”。 图7－20 设置新建规则的筛选器列表