度南京邮电大学信息安全技术实验报告.docx

1、度南京邮电大学信息安全技术实验报告实 验 报 告（1 5 / 1 6 学年 第 一 学期）课程名称信息安全技术实验名称防火墙和安全IP实验实验时间1 5年10月21/22/29日指导单位计算机学院/软件学院指导教师沈苏彬、王光辉学生姓名班级学号学院(系)专 业实 验 报 告实验名称防火墙和安全IP实验指导教师沈苏彬、王光辉实验类型上机实验学时8实验时间2015-10-21/22/29一、 实验目的和要求（1）理解防火墙技术和安全IP技术的原理（2）掌握个人电脑的防火墙、安全IP的配置方法。（3）完成防火墙的配置和测试、安全IP的配置和测试、以及基于报文嗅探软件的测试。要求独立完成实验方案的设计

2、、配置和测试；要求独立完成实验报告的编写。 二、实验环境(实验设备)硬件：微机软件：嗅探软件Wireshark，Windows系统三、实验原理及内容实验1：安全IP实验。两个同学为一组进行试验；如果没有找到合作进行实验的同学，并且存在多余的实验电脑，则可以一位同学通过两台电脑完成实验。1.1实验和测试在没有安全IP保护的网络环境下的网络安全危险：实验和测试在没有安全保护的情况下，通过嗅探报文可以看到在同一个网段内传送的所有IP报文以及这些IP报文包括的内容，例如可以通过Ping另一台电脑，通过嗅探软件，测试是否能够分析出Ping报文。1.2配置和测试安全IP：在两台电脑上配置安全IP策略，选择

3、安全关联建立的方法（例如：采用基于共享密钥的安全关联建立方式），通过嗅探软件，观察和分析安全IP的安全关联建立过程，以及嗅探软件可以窥探到安全IP报文的哪些内容。1.3 通过嗅探软件，对照安全IP的原理，观察和分析安全IP的特性，例如观察安全IP的面向连接特性等。实验2：防火墙实验。两个同学为一组进行试验；如果没有找到合作进行实验的同学，并且存在多余的实验电脑，则可以一位同学通过两台电脑完成实验。2.1通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某台联网电脑访问设置防火墙电脑的限制，以及设置防火墙电脑对某台联网电脑访问限制，并且通过相关网络应用（例如Ping），测试防火墙的

4、作用。2.2通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某类应用（例如基于ICMPv4的Ping）访问设置防火墙电脑的限制，以及设置防火墙电脑对某类应用（例如基于ICMPv4的Ping）访问限制，并且通过对该应用的使用，测试防火墙的作用。2.3 配置和验证自己认为具有实际应用价值的个人电脑防火墙规则，并且测试该防火墙的作用。2.4 罗列以上防火墙配置对应的访问控制列表。实 验 报 告四、实验过程实验一：安全IP实验。在这个实验当中，我（10.20.79.194）是和我们班另一位同学（10.20.79.191）进行合作的。 (4.1)在还未配置防火墙以及安全IP设置时，使用计

5、算机cmd（命令提示行）当中的ping指令可以测试A与B之间的连通性。 由此可见，连通是没有异常的。因此，可以向下进行实验内容。 (4.2)打开Wireshark软件，通过这个软件抓取ping报文并进行分析。 Ping作为ICMP的一种，是用来检查网络是否通畅或者网络连接速度的命令。Ping也有其固定的格式。报文长度（98bytes）= 以太网头（14bytes）+ IP头（20bytes）+ICMP头（8bytes）+ ICMP数据内容（56字节）。此处研究的是报文前面的内容。 在数据包当中能解析到的有价值的信息是dst以及src，分别是接送方以及发送方的IP地址。再往前的以太网头里面，也涵

