信息安全实验报告文档格式.docx

1、一、 实验目的和要求（1）理解防火墙技术和安全IP技术的原理（2）掌握个人电脑的防火墙、安全IP的配置方法。（3）完成防火墙的配置和测试、安全IP的配置和测试、以及基于报文嗅探软件的测试。要求独立完成实验方案的设计、配置和测试；要求独立完成实验报告的编写。 二、实验环境（实验设备）硬件：微机软件：嗅探软件Wireshark，Windows系统三、实验原理及内容实验1：安全IP实验。两个同学为一组进行试验；如果没有找到合作进行实验的同学，并且存在多余的实验电脑，则可以一位同学通过两台电脑完成实验。1.1实验和测试在没有安全IP保护的网络环境下的网络安全危险：实验和测试在没有安全保护的情况下，通过

2、嗅探报文可以看到在同一个网段内传送的所有IP报文以及这些IP报文包括的内容，例如可以通过Ping另一台电脑，通过嗅探软件，测试是否能够分析出Ping报文。1.2配置和测试安全IP：在两台电脑上配置安全IP策略，选择安全关联建立的方法（例如：采用基于共享密钥的安全关联建立方式），通过嗅探软件，观察和分析安全IP的安全关联建立过程，以及嗅探软件可以窥探到安全IP报文的哪些内容。1.3 通过嗅探软件，对照安全IP的原理，观察和分析安全IP的特性，例如观察安全IP的面向连接特性等。实验2：防火墙实验。2.1通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某台联网电脑访问设置防火墙电脑的

3、限制，以及设置防火墙电脑对某台联网电脑访问限制，并且通过相关网络应用（例如Ping），测试防火墙的作用。2.2通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某类应用（例如基于ICMPv4的Ping）访问设置防火墙电脑的限制，以及设置防火墙电脑对某类应用（例如基于ICMPv4的Ping）访问限制，并且通过对该应用的使用，测试防火墙的作用。2.3 配置和验证自己认为具有实际应用价值的个人电脑防火墙规则，并且测试该防火墙的作用。2.4 罗列以上防火墙配置对应的访问控制列表。实验1 安全IP实验1. 安全IP的配置步骤（1） 从系统控制面板出发，打开系统与安全功能，打开管理工具选项，

4、找到本地安全策略。（2） 点开本地安全策略，找到本地电脑IP策略。新建IP安全策略，描述中填写“IPSec学习练习”，点击下一步，进入配 （3）创建IP安全规则，点击增加，进入IP安全规则创建过程；选择“此规则不指定隧道”，即选用传输模式IPSec，选中后单击“下一步”按钮；选择“所有网络连接”，单击“下一步”按钮，进入配置IP过滤器列表阶段。（4）IP过滤器列表配置。点击新增按钮，新建IP过滤器列表，进行过滤器列表配置；点击新增，进行IP过滤器配置，点击下一步；描述内容“与同组主机进行安全的icmp通信”；源地址选择“我的IP地址”；目的地址选择“一个特定的IP地址”，填写另一台主机的IP地

5、址，；选择“ICMP”协议类型，单击“下一步”按钮。单击“完成”按钮，完成IP过滤器配置。（5）过滤器行为配置。根据上图所示，选择新增的过滤器列表，点击下一步，进入过滤器行为配置阶段。点击新增，进行过滤器行为配置。行为命名为“安全的ICMP通信”；“筛选器操作常规选项”中选中“协商安全”，单击“下一步”按钮；选中“不与不支持IPSec的计算机通信”，单击“下一步”按钮；在“IP通信安全措施”中，选择“完整性和加密”，单击“下一步”按钮；最后单击“完成”；（6）“身份验证方法”界面。选中“使用此字符串保护密钥交换（预共享密钥）”，填写共享密钥“lin”（主机A、主机B的共享密钥必须一致），单击“

6、下一步”按钮，直至最终完成。（注意：应用策略之前必须指派策略，否则策略不会自动生效。右键点击“IP安全策略”，选择“指派assign”使策略生效。）（7）完成IPSec配置。2.测试结果与分析使用wireshark抓去ping的数据包的报文通常有其固定的格式：报文长度（98bytes）=以太网头（14bytes）+IP头（20bytes）+ICMP报文（64bytes）其中，以太网头（14bytes）=目的MAC（6bytes）+源MAC（6bytes）+以太网类型0800（2bytes）我们以（a）策略为例进行分析：（a）主机A不指派策略，主机B不指派策略。主机A在“cmd”控制台中，输入如

7、下命令：ping 主机B的IP。ping操作反馈信息与报文嗅探软件给出的结果：由ping的结果可以看出两台主机连接通道良好，没有丢包现象，可以进行后续分析。如上图报文结果所示。其中：以太网头为：eca86ba8cce8eca86ba8ce390800IP头：4500003c11a10000800100000a144fc10a144fc0IMCP报文：08004d5a000100016162636465666768696a6b6c6d6e6f7071727374757677616263646566676869按照相同的分析方法，我们可以一次分析以下几种情况：（b）主机A指派策略，主机B不指派策略

8、。ping 主机B的IP在A指派，B不指派的情况下，我们可以发现在ping的结果中发送的报文为4，接受为0。在wireshark的报文接收界面中，按照上述分析，A主机无法ping到B主机。上述报文中恰巧反映这点。（c）主机A指派策略，主机B指派策略。 在A主机和B主机都指派的情况下，A主机成功发送和接受了数据包，因此连接稳定无问题。再次基础上我们对接受的数据包进行分析。、ESP（Encapsulating Security Payload）协议分析分析析源地址为主机A的IP、目的地址为主机B的IP的数据包信息；根据ESP报文格式，对数据进行分析与安全参数索引SPI。（按照链路层报头（默认14字

