信息安全实验报告

实验报告（２０1/２０1年第学期）课程名称信息安全技术实验名称防火墙和安全IP实验实验时间年月日指导单位指导教师实验报告实验名称防火墙和安全IP实验指导教师沈苏彬、王光辉实验类型上机实验学时8实验时间-10-21/22/29实验目的和规定（1）理解防火墙技术和安全IP技术的原理（2）掌握个人电脑的防火墙、安全IP的配备办法。（3）完毕防火墙的配备和测试、安全IP的配备和测试、以及基于报文嗅探软件的测试。规定独立完毕实验方案的设计、配备和测试；规定独立完毕实验报告的编写。二、实验环境(实验设备)硬件：微机软件：嗅探软件Wireshark，Windows系统三、实验原理及内容实验1：安全IP实验。两个同窗为一组进行实验；如果没有找到合作进行实验的同窗，并且存在多出的实验电脑，则能够一位同窗通过两台电脑完毕实验。1.1实验和测试在没有安全IP保护的网络环境下的网络安全危险：实验和测试在没有安全保护的状况下，通过嗅探报文能够看到在同一种网段内传送的全部IP报文以及这些IP报文涉及的内容，例如能够通过Ping另一台电脑，通过嗅探软件，测试与否能够分析出Ping报文。1.2配备和测试安全IP：在两台电脑上配备安全IP方略，选择安全关联建立的办法（例如：采用基于共享密钥的安全关联建立方式），通过嗅探软件，观察和分析安全IP的安全关联建立过程，以及嗅探软件能够窥探到安全IP报文的哪些内容。1.3通过嗅探软件，对照安全IP的原理，观察和分析安全IP的特性，例如观察安全IP的面对连接特性等。实验2：防火墙实验。两个同窗为一组进行实验；如果没有找到合作进行实验的同窗，并且存在多出的实验电脑，则能够一位同窗通过两台电脑完毕实验。2.1通过配备防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某台联网电脑访问设立防火墙电脑的限制，以及设立防火墙电脑对某台联网电脑访问限制，并且通过有关网络应用（例如Ping），测试防火墙的作用。2.2通过配备防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某类应用（例如基于ICMPv4的Ping）访问设立防火墙电脑的限制，以及设立防火墙电脑对某类应用（例如基于ICMPv4的Ping）访问限制，并且通过对该应用的使用，测试防火墙的作用。2.3配备和验证自己认为含有实际应用价值的个人电脑防火墙规则，并且测试该防火墙的作用。2.4罗列以上防火墙配备对应的访问控制列表。实验报告实验1安全IP实验安全IP的配备环节从系统控制面板出发，打开系统与安全功效，打开管理工具选项，找到本地安全方略。点开本地安全方略，找到本地电脑IP方略。新建IP安全方略，描述中填写“IPSec学习练习”，点击下一步，进入配（3）创立IP安全规则，点击增加，进入IP安全规则创立过程；选择“此规则不指定隧道”，即选用传输模式IPSec，选中后单击“下一步”按钮；选择“全部网络连接”，单击“下一步”按钮，进入配备IP过滤器列表阶段。（4）IP过滤器列表配备。点击新增按钮，新建IP过滤器列表，进行过滤器列表配备；点击新增，进行IP过滤器配备，点击下一步；描述内容“与同组主机进行安全的icmp通信”；源地址选择“我的IP地址”；目的地址选择“一种特定的IP地址”，填写另一台主机的IP地址，；选择“ICMP”合同类型，单击“下一步”按钮。单击“完毕”按钮，完毕IP过滤器配备。（5）过滤器行为配备。根据上图所示，选择新增的过滤器列表，点击下一步，进入过滤器行为配备阶段。点击新增，进行过滤器行为配备。行为命名为“安全的ICMP通信”；“筛选器操作常规选项”中选中“协商安全”，单击“下一步”按钮；选中“不与不支持IPSec的计算机通信”，单击“下一步”按钮；在“IP通信安全方法”中，选择“完整性和加密”，单击“下一步”按钮；最后单击“完毕”；（6）“身份验证办法”界面。选中“使用此字符串保护密钥交换(预共享密钥)”，填写共享密钥“lin”(主机A、主机B的共享密钥必须一致)，单击“下一步”按钮，直至最后完毕。