附录信息安全实验

附录信息安全实验主要内容三重DES加密软件的开发PGP软件的使用配置访问控制列表网络侦听及协议分析VRRP协议及其配置WindowXP防火墙的配置入侵检测系统Snort的使用信息系统安全保护等级定级实验一三重DES加密软件的开发实验目的通过开发三重DES加密软件，进一步理解对称加密体制的基本原理；了解对称加密算法在文件保护中的应用；了解利用JAVA开发加密软件的方法和JAVA中关于加密的类。可利用的资源javax.cryptojavax.crypto.spec实验二PGP软件的使用实验目的理解公钥加密体制的加密、解密过程以及密钥使用方式；了解密钥的管理方式和信任关系；了解数字签名的基本概念和使用方式，包括如何对文件进行签名、验证；掌握PGP的体系结构和应用原理。背景知识PGP(PrettyGoodPrivacy)是一个应用广泛的加密、数字签名应用软件，用来保护私隐信息。官方网站（）PGP主要功能：加密/解密文件数字签名及验证加密/签名邮件创建被加密的虚拟磁盘安全删除文件PGP主界面实验步骤:1.安装2.主界面介绍3.加密/解密本地文件4.加密/解密同伴文件5.数字签名及验证6.加密/签名邮件7.创建被加密的虚拟磁盘思考题：1．如何用PGP加密文档里面的一段文字2．PGP采用的何种加密体制？实验三配置访问控制列表实验目的掌握在交换机上配置访问控制列表的方法。实验环境S3550-24学生区教工区服务器192.168.30.0192.168.20.0192.168.10.0F0/5F0/10F0/15背景知识：交换机的配置模式对交换机进行配置的命令有四层模式：用户模式、特权模式、全局模式和端口模式。每一层模式下包含的命令不同，所能实现的配置功能也不同。用户模式：和交换机连接上之后，就进入了命令配置的最外层模式，这就是用户模式。在该模式下仅仅可以查看交换机的软、硬件版本信息，并进行简单的测试。该模式下的命令提示符是switch。特权模式：由用户模式进入更内一层模式，即特权模式。特权模式下可以对交换机的配置文件进行管理，查看交换机的配置信息，进行网络的测试和调试等。特权模式下的命令提示符是switch#。全局配置模式：由特权模式进入更内一层模式，即全局配置模式。该模式下可以配置交换机的全局性质参数，如主机名，登录信息等。全局模式下的命令提示符是switch(config)#。端口模式：由全局配置模式进入更内一层模式，即端口模式。该模式下可以对交换机的端口进行参数配置，其命令提示符是switch(config-if)#。在以上任何一种模式下都可以通过输入“？”来显示当前模式下的全部可执行的命令及其解释。ISP背景知识：什么是访问列表Access-list：访问控制列表，简称ACLACL就是对经过网络设备的数据包，根据一定的规则，进行数据包的过滤。√FTPRG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部门所属VLAN不同12221112技术部VLAN20财务部VLAN10隔离病毒源隔离外网病毒为什么要使用访问列表访问列表的组成定义访问列表的步骤第一步：定义规则（哪些数据允许通过，哪些数据不允许通过）第二步：将规则应用在路由器（或交换机）的接口上访问控制列表的分类：1、标准访问控制列表2、扩展访问控制列表3、命名的访问控制列表4、基于时间访问控制列表5、专家级访问控制列表访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义ACL分类标准的访问列表只能根据源IP地址，进行数据包的过滤。例：在校园网中，学生网段不可以访问教研网段，但校领导网段可以访问教研网段学生网段校领导网段教研网段标准访问列表规则的定义（1）源地址TCP/UDP数据IPeg.HDLC1-99号列表IP标准访问列表（2）1、定义标准ACLRouter(config)#access-list1-99{permit|deny}源地址[反掩码]2、应用ACL到接口Router(config-if)#ipaccess-group1-99|{name}{in|out}in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。access-list1permit172.16.3.00.0.0.255access-list1deny0.0.0.0255.255.255.255interfaceserial0ipaccess-group1out172.16.3.0172.16.4.0F0S0F1172.17.0.0IP标准访问列表配置（3）只允许172.16.3.0网络中的计算机访问互联网络0表示检查相应的地址比特1表示不检查相应的地址比特00111111128643216842100000000000011111111110011111111配置中的反掩码（通配符）技术通配符掩码是一个32比特位。在通配符掩码位中，0表示“检查相应的位”，1表示“不检查相应的位”。通配符掩码与IP地址是成对出现.通配符掩码与子网掩码工作原理是不同的。在IP子网掩码中，数字1和0用来决定是网络，还是主机的IP地址。如表示172.16.0.0这个网段，使用通配符掩码应为0.0.255.255。在通配符掩码用255.255.255.255表示所有IP地址，全为1说明所有32位都不检查相应的位，这是可以用any来取代。0.0.0.0的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。IP标准访问列表配置技术（4）host/any----host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配，其屏蔽码为0.0.0.0。