資源描述:
《實驗2_IPSec—IP安全協議》由會員上傳分享,免費在線閱讀����,更多相關內容在工程資料-天天文庫。
1�、實驗2IPSec—IP安全協議伴隨著密碼學的發(fā)展,數字簽名技術也得以實現����,利用數字簽名技術可以保證信息傳輸過程中的數據完整性以及提供對信息發(fā)送者身份的認證和不可抵賴性。一��、實驗目的1.了解IPSec主要協議2.理解IPSecI作原理3.Windows環(huán)境下能夠利用IPSec在兩臺主機間建立安全隧道二�、實驗環(huán)境Windows,交換網絡結構,每組2人��,密碼工具��,網絡協議分析器三��、實驗原理IPSec工作原理IPSec包含4類組件:(1)TPSec進程本身:驗證頭協議(AH)或封裝安全載荷協議(ESP)����;(2)Internet密鑰交換協議(T
2、KE,InternetKeyExchange):進行安全參數協商;(3)SADB(SADatabase):用于存儲安全關聯(SA,SecurityAssociation)等安全相關參數�����;(4)SPD(SecurityPolicyDatabase,安全策略數據庫):用于存儲安全策略�。TPSec的工作原理類似于包過濾防火墻。TPSec是通過查詢安全策略數據庫SPD來決定接收到的IP包的處理���,但不同于包過濾防火墻的是��,TPSec対IP數據包的處理方法除了丟棄�、直接轉發(fā)(繞過TPSec)外,還冇進行TPSec的處理�����。進行TPSec處理意味著對
3���、TP數據包進行加密和認證����,保證了在外部網絡傳輸的數據包的機密性����、真實性、完整性���,使通過Internet進行安全的通信成為可能����。在TETF的標準化下��,TPSec的處理流程受到了規(guī)范����。1.IPSec流出處理如圖2-1,在流出處理過程中���,傳輸層的數據包流進IP層,然后按如下步驟執(zhí)行:圖2-1TPSec流出處理流程(1)查找合適的安全策略�����。從TP包中提収岀“選擇符”來檢索SPD,找到該IP包所対應的流出策略��,之后用此策略決定對?該IP包如何處理:繞過安全服務以普通方式傳輸此包或應用安全服務��。(2)查找合適的SA�����。根據策略提供的信息���,在安全關聯
4、數據庫中查找為該IP包所應該應用的安全關聯SA���。如果此SA尚未建立���,則會調用IKE,將這個SA建立起來��。此SA決定了使用何種基木I辦議(AH或ESP),采用哪種模式(隧道模式或傳輸模式)�����,以及確定了加密算法���,驗證算法,密鑰等處理參數����。(3)根據SA進行具體處理。根據SA的內容����,対TP包的處理將會有兒種情況:使用隧道模式下的RSP或All協議,或者使用傳輸模式下的ESP或All協議���。1.IPSec流入處理如圖2-2,在流入處理過程中�,數據包的處理按如下步驟執(zhí)行:圖2-2TPSec流入處理流程(1)IP包類型判斷:如果1P包小不包含IPS
5�、ec頭,將該包傳遞給下一層����;如果IP包中包含IPSec頭��,會進入下面的處理����。(2)查找合適的SA:從IPSec頭中摘出SPI,從外部IP頭中摘出目的地址和IPSec協議,然后利用<SPI,目的地址,協議〉在SAD中搜索SPI���。如果SA搜索失敗就丟棄該包����。如果找到對應SA,則轉入以下處理�。(3)具體的IPSec處理:根據找到的SA對數據包執(zhí)行驗證或解密進行具體的IPSec處理�����。(4)策略杏詢:根據選擇符杳詢SPD,根據此策略檢驗TPSec處理的應用是否正確���。最后���,將IPSec頭剝離下來,并將包傳遞到下一層���,根據采用的模式的不同����,下一層或
6、者是傳輸層��,或者是網絡層�。四、實驗步驟本練習主機A���、B為一組�,C����、D為一組,E�、F為一組。下面以主機A���、B為例���,說明實驗步驟。IPsec虛擬專用網絡的設置1.進入IPsec配置界面(1)主機A��、B通過“開始”丨“程序”「管理工具”丨“木地安全策略”打開IPScc相關配置界面,如圖2-3所示����。(2)在默認情況下IPsec的安全策略處于沒有啟動狀態(tài),必須進行指定�����,IPsec才能發(fā)揮作用�。IPsec包含以下3個默認策略,如圖2-3所示����。石本地安全設舌文件⑹I*作(A)少安全設置回悴戶策ig囹本他策略
7、*
8���、_1公啊幣略w□軟件限制策陽名稱「卷
9、述策略已指潦戲展務器(諧求安全)對所有Pil訊怎是使用K...否觀容尸£*(僅G應)正第11訊4安全的).?...否射安全嚴務88(需更安全)對修有Ail訊0是便用比??否圖2-3本地安全設置?安全服務器:對所有TP通訊總是使用Kerberos信任請求安全����。不允許與不被信任的客戶端的不安全通訊。這個策略用于必須采用安全通道進行通信的計算機����。?客戶端:正常通信,默認情況下不使用TPSeco如果通信對方請求TPSec安全通信,則可以建立TPSec虛擬專用隧道。只有與服務器的請求協議和端口通信是安全的����。?服務器:默認情況下,對所冇TP通信總
10���、是使用Kerberos信任請求安全���。允許與不響應請求的客戶端的不安全通信。(3)以上策略可以在單臺計算:機上進行指派���,也可以在組策略上批量指派�,為了達到通過I辦商后雙方可以通信的冃的�����,通信雙方都需要設置同樣的策略并加以指