（注意：应用方略之前必须指派方略，否则方略不会自动生效。右键点击“IP安全方略”，选择“指派assign”使方略生效。）（7）完毕IPSec配备。2.测试成果与分析使用wireshark抓去ping的数据包的报文普通有其固定的格式：报文长度（98bytes）=以太网头（14bytes）+IP头（20bytes）+ICMP报文（64bytes）其中，以太网头（14bytes）=目的MAC（6bytes）+源MAC（6bytes）+以太网类型0800（2bytes）我们以（a）方略为例进行分析：（a）主机A不指派方略，主机B不指派方略。主机A在“cmd”控制台中，输入以下命令：ping主机B的IP。ping操作反馈信息与报文嗅探软件给出的成果：由ping的成果能够看出两台主机连接通道良好，没有丢包现象，能够进行后续分析。如上图报文成果所示。其中：以太网头为：eca86ba8cce8eca86ba8ce390800IP头：4500003c11a00a144fc10a144fc0IMCP报文：08004d5a8696a6b6c6d6e6f70按摄影似的分析办法，我们能够一次分析下列几个状况：（b）主机A指派方略，主机B不指派方略。主机A在“cmd”控制台中，输入以下命令：ping主机B的IPping操作反馈信息与报文嗅探软件给出的成果：在A指派，B不指派的状况下，我们能够发现在ping的成果中发送的报文为4，接受为0。在wireshark的报文接受界面中，按照上述分析，A主机无法ping到B主机。上述报文中恰巧反映这点。（c）主机A指派方略，主机B指派方略。主机A在“cmd”控制台中，输入以下命令：ping主机B的IPping操作反馈信息与报文嗅探软件给出的成果：在A主机和B主机都指派的状况下，A主机成功发送和接受了数据包，因此连接稳定无问题。再次基础上我们对接受的数据包进行分析。=1\*ROMANI、ESP(EncapsulatingSecurityPayload)合同分析分析析源地址为主机A的IP、目的地址为主机B的IP的数据包信息；根据ESP报文格式，对数据进行分析与安全参数索引SPI。（按照链路层报头（默认14字节）→网络层报头（本实验中为20字节）→ESP报头的次序解析数据。）在该ESP合同下的报文中，安全参数索引SPI为4个字节，即“bb1574d9”。通过这个SPI发送给对方的时候，对方只需要查看SADB数据库中的SPI来匹配，然后通过该SPI下的加密参数和方略来进行解密。=2\*ROMANII、AH(AuthenticationHeader)合同分析主机A、B同时进行以下操作，修改“ICMP安全通信方略”，运用AH合同对数据源进行身份验证，而不对传输数据进行加密解决，选择MD5，点击拟定。主机A对主机B进行ping操作，待操作完毕，合同分析器停止捕获数据包。切换至“合同解析视图”，观察十六过制显示区数据，按照链路层报头（默认14字节）→网络层报头（本实验中为20字节）→AH报头的次序解析数据。在此状况中，我们探讨在AH合同下的数据解决分析思路。如上图所示，蓝色面积即为AH报文，其它内容和上述结论一致。上图为AH报文的构成方式。其中“下一种报头”为“01”。报体长度为“04”。预留是“0000”。安全参数索引SPI为“4738b3d3”。次序编号为“00000005”。剩余字段为身份验证数据和填充数据。实验2防火墙实验设立防火墙的入站和出站规则，能够实现阻挡或者允许特定程序或者端口进行连接。在windows防火墙高级设立中能够完毕对应的设立。在该实验中，本机（A机）IP地址为10.20.66.128，同窗电脑（B机）IP为10.20.66.1332.1通过配备防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某台联网电脑访问设立防火墙电脑的限制，以及设立防火墙电脑对某台联网电脑访问限制，并且通过有关网络应用（例如Ping），测试防火墙的作用。