《网络安全与管理实训》实训指导书.doc

1用PGP组件保证邮件安全实验目的掌握在Windows 下安装和使用 PGP 软件，保证电子邮件的安全性。预备知识1密码学基础；2对称式、非对称式、Hash 加密的原理；3PGP 软件的原理。建议实验环境1使用 Windows 系统（Windows2000 professional 简体中文版）的 PC 机；建议实验工具1软件包 PGP；2软件包 GnuGP。实验用时180 分钟。实验步骤任务一 配置 Outlook Express 程序1打开 Outlook Express，输入用户名。图 5-1 输入邮件客户端用户名2输入邮件地址。图 5-2 输入邮件地址3输入收件服务器和发件服务器的 IP 地址或域名。图 5-3 定义邮件服务器4输入账户名和密码，Outlook Express 配置完毕。图 5-4 输入账户名和密码任务二 在 Windows 下安装 PGP 软件1运行 PGP 软件的安装程序，点击“Next”。图 5-5 PGP 组件安装提示界面2输入用户名称和公司名称。图 5-6 输入用户名称和公司名称3出现提示“是否已经有密钥”，选择“否”。图 5-7 密钥判定问询4暂时不发送密钥，点击“完成”。图 5-8 安装完成任务三 在 Windows 下运行 PGP 软件，并创建密钥对1在开始菜单programesPGP 下运行 PGPtray。图 5-9 打开 PGP 主窗口2在右下脚会出现一个小锁的图标，表示 PGP 软件已经运行。图 5-10 PGP 运行图标3用鼠标右键点击小锁图标，选择 PGPkeys 来创建密钥。图 5-11 运行 PGPKeys 程序4选择“下一步”进行创建密钥的活动。5输入用户名和电子邮件地址。图 5-12 输入用户名和电子邮件地址6选择创建密钥对的算法。图 5-13 选择创建密钥对的算法7选择密钥的长度。图 5-14 选择密钥长度8选择密钥是否过期，如果选择过期，需要确定失效的时间。图 5-15 设置密钥时效9输入私钥保护密码。图 5-16 输入私钥保护密码10点击“下一步”后，看到生成的密钥。图 5-17 察看生成的密钥11鼠标右键点击密钥，选择 Export 项导出公钥。图 5-18 导出密钥12选择存储公钥的位置。图 5-19 选择存储公钥的位置13成功导出后，互换密钥，在“资源管理器”中双击导入他人的公钥，选择 Import。图 5-20 导入他人的公钥14导入成功后可以看到自己的一对秘钥和他人的公钥。图 5-21 查阅导入的密钥任务四 在 Windows 下用 PGP 软件加密电子邮件1打开 Outlook Express 写一封测试邮件。图 5-22 书写一封测试邮件2光标放在信件内容中，鼠标右键点击小锁图标，选择 Current WindowsEncrypt & Sign。图 5-23 邮件加密3选择收信人的密钥。图 5-24 选择收信人的密钥4输入发信人的私钥保护密钥。图 5-25 输入发信人的私钥保护密钥5产生一封加密的电子邮件图 5-26 加密的电子邮件任务五 在 Windows 下解密用 PGP 软件加密的电子邮件1用 Outlook Express 收邮件。图 5-27 接收邮件2双击邮件，记入查看状态，把光标设在邮件的内容上，鼠标右键点击小锁图标，选 择 Current WindowsDecrypt & Verify。图 5-28 解密并验证邮件3输入自己私钥密码。图 5-29 输入自己私钥密码4看到信件原文内容。图 5-30 信件原文内容第一行：表示邮件状态良好；第二行：表示邮件的发件人地址； 第三行：签名时间； 第四行：验证时间； 第五行至结尾：信件内容。2配置 SSL 连接实验目的掌握在Windows 下安装和使用安全的 Web 服务SSL，从而用 HTTPS（安 全的 HTTP）协议替换 HTTP 协议，实现安全的 Web 浏览访问。预备知识1密码学基础；2SSL 实现的原理。建议实验环境1使用 Windows 系统（Windows 2000 Professional 简体中文版）的 PC 机；建议实验工具1软件包 Windows IIS 证书服务；实验用时200 分钟。实验过程与步骤任务一 在 Windows 上安装证书服务1安装 Windows 2000 证书服务，单击开始设置控制面板，选择添加/删除程序选 取添加/删除 Windows 组件，选取证书服务。