假定我们希望允许从198.78.46.8来的报文，则使用标准的访问控制列表语句如下:access-list1permit198.78.46.80.0.0.0如果采用关键字host，也可以用下面的语句来代替：access-list1permithost198.78.46.8any是0.0.0.0255.255.255.255的简写IP标准访问列表配置技术（4）假使在我们的网络管理过程中，要阻止网络中地址为192.168.0.45的一台主机通过E0访问网络，而允许其他的机器访问网络，可以通过如下操作Router（config）#access-list1denyhost192.168.0.45Router（config）#access-list1permitanyRouter（config）#interfaceethernet0Router（config-if）#ipaccess-group1inACL分类（2）-扩展的访问列表扩展的访问列表扩展ACL可以根据数据包内的源、目的地址，应用服务进行过滤。例如教师网段可以访问内网的邮件服务器，而学生网不可以访问，但可以访问内网的网站。学生网段校领导网段邮件serverWEBserver目的地址源地址协议端口号100-199号列表TCP/UDP数据IPeg.HDLCIP扩展访问列表（1）IP扩展访问列表的配置（2）1、定义扩展的ACLRouter(config)#access-list100-199{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]协议项定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP等等端口号可以用几种不同的方法来指定显式地指定:…使用数字:80,21操作符:eq,gt,lt,neq,rangeport1port2access-list101permittcpanyhost198.78.46.8eqsmtp允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);access-list101permittcpanyhost198.78.46.3eq服务端口(80)2、应用ACL到接口Router(config-if)#ipaccess-group100-199|{name}{in|out}IP扩展访问列表配置实例（3）创建一条ExtendedIPACL，允许网络192.168.0.0内所有主机，可以访问HTTP服务器172.168.12.3。Switch(config)#access-list111permittcp192.168.0.00.0.255.255anyhost172.168.12.3eq实验要求在某学校的校园网内部，有一台三层交换机锐捷S3550-24连着学校的服务器，另外还连着学生宿舍楼和教工宿舍楼，现在要求在该交换机上通过访问控制列表的配置，使学生只能访问FTP服务器，不能访问服务器，教工则没有这个限制。S3550-24学生区教工区服务器192.168.30.0192.168.20.0192.168.10.0F0/5F0/10F0/15实验步骤1．连接交换机2．基本配置3．配置访问控制列表4．把定义的访问控制列表应用到虚拟接口vlan30思考题1．标准访问控制列表和扩展访问控制列表有什么区别？2．为什么在deny某个网段后，还要permit其他网段？实验四网络侦听及协议分析实验目的了解网络侦听的目的、过程以及基本手段。对协议分析有基本了解。学会使用Ethereal工具，为进一步学习基于网络的入侵检测系统打下基础。背景知识网络侦听也称为网络嗅探，提供给网络安全管理人员用来监视网络的状态、数据流动情况以及网络上传输的信息等。同时它也是基于网络入侵检测的基础，NIDS的数据来源就是通过网络侦听得到的。Ethereal是一个在网络上侦听数据包，并且进行分析的工具，此类工具被称为嗅探器（sniffer）实验步骤1.Ping数据包分析2.邮件密码嗅探思考题和pop协议类似，telnet协议、ftp协议中对用户名和密码等信息也没有加密，请读者参照pop协议的分析方式，对telnet，ftp中的密码进行嗅探和分析。观察下Ethereal在什么样的网络环境下可以捕获整个网络中传输的内容，什么样的网络环境下捕获不到，或者只能捕获本机传输的内容。Ethereal的功能非常多，本实验中只使用了其基本功能，关于其高级功能可以通过阅读用户手册来了解。实验五VRRP协议及其配置实验目的通过本实验，使学生了解信息网络的可靠性安全需求。学习VRRP协议的基本原理，熟练掌握VRRP协议的冗余备份和负载均衡配置方法。背景知识：为什么需要VRRP协议随着计算机网络的迅速普及，网络上的应用日趋复杂，网络上传输的数据的重要性也越来越高，用户要求网络具有高度的冗余性。学校：教学资源库、数字图书馆、远程教学、WEB网站、多媒体教室金融：业务数据、办公数据、中间业务、网站、VOIP、视频会议企业：办公数据、财务数据、CRM、ERP、网站INTERNETLANVRRP(VirtualRouterRedundancyProtocol)能够从网络层保证网络系统的高度冗余，同时，也能够实现网络流量的负载均衡VRRP基本概念VRRP路由器运行VRRP协议的路由器，一台VRRP路由器可以同时参与到多个VRRP组中，在不同的组中，一台VRRP路由器可以充当不同的角色VRRP组(VRID)由多个VRRP路由器组成，属于同一VRRP组的VRRP路由器互相交换信息虚拟路由器对于每一个VRRP组，抽象出来的一个逻辑路由器，该路由器充当网络