信息安全实验报告.docx

资源描述

信息安全实验报告.docx

《信息安全实验报告.docx》由会员分享，可在线阅读，更多相关《信息安全实验报告.docx（19页珍藏版）》请在冰点文库上搜索。

信息安全实验报告.docx

信息安全实验报告

实验报告

（２０1/２０1学年第学期）

课程名称

信息安全技术

实验名称

防火墙和安全IP实验

实验时间

年

月

日

指导单位

指导教师

实验报告

实验名称

防火墙和安全IP实验

指导教师

沈苏彬、王光辉

实验类型

上机

实验学时

实验时间

2015-10-21/22/29

一、实验目的和要求

（1）理解防火墙技术和安全IP技术的原理

（2）掌握个人电脑的防火墙、安全IP的配置方法。

（3）完成防火墙的配置和测试、安全IP的配置和测试、以及基于报文嗅探软件的测试。

要求独立完成实验方案的设计、配置和测试；要求独立完成实验报告的编写。

二、实验环境（实验设备）

硬件：

微机

软件：

嗅探软件Wireshark，Windows系统

三、实验原理及内容

实验1：

安全IP实验。

两个同学为一组进行试验；如果没有找到合作进行实验的同学，并且存在多余的实验电脑，则可以一位同学通过两台电脑完成实验。

1.1实验和测试在没有安全IP保护的网络环境下的网络安全危险：

实验和测试在没有安全保护的情况下，通过嗅探报文可以看到在同一个网段内传送的所有IP报文以及这些IP报文包括的内容，例如可以通过Ping另一台电脑，通过嗅探软件，测试是否能够分析出Ping报文。

1.2配置和测试安全IP：

在两台电脑上配置安全IP策略，选择安全关联建立的方法（例如：

采用基于共享密钥的安全关联建立方式），通过嗅探软件，观察和分析安全IP的安全关联建立过程，以及嗅探软件可以窥探到安全IP报文的哪些内容。

1.3通过嗅探软件，对照安全IP的原理，观察和分析安全IP的特性，例如观察安全IP的面向连接特性等。

实验2：

防火墙实验。

两个同学为一组进行试验；如果没有找到合作进行实验的同学，并且存在多余的实验电脑，则可以一位同学通过两台电脑完成实验。

2.1通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某台联网电脑访问设置防火墙电脑的限制，以及设置防火墙电脑对某台联网电脑访问限制，并且通过相关网络应用（例如Ping），测试防火墙的作用。

2.2通过配置防火墙的“入站规则”和“出站规则”，实现访问控制列表中对某类应用（例如基于ICMPv4的Ping）访问设置防火墙电脑的限制，以及设置防火墙电脑对某类应用（例如基于ICMPv4的Ping）访问限制，并且通过对该应用的使用，测试防火墙的作用。

2.3配置和验证自己认为具有实际应用价值的个人电脑防火墙规则，并且测试该防火墙的作用。

2.4罗列以上防火墙配置对应的访问控制列表。

实验报告

实验1安全IP实验

1.安全IP的配置步骤

（1）从系统控制面板出发，打开系统与安全功能，打开管理工具选项，找到本地安全策略。

（2）点开本地安全策略，找到本地电脑IP策略。

新建IP安全策略，描述中填写“IPSec学习练习”，点击下一步，进入配

（3）创建IP安全规则，点击增加，进入IP安全规则创建过程；选择“此规则不指定隧道”，即选用传输模式IPSec，选中后单击“下一步”按钮；选择“所有网络连接”，单击“下一步”按钮，进入配置IP过滤器列表阶段。

（4）IP过滤器列表配置。

点击新增按钮，新建IP过滤器列表，进行过滤器列表配置；点击新增，进行IP过滤器配置，点击下一步；描述内容“与同组主机进行安全的icmp通信”；源地址选择“我的IP地址”；目的地址选择“一个特定的IP地址”，填写另一台主机的IP地址，；选择“ICMP”协议类型，单击“下一步”按钮。

单击“完成”按钮，完成IP过滤器配置。

（5）过滤器行为配置。

根据上图所示，选择新增的过滤器列表，点击下一步，进入过滤器行为配置阶段。

点击新增，进行过滤器行为配置。

行为命名为“安全的ICMP通信”；“筛选器操作常规选项”中选中“协商安全”，单击“下一步”按钮；选中“不与不支持IPSec的计算机通信”，单击“下一步”按钮；在“IP通信安全措施”中，选择“完整性和加密”，单击“下一步”按钮；最后单击“完成”；