6、盖着双方的MAC地址。红色框体部分是报文内容，未加密时就是明文的字母表。这样对于个人隐私是很不利的。于是我们应该尝试通过安全IP的配置来尽可能保护住自己的隐私。接下来，使用安全配置进行尝试。 (4.3)将我的计算机（命名为A机，IP地址为10.20.79.194）配置本地安全策略。同学的计算机上面（B机，IP为10.20.79.191）配置保持不变。 10.20.79.191（B机-未设置）无法ping到10.20.79.194（A机-IPsec）。在这种情况下，Wireshark上面无法抓取到ICMP类型的报文。通过A机也无法ping到B机，cmd显示如下：可以认为，当A配置了安全IP之后，

7、B以及其它未配置安全IP的电脑就无法通过原来的默认方式连接到A机。而A机ping到其它电脑使用的是自己的安全IP配置。于是可以认为，配置了安全IP之后，在一定程度上可以防止自己的电脑被攻破。但是访问没有配置安全IP的电脑还需要用未配置安全IP的协议，这样才不会出现访问不到之类的错误。(4.4)调试B机和A机同样的设置，于是两台计算机可以互相ping到对方。当A、B两台计算机都指派相同策略后，这里显示的是从A机ping到B机的cmd显示以及Wireshark软件抓取的数据包。这里可以分析ESP协议下的报文内含信息。封装好发送出去的报文是这样的： 然而，分析过后可以得到的是ESP当中报文内容为（7

8、e 29 66 cf），这样的意思是不甚明了的。在Wireshark当中需要在设置当中配置ESP。这样就可以解析被加密的ESP包了。 ICMP结构的标准格式如下：于是根据ESP报文格式，对数据进行分析与安全参数索引SPI。（按照链路层报头（默认14字节）网络层报头（本实验中为20字节）ESP报头的顺序解析数据。） 于是可以知道，（7e 29 66 cf）是SPI。它是通过SA中的参数在第一次建立VPN通道的时候协商出来的，单向的。后续的流量，通过这个SPI发送给对方的时候，对方只需要查看SADB数据库中的SPI来匹配这个，然后通过这个SPI下的加密参数和策略来进行解密。之后的报文通过这个SPI

9、可以推测出来。ESP协议是将需要保护的IP报文或者是IP报文传递的报体封装在自己的“报体数据”当中。传送模式下，ESP是对报文当中的TCP、数据以及ESP报尾进行加密的。(4.5)将A、B两机都修改“ICMP安全通信策略”，用AH为身份进行验证而不用加密传输数据。安全方法选择MD5。这时候依然是可以进行ping操作。在Wireshark抓包后得出的结果如下图所示：图中阴影部分即为AH报文。AH报文的结构如图所示：于是分析可以知道，这个地方的“下一个头”的意思是在传输模式下AH保护传输层的包，值可能是6（TCP）、17（UDP）或50（ESP），隧道模式下的值为4。AH的协议编号是51，AH报文

10、是插在IP报头与IP报体之间的。AH在传送模式和隧道模式下，报文的位置会有所不同。作为IPsec的其中一个协议，AH报文使用HMAC-MD5或是HMAC-SHA1（此处用的是MD5）算法共享密钥，从而产生相同的验证数据。AH不对报文进行加密，而主要是进行身份的验证，包括尽可能多的IP报头的内容，以及IP报文携带的数据。所以说报文当中可以看到用明文传递的数据。实验2：防火墙实验。 我使用的电脑的IP地址为10.20.66.128（A机），同学计算机的IP地址为10.20.66.133（B机）。配置计算机的入站规则以及出站规则，可以在一定程度上阻止某些应用接入网络，或是将某个端口禁用以让整个系统更

11、为安全。(5.1) 在这里，先进行出站规则的配置。出站规则即自己访问外网的规则。可以详细配置到某个应用，某个或某些端口以及某部分IP地址。比如说，如果设置对于某个IP地址禁止一切访问，那么就应该会出现如下图所示的情景：此时配置如图：这样配置的简略的访问控制列表可以画出来：动作源IP地址源端口号目的IP地址目的端口号说明禁止*10.20.66.133*禁止访问允许*默认设置而当我禁用这条规则后，两台计算机是可以联通的：但是，在我开启了对于B机的禁止访问的规则后，我依然是能够对它进行访问。然后仔细检查自己的相关的设置之后发现，自己计算机上面的防火墙并没有开启，所以那些设置是有配置，但是并未生效的。

