自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
3、公钥证书的产生过程
1、用户A利用算法产生私钥SKA和公钥PKA 2、将公钥PKA传给证书管理机构(CA)
3、CA用自己的私钥SKCA签字后就形成了A的公钥证书(记做CA),其中CA =ESKCA[T || IDA || PKA]
四、实训内容
在运行Windows 2000的ddd主机上安装和配置证书服务,并进行CA 证书的生成、安装和撤销等管理:在ccc和ddd主机上申请一个IPSee证书,并配置和使用IPSee进行这两个主机之间的通信。配置和使用IPSee进行主机的安全通信,ccc主机的IP为100.100.109.235/24;ddd主机的IP为100.100.108.235/24;连接两个子网的网关网络接口IP分别为100.100.109.254和100.100.108.254。
1、 在ddd主机上安装证书服务并配置成CA
(1) 以administrator身份登录到ddd主机上,单击【开始】|【设置】|【控制面板】|【添加/
删除程序】,选中【证书服务】复选框,出现提示消息,单击【确认】按钮。
(2) 在出现的Windows组件中,可看到证书服务的组件,单击【确认】按钮。 (3) 出现证书类型属性页,在此选择独立的CA单选按钮,单击【下一步】按钮。 (4) 选中【高级】复选框,单击【下一步】按钮。 (5) 出现公钥和私钥对,可看到许多CSPS,可设置密钥长度或使用安装在计算机上的现存密码、导入密码和查看证书。选中1.0,在【散列算法】列表框中选择SHA-1,在【密钥长度】下拉列表中选择【默认】,单击【下一步】按钮。
(6) 出现CA标识信息页面,输入CA的相关信息,单击【下一步】按钮。
(7) 出现数据存储位置页面,在此可以看到包含证书数据库及日志文件内容的文件夹存储在引导分区。若引导分区的容量有限,则需另外指定存放位置。单击【下一步】按钮。
(8) 出现微软证书服务消息框,指出IIS正在运行,并警告若要继续操作,就必须停止IIS,单击【下一步】按钮。
(9) 在进行软件安装及配置时出现配置组件提示,单击【确定】按钮,关闭【控制面板】。 2、在ddd主机上进行证书的生成、安装和撤销
(1) 在【管理工具】中的【证书服务】中,运行【申请证书】文件夹。
(2) 利用【开始】|【运行】命令,打开【运行】对话框,输入http://ddd/certsrv,然后单击【确定】按钮。
(3) 出现【Internet 连接向导】,单击【下一步】按钮。
(4) 出现【设置我的连接】,单击【通过LAN连接】单选按钮,单击【下一步】按钮。 (5) 出现【LAN配置】,清除【自动发现代理服务器】复选框,单击【下一步】按钮。 (6) 出现【设置你的电子邮件账号】,单击【否】单选按钮,单击【下一步】按钮。 (7) 出现 Internet Explorer并显示证书服务登记页面,单击【请求证书】单选按钮,单击【下一步】按钮。
(8) 出现选择请求类型页面,选择【证书请求】单选按钮,单击【下一步】按钮。 (9) 出现用户证书信息页面,单击【更多】选项,所选择的CSP,单击【提交】按钮。
(10) 出现证书使用页面,返回证书管理单元,会发现有一个证书列于详细资料窗口。若没有,按F5进行页面刷新。
(11) 双击详细资料窗口中的证书,出现【证书】对话框。
(12) 打开【详细】选项卡,单击【显示】下拉列表框顶部的信息,框的底部可以看到所输入的CA信息,单击【确定】按钮。
(13) 将证书服务管理单元最小化,返回资源管理器。单击超链接安装这个证书,显示成功安装证书信息,关闭资源管理器。
(14) 返回服务管理单元,选择【详细】资料窗口中的证书。
(15) 单击【激活】|【所有任务】|【撤销证书】,出现【撤销证书】对话框,选择【密钥】确认,然后单击【确定】按钮。