（6）“身份验证方法”界面。

选中“使用此字符串保护密钥交换（预共享密钥）”，填写共享密钥“lin”（主机A、主机B的共享密钥必须一致），单击“下一步”按钮，直至最终完成。

（注意：

应用策略之前必须指派策略，否则策略不会自动生效。

右键点击“IP安全策略”，选择“指派assign”使策略生效。

）

（7）完成IPSec配置。

2.测试结果与分析

使用wireshark抓去ping的数据包的报文通常有其固定的格式：

报文长度（98bytes）=以太网头（14bytes）+IP头（20bytes）+ICMP报文（64bytes）

其中，以太网头（14bytes）=目的MAC（6bytes）+源MAC（6bytes）+以太网类型0800（2bytes）

我们以（a）策略为例进行分析：

（a）主机A不指派策略，主机B不指派策略。

主机A在“cmd”控制台中，输入如下命令：

ping主机B的IP。

ping操作反馈信息与报文嗅探软件给出的结果：

由ping的结果可以看出两台主机连接通道良好，没有丢包现象，可以进行后续分析。

如上图报文结果所示。

其中：

以太网头为：

eca86ba8cce8eca86ba8ce390800

IP头：

4500003c11a10000800100000a144fc10a144fc0

IMCP报文：

08004d5a000100016162636465666768696a6b6c6d6e6f70

71727374757677616263646566676869

按照相同的分析方法，我们可以一次分析以下几种情况：

（b）主机A指派策略，主机B不指派策略。

主机A在“cmd”控制台中，输入如下命令：

ping主机B的IP

ping操作反馈信息与报文嗅探软件给出的结果：

在A指派，B不指派的情况下，我们可以发现在ping的结果中发送的报文为4，接受为0。

在wireshark的报文接收界面中，按照上述分析，A主机无法ping到B主机。

上述报文中恰巧反映这点。

（c）主机A指派策略，主机B指派策略。

主机A在“cmd”控制台中，输入如下命令：

ping主机B的IP

ping操作反馈信息与报文嗅探软件给出的结果：

在A主机和B主机都指派的情况下，A主机成功发送和接受了数据包，因此连接稳定无问题。

再次基础上我们对接受的数据包进行分析。

、ESP（EncapsulatingSecurityPayload）协议分析

分析析源地址为主机A的IP、目的地址为主机B的IP的数据包信息；根据ESP报文格式，对数据进行分析与安全参数索引SPI。

（按照链路层报头（默认14字节）→网络层报头（本实验中为20字节）→ESP报头的顺序解析数据。

）

在该ESP协议下的报文中，安全参数索引SPI为4个字节，即“bb1574d9”。

通过这个SPI发送给对方的时候，对方只需要查看SADB数据库中的SPI来匹配，然后通过该SPI下的加密参数和策略来进行解密。

、AH（AuthenticationHeader）协议分析

主机A、B同时进行如下操作，修改“ICMP安全通信策略”，利用AH协议对数据源进行身份验证，而不对传输数据进行加密处理，选择MD5，点击确定。

主机A对主机B进行ping操作，待操作完成，协议分析器停止捕获数据包。

切换至“协议解析视图”，观察十六过制显示区数据，按照链路层报头（默认14字节）→网络层报头（本实验中为20字节）→AH报头的顺序解析数据。

在此情况中，我们探讨在AH协议下的数据处理分析思路。

如上图所示，蓝色面积即为AH报文，其他内容和上述结论一致。

上图为AH报文的构成方式。

其中“下一个报头”为“01”。

报体长度为“04”。

预留是“0000”。

安全参数索引SPI为“4738b3d3”。

顺序编号为“00000005”。

剩下字段为身份验证数据和填充数据。

实验2防火墙实验

设置防火墙的入站和出站规则，可以实现阻挡或者允许特定程序或者端口进行连接。

在windows防火墙高级设置中可以完成相应的设置。

在该实验中，本机（A机）IP地址为10.20.66.128，同学电脑（B机）IP为10.20.66.133

在进行防火墙的相关设置之前，将A机尝试pingB机，结果如图。

可见，在进行防火墙出入站规则修改之前，两者可以联通。

下面，进行防火墙出站规则的修改，大致的设置步骤整理如下：

（1）点击“出站规则”->“新建规则”->“自定义”

