文档介绍:第7章 网络安全通信(tōng xìn)
第一页,共54页。
实验7-1-1:允许(yǔnxǔ)Ping入本机但无法访问本机资源
一般情况下,在局域网几台Windows操作系统主机之间既可以互相Ping,又可以互相访问对方的资源。如果有某台主机不想让其它主机看到自己的资源,可以采用(cǎiyòng)IPsec方法实现。
第二页,共54页。
一、实验(shíyàn)目的
了解设置IPsec策略前后两台主机(zhǔjī)之间通讯、远程管理之间的区别。
第三页,共54页。
二、实验(shíyàn)设备
3台Windows操作系统主机(zhǔjī),最好是Server主机(zhǔjī)。
第四页,共54页。
三、实验(shíyàn)步骤
1、点击A机桌面上的开始工具栏->运行->输入mmc。
2、在控制台界面(jièmiàn)中点击“文件”菜单->添加/删除管理单元->在“独立”标签卡中,点击“添加”钮,添加“IP安全策略管理”(即IPsec),如图7-1、图7-2、图7-3、图7-4。
图7-1 控制台界面(jièmiàn)
图7-2 添加IPSec管理控制单元
图7-3 设置IPSec管理单元的管理范围
图7-4 为本机添加IP安全策略
第五页,共54页。
三、实验(shíyàn)步骤
3、在图7-5的控制台界面中,双击“IP安全(ānquán)策略”,在右边栏选择“安全(ānquán)服务器”->右击->属性,如图7-6。
图7-5 添加IP安全(ānquán)策略后的控制台界面
图7-6 设置安全(ānquán)服务器属性
第六页,共54页。
三、实验(shíyàn)步骤
4、在图7-7所示的界面中,选择“规则”标签(biāoqiān)卡中的“所有IP通讯量”,并点击“编辑”钮。在图7-8所示的界面中,选择“身份验证方法”标签(biāoqiān)卡。在图7-9所示的界面中,选择“Kerberos”,点击“编辑”钮。在图7-10所示的界面中输入“123456”的密钥,点击“确定”钮。
图7-7 设置安全服务器规则
图7-8 设置IP筛选器列表
图7-9 设置身份验证方法
图7-10 设置密钥
5、在图7-11所示的界面中,选择“安全服务器”->右击->指派。
图7-11 指派安全服务器规则
第七页,共54页。
三、实验(shíyàn)步骤
6、测试:局域网中的其它主机对这台进行IP安全策略的主机进行Ping指令,发觉Ping得通;再在其它主机上访问这台主机的共享资源,发觉无法访问了。
思考:如果其它主机既想Ping通该实验机,又想访问至该实验机的资源,应该如何配置?答案:当且仅当和实验机做一模一样的配置(包括(bāokuò)密钥需要与实验机完全一致)。
7、扩展:观察安全服务器策略被指派之后A机上流出的数据包有什么变化?
第八页,共54页。
四、实验(shíyàn)小结
在某台实验机上设置IP安全策略之后,如果其它主机想访问该实验机,当且仅当在本机上与实验机做同样的设置才可以(kěyǐ)。否则,无法正常访问。
第九页,共54页。
实验7-1-2:禁止Ping入本机但允许(yǔnxǔ)访问本机资源
黑客获得受害主机信息的第一步便是获得受害主机的操作系统版本信息,这个过程(guòchéng)是通过黑客机向受害主机进行Ping操作并根据其所得的TTL返回值而判断的。所以,如果在局域网中防止其它已经成为跳板的主机对自己的攻击,就需要将ICMP协议禁用。
第十页,共54页。