图 3-1 添加证书服务组件2证书服务的安装比较重要，因此安装后不能修改计算机名，同时不能改变域的关系， 选择是，继续安装。3选择安装证书服务机构的类型，是从级别高到低，只有安装作为域控制器的 Windows2000 Server 才能安装企业根 CA 和企业从属 CA，本实验选择独立根 CA 安装。图 3-2 选择安装证书服务机构的类型4输入 CA 的注册信息，说明 CA 的属性。图 3-3 编辑 CA 属性5确定 CA 数据库的文件存放位置。图 3-4 设定 CA 数据库的文件存放位置6在安装 CA 的过程中，需要停止 IIS 服务。图 3-5 停止 IIS 服务7安装证书服务成功后，IIS 服务和证书服务都会自动开启。任务二 Web 网站申请证书1从开始程序管理工具Internet 服务管理器，选中 IIS 中的默认 Web 网站，点击 鼠标右键，选取属性。图 3-6 选择编辑默认 Web 站点属性2选取目录安全性，鼠标点击服务器证书。图 3-7 站点属性对话框3选取创建一个新证书。图 3-8 创建新证书4现在是创建一个证书请求文件。5设置 Web 站点信息。图 3-9 证书参数设置名称和密钥长度6设置组织信息。图 3-10 证书参数设置组织和部门7设置站点的公用名称。图 3-11 证书参数设置站点公用名称8设置站点地理信息。图 3-12 证书参数设置地理信息9选取存放请求文件的位置。图 3-13 证书参数设置请求文件位置10确认信息，完成请求证书文件。任务三Web 服务提交申请1证书是通过 Web 方式提交，打开 IE 选择申请证书 http:/IP/certsrv。图 3-14 证书申请页面2在申请类型方面，选择高级申请。图 3-15 高级申请页面3高级证书申请中，选择 Base64 编码方式。图 3-16 设定申请方法4把刚才申请的证书请求文件的内容复制在框内，进行提交。图 3-17 提交申请5看到内容，提交成功。图 3-18 申请成功提示页面任务四CA 颁发证书1选取开始程序管理工具证书颁发机构。图 3-19 打开证书颁发机构窗口2在待定申请中看到刚才的申请证书的请求。图 3-20 证书颁发机构窗口3鼠标右键点击证书请求，选择所有任务颁发。图 3-21 颁发待定申请4在颁发的证书中看到刚才的申请。图 3-22 查阅已颁发证书任务五Web 网站下载 CA 颁发的证书1打开 IE，输入 http:/IP/certsrv/，选择检查挂起的证书。图 3-23 检查挂起的证书2看到刚才申请的证书，将该证书选中。图 3-24 选中申请的证书3下载 CA 证书。图 325 下载 CA 证书4保存到文件，选取存放位置。图 3-26 保存 CA 证书 任务六在 Web 服务器上安装证书1还是通过 IIS 选项，找到目录安全性，选择服务器证书。图 3-27 编辑目录安全性2选择处理挂起的请求并安装证书。图 3-28 处理并安装证书3选择刚才存放证书的位置。图 3-29 选择证书4确认证书信息。图 3-30 确认证书信息5安装证书成功，需要开启 SSL 通道。图 3-31 开启 SSL 通道6选择申请安全通道（SSL）。图 3-32 选择开启方式任务七访问 Web 网站，进行验证通过 IE 浏览器 Web 网站，看到证书。图 3-33 使用 SSL 的提示信息注意：这时候在 IE 中输入的是 HTTPS 协议，不是 HTTP。任务八 客户端证书1安装客户端证书，与前面介绍的提交服务器的证书请求的位置一样。图 3-34 申请客户端证书2选择申请类型时，选择 Web 浏览器证书。图 3-35 选择浏览器证书3填写客户端用户信息。图 3-36 填写证书信息4提交后，等待服务器颁发证书。5CA 颁发客户端证书，与前面颁发服务器端证书相同。图 3-37 待颁发的客户端证书6客户端下载并安装证书，选择检查挂起的证书。图 3-38 检查挂企的客户端证书7选定证书，选择下一步。图 3-39 选中客户端证书8点击安装证书。图 3-40 安装客户端证书9证书安装成功。图 3-41 证书安装成功提示页面10需要配置 Web 服务器，开启对于客户端证书的需求。客户证书，选择申请客户证 书。