（2）点击“作用域”，在远程IP地址中添加目标IP（），再确定。

（3）点击“操作”，选择“阻止连接”选项。

（4）最后修改名称为“阻止连接”，点击完成。

（5）配置完成后，在出站规则列表中的视图如下:

（6）最后开启防火墙

最后在本机对B机进行PING操作，结果如下：

可见，此时A机无法连接上B机。

另外，在B机上PingA机时，在B机上有如下结果：

发现，此时B机可以访问A机，综合上两图，该结果符合实验预期。

接下来可以设置防火墙对于某类应用的限制。

比如说将PING.exe设置静止访问，那么应该可以拒绝PING语句的作用。

比如说如下图配置，将system32文件夹下面的PING.EXE设置为阻止连接。

在这部分实验中，我们尝试将PING.exe设置静止访问，即可以拒绝PING语句的作用。

按照类似实验2.1的配置，将system32文件夹下面的PING.EXE设置为阻止连接。

配置成功后的截图如下：

再在操作中选择“阻止连接”选项，点击完成即可。

理论上操作至此已经满足要求，但实际操作却发现ping操作仍可用。

这是由于ping操作是系统层面上的应用，不能仅仅通过禁用某个可执行程序就能将它禁用，要达到效果，需要禁用ICMP协议。

于是我们进行了如下操作（在出站设置当中禁用了这里的ICMP的IPv4当中的协议）：

此时，再进行ping操作发现A、B两机无法互相访问，操作结果如图：

2.3配置和验证自己认为具有实际应用价值的个人电脑防火墙规则，并且测试该防火墙的作用。

我们可以在出站规则中禁用有个IP，以禁止访问某些已知的带有诈骗、木马链接的有害网站网站，此处我们以禁止访问IP地址210.59.228.209为例。

具体的设置步骤与实验2.1类似，结果测试如下：

可见，符合设计预期。

2.4罗列以上防火墙配置对应的访问控制列表。

表1实验2.1访问控制列表

动作

源IP地址

源端口号

目的IP地址

目的端口号

说明

禁止

10.20.66.133

阻止B机访问

允许

表2实验2.2访问控制列表

动作

源IP地址

源端口号

目的IP地址

目的端口号

说明

禁止

10.20.66.133

禁止ICMP协议

允许

表3实验2.3访问控制列表

动作

源IP地址

源端口号

目的IP地址

目的端口号

说明

禁止

10.20.66.133

210.59.228.209

禁止访问某网站

允许

*思考题：

（1）安全IP技术包括哪些？

答：

包括安全协议、安全关联、密钥管理、身份验证算法与加密算法。

（2）常用的IP报文身份验证算法有哪些？

安全性如何？

答：

IP报文的身份验证算法MD5、SHA-1、HMAC与数字签名等等。

SHA-1比MD5更为安全，如果私钥不丢失的话，数字签名最为保险。

（3）常用的IP报文加密算法有哪些？

安全性如何？

答：

报文加密算法有DES、TDES以及RC4算法。

TDES的安全性显然高于DES，均强于RC4算法，但是RC4算法使用较简单。

实验报告

四、实验小结（包括问题和解决方法、心得体会、意见与建议等）

通过这几次实验，初步掌握了Wireshark软件的使用，了解了基于安全IP的安全数据传送方法。

同时学会在电脑上配置防火墙的入站规则与出站规则，对防火墙的功能有了更加直观深入的理解。

实验中，通过分析报文、设置防火墙出入规则，将理论知识应用于实践过程中，不仅增强了对课本理论知识的理解能力，更增强了动手能力，为以后的进一步学习打下了坚实的基础。

理论和实际的结合让我们学到了许多课堂讲义学不到的东西，进一步学会了网络安全知识的概念，初步掌握了各项协议与算法的原理与结构，提升了我们在网络安全方面的能力。

希望以后的课程可以有更多的实验课，加深对课程的理解，锻炼实践能力。

五、指导教师评语

成绩

批阅人

日期

展开阅读全文