(16) 在控制台树中,单击【撤销证书】文件夹,在【详细】资料窗口中出现所撤销的证书。 (17) 单击【激活】|【所有任务】,然后单击【发布】按钮,在【证书撤销列表】对话框中显示原来的列表仍然有效,单击【确定】按钮。
(18) 关闭【证书管理单元】,单击【开始】|【运行】,输入到certsrv目录的URL,单击【确定】按钮。
(19) 出现IE并显示证书服务登记页,单击【从CA证书后证书撤销列表中获取】单选按钮,单击【确定】按钮。
(20) 单击超链接从最近的证书撤销列表中下载,出现【文件下载】对话框,单击【从当前位置打开文件夹】单选按钮,单击【确定】按钮。
(21) 出现【证书撤销】对话框,单击【撤销列表】选项卡,在【证书撤销】对话框中单击显示出的选项。在该选项显示的项目中:撤销证书的序列号、证书撤回日期和证书撤回原因,单击【确定】按钮。
3、创建IPSee策略
(1) 打开“IP安全策略管理”( 【开始】|【运行】,然后在文本框中输入“secpol.msc”。 (2) 右击【本地计算机上的IP安全策略】,然后单击【创建IP安全策略】,单击【下一步】,然后为策略输入一个名称,例如“my first ipsec”。
(3) 单击【激活默认响应规则】复选框,将其清除,然后单击【下一步】。 (4) 单击【完成】。
4、创建一个从ccc到ddd的筛选器列表
(1) 在新策略属性中,单击以清除【使用添加向导】复选框,然后单击【添加】以创建一个新的规则。
(2) 在【IP筛选器列表】选项卡上,单击【添加】。 (3) 为筛选器列表键入一个合适的名称,单击以清除【使用添加向导】复选框,然后单击【添加】。 (4) 在【源地址】区域,单击【一个特定的IP子网】,然后填写ccc主机的【IP地址】和【子网掩码】。
(5) 在【目标地址】区域,单击【一个特定的IP子网】,然后填写ddd主机的【IP地址】和【子网掩码】。
(6) 单击以清除【镜像】复选框。
(7) 在【协议】选项卡中,确保协议类型设置为【任何】。
(8) 如果希望为筛选器键入一个说明,请单击【说明】选项卡。一般来说,为筛选器取一个与筛选器列表相同的名称是一种好的做法。当隧道为活动状态时,筛选器名称显示在IPSee镜像中。 (9) 单击【确定】,然后单击【关闭】。 5、创建一个从ddd到ccc的筛选器列表
(1)在【IP筛选器列表】选项卡上,单击【添加】。 (2)为筛选器列表键入一个合适的名称,单击以清除【使用添加向导】复选框,然后单击【添加】。 (3)在【源地址】中,单击【一个特定的IP子网】,然后填写ddd主机的【IP地址】和【子网掩码】。
(4)在【目标地址】中,单击【一个特定的IP子网】,然后填写ccc主机的【IP地址】和【子网掩码】。
(5)单击以清除【镜像】。
(6)如果希望为筛选器键入一个说明,单击【说明】选项卡。
(7)单击【确定】,然后单击【关闭】。 6、为ccc到ddd隧道配置一个规则
(1)在【IP筛选器列表】选项卡中,单击创建的筛选器列表(从ccc到ddd)。 (2)在【隧道设置】选项卡中,单击【隧道终结点由此IP地址指定】框,然后输入“100.100.108.254”。 (3)在【连结类型】选项卡中,单击【所有网络连接】。
(4)在【筛选器操作】选项卡中,单击以清除【使用添加向导】复选框,然后单击【添加】以创建一个新的筛选器操作,因为默认操作允许明文形式地输入通信量。让【协商安全】选项保持为选中状态,单击以清除【接受不安全的通讯,但总是使用IPSee响应】复选框。只有这样做才能确保安全操作。
(5)单击【添加】,选中【高(ESP)】选项。
(6)单击【确定】,在【常规】选项卡中,为新的筛选器操作输入一个名称,然后单击【确定】。 (7)选择刚创建的筛选器操作。