图 3-42 配置客户端证书要求整个实验完成后，从客户选取存放位置到服务器端的数据传输都是安全的，数据是以密 文方式传输的，同时可以通过证书进行认证，即认证客户端也认证服务器端。3实现安全的 SSH 管理实验目的掌握在Linux和Windows 下安装和使用 SSH，在 Windows 下安装 pcanywhere、终端服务，替代 Telnet 等明文传输协议。预备知识1密码学基础；2SSH 实现的原理；3终端服务的概念。建议实验环境1使用 Windows 系统（Windows2000 professional 简体中文版）的 PC 机；2Red HatLinux操作系统建议实验工具1软件包 F-secure ssh （Windows 版客户端和服务器端）；2软件包ssh-3.0.1.tar.gz；任务一 在 Linux 下创建分发密钥1以 root 用户身份登录。 退出到根目录：host#cd /2创建密钥对：host#/usr/local/bin/ssh-keygen2随后 ssh-keuygen2 将开始执行并创建密钥对。3当 ssh-keygen2 提示时，输入 password 作为私钥密码并加以确认；在这一步，私钥 设为 password；ssh2-keygen2 将在登录的宿主目录下自动创建名为.ssh2 的隐藏目录。4进入 ssh-keygen2 程序创建的.ssh2 隐藏目录：host#cd .ssh25使用 ls 命令列出该目录下的所有内容。注意在列出的清单中名称类似于 id_dsa_1024_a 和 id_dsa_1024_a.pub 的两个文件。 在这里，id_dsa_1024_a 应该是私钥文件，而 id_dsa_1024_a.pub 为公钥文件，dsa 是算法名称，1024 指加密长度/强度。6创建上述两个文件的拷贝，分别命名为 sx 和 sx.pub(x 为自己的座位号)。host#cp id_dsa_1024_a sxhost#cp id_dsa_1024_a.pub sx.pub注意：不要将公钥文件和私钥文件混淆。7FTP 连接到 teacher，将 sx.pub 文件上传到 teacher 的 FTP 目录下在同一处下载合作 伙伴的公钥文件。任务二 在 Linux 下实现 SSH 安全认证1以 root 用户身份登录到 Linux。2进入.ssh 目录：host#cd /.ssh/。3创建名为 identification 和 authorization 的文件：host#touch identification host#touch authorization4用 vi 编辑 identification 文件，加入下面一行并加以保存：Idkey PrivateKey_Name这里 PrivateKey_Name 为自己的私钥文件名称。5获得合作伙伴的公钥文件 sx.pub 并将其放置在.ssh2 目录下。 用 vi 编辑 authorization 文件，加入下面一行并加以保存：Key PublicKey_Name.pub这一步中的 PublicKey_Name.pub 为合作伙伴的公钥文件名称。6确信/usr/local/sbin/sshd2 正常运行。 执行以下命令实施公钥体系： host#/usr/local/bin/ssh2 l root partners_machine7在提示状态下输入自己的私钥，密码为 password，一旦通过认证，将获得合作伙伴 系统的 root shell 权限。注意：如果在这一步有异常现象，可能由以下原因引起：（1）合作伙伴没有受到自己的公钥文件或没有将公钥文件置于它的.ssh 目录下。（2）合作伙伴没有在他的 authorization 文件中添加针对自己的认证项(Key sx.pub)。 退出合作伙伴的系统，再重新连接，在要求输入密码时输入错误的密码；接下来系统要 求输入合作伙伴的 root 密码，这一过程仍然是加密传输的，正确输入后同样可以登录，但是不再使用公钥认证。8执行以下命令，建立安全的 FTP 连接。/usr/local/bin/sftp2 sx（sx 为合作伙伴主机名，x 为座位号） 将提示输入私钥密码，如果通过验证，就可以建立起安全的 FTP 连接。