12、在启用防火墙之后，我再次尝试对B机使用ping命令，结果就如同之前预料的那样，配置是有效的。而且，B机对A机在整个过程当中都是可以访问的。动作源IP地址源端口号目的IP地址目的端口号说明禁止*10.20.66.133*禁止访问允许*默认设置(5.2)接下来可以设置防火墙对于某类应用的限制。比如说将PING.exe设置静止访问，那么应该可以拒绝PING语句的作用。比如说如下图配置，将system32文件夹下面的PING.EXE设置为阻止连接。按理来说，这样禁用ping.exe联网的话，就会无法ping到各个电脑。但是，在实际当中，我发现即使这样设置，依然是能够ping到其它的电脑。经过查询后发现

13、，是因为ping操作是系统层面上的应用，不能仅仅通过禁用某个可执行程序就能将它禁用。如果要达到效果，需要禁用ICMP协议。于是，我们做了如下设置：在出站设置当中禁用了这里的ICMP的IPv4当中的协议，所以是能够达到要求的。比方说现在A、B两机是无法相互访问的。然而，对于ping指令本身也是如此。比如说如果我来ping一个回环（127.0.0.1），我是无法联通的。因此ping命令是基于ICMP协议的。动作源IP地址源端口号目的IP地址目的端口号说明禁止*17*禁止ICMP协议echo允许*默认设置(5.3)设置入站规则是防止有恶意IP通过某个接口进行访问，设置出站规则就是防止访问到某些恶意I

14、P地址。比方说对自己对于某个IP设置禁止的出站规则，防止访问某些不健康的网站，那么就可以使用禁止访问某个IP地址（这里是210.59.228.209）来完成。结果如下：满足当初的要求。附访问控制列表：动作源IP地址源端口号目的IP地址目的端口号说明禁止*210.59.228.209*禁止访问允许*默认设置* 思考题(1) 安全IP技术包括哪些？答：包括安全协议、安全关联、密钥管理、身份验证算法与加密算法。(2) 常用的IP报文身份验证算法有哪些？安全性如何？答：IP报文的身份验证算法MD5、SHA-1、HMAC与数字签名等等。一般来说，对于一般使用的话，都是可行的，但是如果要求更高，SHA-1

15、比MD5更为安全，如果私钥不丢失的话，数字签名最为保险。(3) 常用的IP报文加密算法有哪些？安全性如何？答：报文加密算法有DES和3DES。3DES的安全性显然高于DES，但是两者都是可以被破解的加密算法。实 验 报 告四、实验小结（包括问题和解决方法、心得体会、意见与建议等）通过这三次的实验，我们熟练掌握了Wireshark软件的使用，懂得了如何去配置防火墙当中的入站规则与出站规则。我也在实验的过程中遇到了不少问题并积极地寻找解决的方式。实验课这种理论结合实际的做法让我明白了许多单靠课堂讲义学不到的东西，进一步学会了网络安全知识的概念，初步掌握了各项协议与算法的原理与结构，为我在计算机安全

16、方面增加了一分经验与能力。对于这个日新月异的世界，积累实际经验是相当重要的一件事情。沈老师讲课方法易于接受，我很感谢老师能为我们将艰深晦涩的算法、协议用图表形式变得便于理解。希望老师能够保持下去。在改进方面，网络安全总复习的PPT当中第59页，阐述RSA当中的几个数的关系的时候，沈老师使用的公式不是很容易能让人理解。如果把(3)的阐述替换成e*d与(p-1)*(q-1)互质，这样的话能更容易理解。另外，PPT和文档里面，都将Cookies翻译成了甜点。虽然能够理解这个是什么意思，但是还是希望老师能够按照一般的习惯来称呼这些暂存在本地终端上面的数据为Cookie(s)。可能老师您会觉得我有点吹毛求疵，不过我确实是希望老师您能够将信息安全这门课能教得更好。最后，再次感谢老师为我们精心准备的讲义与PPT，还有培养我们实践精神的实验课！五、指导教师评语 成 绩批阅人日 期