(8)在【身份验证方法】选项卡中,配置希望的身份验证方法。 (9)单击【关闭】。
7、为ddd到ccc隧道配置一个规则
(1)在IPSee策略属性中,单击【添加】以创建一个新的规则。
(2)在【IP筛选器列表】选项喀中,单击创建的筛选器列表(从ddd到ccc)。 (3)在【隧道设置】选项卡中,单击【隧道终结点由此IP地址指定】框,然后输入“100.100.109.254”。 (4)在【连结类型】选项卡中,单击【所有网络连接】。 (5)在【筛选器操作】选项卡中,单击创建的筛选器操作。
(6)在【身份验证方法】选项卡中,配置在第一个规则中使用的同一方法。
(7)单击【关闭】,确保所创建的这两个规则在策略中都已启动,然后单击【关闭】。 8、实际测试
(1)在ccc上ping另一台计算机ddd。\\>ping ddd
(2)单击【开始】|【运行】,在出现的文本框中输入“ipsecmon”,单击【确定】按钮。
(3)单击【管理工具】|【网络监视器】,单击【捕获】|【网络】,然后单击【W2K外部接口】进行捕获。
(4)尝试ping该计算机。在建立IPSee隧道的过程中,第一部分ICMP回应数据包可能会超时。如果ping尝试不成功,请检查安全日志和系统日志。
(5)如果ping尝试成功,停止【网络监视器】捕获,并查看一下ICMP通信量是以明文形式发送的,还是只能看到ISAKMP和IPSec协议数据包。检查IP安全监视器,看是否已使用创建的ccc到ddd的筛选器创建了一个SA。另外还要检查安全日志,这时应当能够看到Event ID 541(IKE安全关联已建立)。
(6)在命令提示符下再次输入“ipconfig”,会看到在隧道使用期间没有其他TCP/IP接口,这是因为IPSec在实际保护着通过网关外部接口的通信量。
实训四 防火墙 三、实训目的
通过实训深入理解防火墙的功能和工作原理,熟悉天网防火墙个人版的配置和使用 四、实训原理
1、 防火墙的功能
防火墙由于处于网络边界的特殊位置,因而被设计集成了非常多的安全防护功能和网络连接管理功能。
1) 访问控制功能 2) 防止外部攻击功能 3) 地址转换功能
4) 日志与报警功能 5) 身份认证功能 2、 防火墙的工作原理
防火墙是一种访问控制技术,位于可信和不可信网络之间,通过设置一系列安全规则对两个网络之间的通信进行控制,检测交换信息,防止对重要信息资源的非法存取和访问,以达到保护系统的目的。
防火墙的实现技术 1) 过滤技术 2)应用代理技术 3)状态检测技术
3、 天网防火墙个人版简介
天网防火墙个人版Sky Net FireWall(以下将会简称为天网防火墙)是由天网安全实验室研发制作给个人计算机使用的网络安全程序工具。
天网防火墙是国内外针对个人用户最好的中文软件防火墙之一,在目前Internet网际网络受攻击案件数量直线上升的情况下,您随时都可能遭到各种恶意攻击,这些恶意攻击可能导致的后果是您的上网账号被窃取、冒用、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密档案丢失、隐私曝光等等,甚至黑客(Hacker)或刽客(Cracker)通过远程控制删除了您硬盘上所有的资料数据,整个计算机系统架构全面崩溃。为了抵御黑客(Hacker)或刽客(Cracker)的攻击,建议您在您的个人计算机上安装一套天网防火墙个人版系统,天网防火墙个人版会帮您拦截一些来历不明、有害敌意访问或攻击行为。
三、实验环境 1、 局域网
2、 天网防火墙软件
四、实训内容和步骤
任务一:天网防火墙个人版的安装 第一步,选择安装的路径,天网防火墙个人版预设的安装路径是C:\\Program Files\\SkyNet\\FireWall文件夹,但是您也可以通过单击右边的“浏览”按钮来自行设定安装的路径。
在设定好安装的路径后程序会提示您建立程序组快捷工具栏方式的位置,您只要选择“下一步”就可以了。