任务三 在 Windows 下实现安装 SSH 服务器端1用户以管理员身份登陆 Windows 操作系统，运行 SSH 服务器端安装程序 setup，进 入 SSH 服务器端程序安装界面，点击“Next”。图 4-1 安装提示界面2安装过程中输入程序的注册码。图 4-2 输入厂商提供的序列号3安装过程中，服务器端程序会自动生成服务器端的一对秘钥。图 4-2 生成密钥对4安装成功后，运行 cmd 指令，打开字符命令窗口。运行 netstat an 查看 22 端口是 否在监听状态，如果是则表示安装成功。图 4-3 查阅端口状态5运行 SSH 服务器端配置文件，开始程序F-Secure SSH ServerConfiguration。6修改认证方式，允许密码认证和公钥认证方式，全部是 Allowed，点击“Apply”。图 4-4 服务配置界面任务四 在 Windows 下实现安装 SSH 客户端程序1用户以管理员身份登陆 Windows 操作系统，运行 SSH 客户端安装程序 setup，进入SSH 服务器端程序安装界面，点击“Next”。图 4-5 客户端安装提示界面2选择安装目录，一般按缺省目录安装即可。图 4-6 选择安装路径3安装完毕后需要重启计算机。图 4-7 安装完成后重启系统任务五 在 Windows 下实现安装 SSH 客户端程序和服务器端程序的互联（密码认证方式）1 进入 SSH 客户端程序的运行界面，第一次进入程序会自动生成随机密钥种子。注意：产生密钥时需要移动鼠标，以用于采集随机值。图 4-8 生成随机数种子2进入客户端界面后，用鼠标点击 Quick Connect 进入登录界面。图 4-9 客户端界面3输入要登录服务器的 IP 地址，以及用户名。图 4-10 选择服务端、验证方式等参数4连接成功后，服务器端会自动把服务器端的公钥发过来，这时需要点击“是”，把服 务器端的公钥导入客户端。4-11 服务端公钥反馈提示6输入用户密码。图 4-12 密码模式下输入密码7密码正确登录成功，会显示以下界面。注意：以不同的用户登录，目录会不同，一般缺省是在宿主目录下。图 4-13 成功登录后的客户端界面任务六 在 Windows 下实现安装 SSH 客户端程序和服务器端程序的互联（公钥认证方式）1创建客户端密钥，选择 Edit 菜单下的 Settings 选项。图 4-14 打开参数设置窗口2选择 User Keys，用鼠标点击 Generate New Key Pairs 用于创建密钥。图 4-15 创建密钥3点击“下一步”，进入密钥配置界面，选择密钥长度：1024，算法：DSA。图 4-16 配置密钥长度、算法4系统会自动产生密钥。图 4-17 系统自动生成密钥5输入密钥名称和私钥保护密码。图 4-18 密钥名称和密钥保护密码6可以把密钥上传给服务器端。图 4-19 密钥生成完毕可选上传注意：这时需要登录服务器，否则无法上传秘钥。7从配置菜单选择上传密钥。图 4-20 上传密钥8选择上传的密钥名称，目录信息。图 4-21 配置密钥上传信息9上传成功后可以在.ssh 目录下看到两个文件。图 4-22 查阅上传的密钥10在登录方式中加入公钥认证方式，点击白色方框。图 4-23 点选相应图表11选择 Public Key 认证方式。图 4-24 选择公钥模式12删除密码认证方式，鼠标点击 Connect 进行连接。图 4-25 连接参数设定完毕任务七 在 Windows 下实现安装 SSH 客户端程序和 Linux 服务器端程序的互联1在 Linux 开启 SSH 服务。2用 Windows 下的 SSH 客户端程序与 Linux 进行连接，IP 地址输入 Linux 的地址，其 他实验步骤参照任务五和任务六。防火墙的安装与设置1实训要求与目的(1)熟悉防火墙基本知识(2)掌握防火墙安装技术:防火墙的安装位置;防火墙的安装步骤;防火墙的安装方式;防火墙的安装进程;防火墙配置內容。(3)熟悉防火墙的具体使用以及配置规则，掌握防火墙的配置步骤。(4)掌握防火墙的配置策略与实现。2实训环境实验要求分组进行，两人一组，需要两台计算机，在服务器端安装Windows 2000/XP/98和一种防火墙软件（如：Skynet_FireWall，天网防火墙），开放局域网共享服务，在客户端安装Windows 98/XP，2000。3实训内容准备工作：从Internet网上