9、节）网络层报头（本实验中为20字节）ESP报头的顺序解析数据。在该ESP协议下的报文中，安全参数索引SPI为4个字节，即“bb 15 74 d9”。通过这个SPI发送给对方的时候，对方只需要查看SADB数据库中的SPI来匹配，然后通过该SPI下的加密参数和策略来进行解密。、AH（Authentication Header）协议分析主机A、B同时进行如下操作，修改“ICMP安全通信策略”，利用AH协议对数据源进行身份验证，而不对传输数据进行加密处理，选择MD5，点击确定。主机A对主机B进行ping操作，待操作完成，协议分析器停止捕获数据包。切换至“协议解析视图”，观察十六过制显示区数据，按照链路

10、层报头（默认14字节）网络层报头（本实验中为20字节）AH报头的顺序解析数据。 在此情况中，我们探讨在AH协议下的数据处理分析思路。如上图所示，蓝色面积即为AH报文，其他内容和上述结论一致。上图为AH报文的构成方式。其中“下一个报头”为“01”。报体长度为 “04”。预留是“00 00”。安全参数索引SPI为 “47 38 b3 d3”。顺序编号为 “00 00 00 05”。剩下字段为身份验证数据和填充数据。实验2 防火墙实验设置防火墙的入站和出站规则，可以实现阻挡或者允许特定程序或者端口进行连接。在windows防火墙高级设置中可以完成相应的设置。在该实验中，本机（A机）IP地址为10.2

11、0.66.128，同学电脑（B机）IP为10.20.66.1332.1 通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某台联网电脑访问设置防火墙电脑的限制，以及设置防火墙电脑对某台联网电脑访问限制，并且通过相关网络应用（例如Ping），测试防火墙的作用。在进行防火墙的相关设置之前，将A机尝试ping B机，结果如图。可见，在进行防火墙出入站规则修改之前，两者可以联通。下面，进行防火墙出站规则的修改，大致的设置步骤整理如下：（1）点击“出站规则”-“新建规则”-“自定义”（2）点击“作用域”，在远程IP地址中添加目标IP（ ），再确定。（3）点击“操作”，选择“阻止连接”选项。

12、（4）最后修改名称为“阻止连接”，点击完成。（5）配置完成后，在出站规则列表中的视图如下:（6）最后开启防火墙最后在本机对B机进行PING操作，结果如下：可见，此时A机无法连接上B机。另外，在B机上Ping A机时，在B机上有如下结果：发现，此时B机可以访问A机，综合上两图，该结果符合实验预期。接下来可以设置防火墙对于某类应用的限制。比如说将PING.exe设置静止访问，那么应该可 以拒绝PING语句的作用。比如说如下图配置，将system32文件夹下面的PING.EXE设置为阻止连接。2.2 通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某类应用（例如基于ICMPv4的Pi

13、ng）访问设置防火墙电脑的限制，以及设置防火墙电脑对某类应用（例如基于ICMPv4的Ping）访问限制，并且通过对该应用的使用，测试防火墙的作用。在这部分实验中，我们尝试将PING.exe设置静止访问，即可以拒绝PING语句的作用。按照类似实验2.1的配置，将system32文件夹下面的PING.EXE设置为阻止连接。配置成功后的截图如下：再在操作中选择“阻止连接”选项，点击完成即可。理论上操作至此已经满足要求，但实际操作却发现ping操作仍可用。这是由于ping操作是系统层面上的应用，不能仅仅通过禁用某个可执行程序就能将它禁用，要达到效果，需要禁用ICMP协议。于是我们进行了如下操作（在出站

14、设置当中禁用了这里的ICMP的IPv4当中的协议）：此时，再进行ping操作发现A、B两机无法互相访问，操作结果如图：我们可以在出站规则中禁用有个IP，以禁止访问某些已知的带有诈骗、木马链接的有害网站网站，此处我们以禁止访问IP地址210.59.228.209为例。 具体的设置步骤与实验2.1类似，结果测试如下：可见，符合设计预期。2.4罗列以上防火墙配置对应的访问控制列表。表1 实验2.1访问控制列表动作源IP地址源端口号目的IP地址目的端口号说明禁止*10.20.66.133阻止B机访问允许表2 实验2.2访问控制列表1禁止ICMP协议表3 实验2.3访问控制列表210.59.228.20

15、9禁止访问某网站*思考题：（1） 安全IP技术包括哪些？答：包括安全协议、安全关联、密钥管理、身份验证算法与加密算法。（2） 常用的IP报文身份验证算法有哪些？安全性如何？IP报文的身份验证算法MD5、SHA-1、HMAC与数字签名等等。SHA-1比MD5更为安全， 如果私钥不丢失的话，数字签名最为保险。（3） 常用的IP报文加密算法有哪些？报文加密算法有DES、TDES以及RC4算法。TDES的安全性显然高于DES，均强于RC4算法，但是RC4算法使用较简单。四、实验小结（包括问题和解决方法、心得体会、意见与建议等）通过这几次实验，初步掌握了Wireshark软件的使用，了解了基于安全IP的安全数据传送方法。同时学会在电脑上配置防火墙的入站规则与出站规则，对防火墙的功能有了更加直观深入的理解。实验中，通过分析报文、设置防火墙出入规则，将理论知识应用于实践过程中，不仅增强了对课本理论知识的理解能力，更增强了动手能力，为以后的进一步学习打下了坚实的基础。理论和实际的结合让我们学到了许多课堂讲义学不到的东西，进一步学会了网络安全知识的概念，初步掌握了各项协议与算法的原理与结构，提升了我们在网络安全方面的能力。希望以后的课程可以有更多的实验课，加深对课程的理解，锻炼实践能力。五、指导教师评语成 绩批阅人日 期