在进行防火墙的有关设立之前，将A机尝试pingB机，成果如图。可见，在进行防火墙出入站规则修改之前，两者能够联通。下面，进行防火墙出站规则的修改，大致的设立环节整顿以下：（1）点击“出站规则”->“新建规则”->“自定义”（2）点击“作用域”，在远程IP地址中添加目的IP（），再拟定。（3）点击“操作”，选择“制止连接”选项。（4）最后修改名称为“制止连接”，点击完毕。（5）配备完毕后，在出站规则列表中的视图以下:（6）最后启动防火墙最后在本机对B机进行PING操作，成果以下：可见，此时A机无法连接上B机。另外，在B机上PingA机时，在B机上有以下成果：发现，此时B机能够访问A机，综合上两图，该成果符合实验预期。接下来能够设立防火墙对于某类应用的限制。例如说将PING.exe设立静止访问，那么应当可以回绝PING语句的作用。例如说以下图配备，将system32文献夹下面的PING.EXE设立为制止连接。2.2通过配备防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某类应用（例如基于ICMPv4的Ping）访问设立防火墙电脑的限制，以及设立防火墙电脑对某类应用（例如基于ICMPv4的Ping）访问限制，并且通过对该应用的使用，测试防火墙的作用。在这部分实验中，我们尝试将PING.exe设立静止访问，即能够回绝PING语句的作用。按照类似实验2.1的配备，将system32文献夹下面的PING.EXE设立为制止连接。配备成功后的截图以下：再在操作中选择“制止连接”选项，点击完毕即可。理论上操作至此已经满足规定，但实际操作却发现ping操作仍可用。这是由于ping操作是系统层面上的应用，不能仅仅通过禁用某个可执行程序就能将它禁用，要达成效果，需要禁用ICMP合同。于是我们进行了以下操作（在出站设立当中禁用了这里的ICMP的IPv4当中的合同）：此时，再进行ping操作发现A、B两机无法互相访问，操作成果如图：2.3配备和验证自己认为含有实际应用价值的个人电脑防火墙规则，并且测试该防火墙的作用。我们能够在出站规则中禁用有个IP，以严禁访问某些已知的带有诈骗、木马链接的有害网站网站，此处我们以严禁访问IP地址210.59.228.209为例。具体的设立环节与实验2.1类似，成果测试以下：可见，符合设计预期。2.4罗列以上防火墙配备对应的访问控制列表。表1实验2.1访问控制列表动作源IP地址源端标语目的IP地址目的端标语阐明严禁**10.20.66.133*制止B机访问允许*****表2实验2.2访问控制列表动作源IP地址源端标语目的IP地址目的端标语阐明严禁10.20.66.133**1严禁ICMP合同允许*****表3实验2.3访问控制列表动作源IP地址源端标语目的IP地址目的端标语阐明严禁10.20.66.133*210.59.228.209*严禁访问某网站允许******思考题：(1)安全IP技术涉及哪些？答：涉及安全合同、安全关联、密钥管理、身份验证算法与加密算法。(2)惯用的IP报文身份验证算法有哪些？安全性如何？答：IP报文的身份验证算法MD5、SHA-1、HMAC与数字签名等等。SHA-1比MD5更为安全，如果私钥不丢失的话，数字签名最为保险。(3)惯用的IP报文加密算法有哪些？安全性如何？答：报文加密算法有DES、TDES以及RC4算法。TDES的安全性显然高于DES，均强于RC4算法，但是RC4算法使用较简朴。实验报告四、实验小结（涉及问题和解决办法、心得体会、意见与建议等）通过这几次实验，初步掌握了Wireshark软件的使用，理解了基于安全IP的安全数据传送办法。同时学会在电脑上配备防火墙的入站规则与出站规则，对防火墙的功效有了更加直观进一步的理解。实验中，通过分析报文、设立防火墙出入规则，将理论知识应用于实践过程中，不仅增强了对课本理论知识的理解能力，更增强了动手能力，为后来的进一步学习打下了坚实的基础。理论和实际的结合让我们学到了许多课堂讲义学不到的东西，进一步学会了网络安全知识的概念，初步掌握