若您尚有不能确定所有程序尚未完全关闭,您也可以在安装过程中选择“取消”安装,您只要选择“退出”就可以了。
若继续安装的,下一步接着是一个复制档案的过程,在复制档案完成后系统会提示您必须重新激活计算机,安装完成的天网防火墙个人版程序才会生效。
程序复制完毕之后,安装程序会调出防火墙设置向导帮助用户合理的设置防火墙。用户可以跟着它一步一步设置好合适自己使用的防火墙规则。
最后,依提示重新启动计算机即可。 任务二 系统设置
在防火墙的控制面板中点击“系统设置”按钮 即可展开防火墙系统设置面板。
启动设置:选中开机后自动启动防火墙,天网个人版防火墙将在操作系统启动的时候自动启动,否则天网防火墙需要手工启动。
防火墙自定义规则重置:占击该按钮,防火墙将弹出窗口
如果确定,天网防火墙将会把防火墙的安全规则全部恢复为初始设置,你对安全规则的修改和加入
的规则将会全部被清除掉。
防火墙设置向导:为了便于用户合理的设置防火墙,天网防火墙个人版专门为用户设计了防火墙设置向导。用户可以跟随它一步一步完成天网防火墙的合理设置。
应用程序权限设置:勾选了该选项之后,所有的应用程序对网络的访问都默认为通行不拦截。这适合在某些特殊情况下,不需要对所有访问网络的应用程序都做审核的时候。(譬如在运行某些游戏程序的时候)
局域网地址:设置你在局域网内的地址。
日志保存:选中每次退出防火墙时自动保存日志,当你退出防火墙的保护时,天网防火墙将会把当日的日志记录自动保存到SkyNet/FireWall/log文件下,打开文件夹便可查看当日的日志记录。
任务三 安全级别设置
天网个人版防火墙的缺省安全级别分为低、中、高三个等级,默认的安全等级为中级,其中各等级的安全设置说明如下:
低:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网,允许局域网内部的机器访问自己提供的各种服务(文件、打印机共享服务)但禁止互联网上的机器访问这些服务。
中:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。
高:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口,系统会屏蔽掉向外部开放的所有端口。
任务四 IP规则设置 1、缺省IP规则介绍
IP规则是针对整个系统的网络层数据包监控而设置的。利用自定义IP规则,用户可针对个人不同的网络状态,设置自己的IP安全规则,使防御手段更周到、更实用。用户可以点击“自定义IP规则”键 或者在“安全级别”中点击 进入IP规则设置界面。
2、自定义IP规则
简单的说,规则是一系列的比较条件和一个对数据包的动作,就是根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。
关于规则编辑的说明:
点击“增加”按钮 或选择一条规则后按“修改”按钮,就会激活编辑窗口。 (1)首先输入规则的“名称”和“说明”,以便于查找和阅读。 (2)然后,选择该规则是对进入的数据包还是输出的数据包有效。
(3)“对方的IP地址”,用于确定选择数据包从那里来或是去哪里,这里有几点说明: “任何地址”是指数据包从任何地方来,都适合本规则, “局域网网络地址”是指数据包来自和发向局域网, “指定地址”是你可以自己输入一个地址,“指定的网络地址”是你可以自己输入一个网络和掩码。 (4)除了录入选择上面内容,还要录入该规则所对应的协议
(5)当一个数据包满足上面的条件时,你就可以对该数据包采取行动了: ‘通行’指让该数据包畅通无阻的进入或出去。 ‘拦截’指让该数据包无法进入你的机器 ‘继续下一规则’指不对该数据包作任何处理,由该规则的下一条同协议规则来决定对该包的处理。
网络安全实训指导书
