网络安全实验指导书.doc

《网络安全实验指导书.doc》由会员分享，可在线阅读，更多相关《网络安全实验指导书.doc（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全技术实验指导书计算机科学与工程学院指导老师：实验一 数据加密技术 一、实验目的编制基本的文本加、解密程序 二、实验内容凯撒密码实现、维吉尼亚表加密、DES三、实验要求 使用任意高级语言做出给文本文件加、解密的软件. 四、实验步骤: 参考教科书有关内容，掌握凯撒加密方法，自行设计密钥.编制程序。 密码术可以大致别分为两种：即换位和替代，当然也有两者结合的更复杂的方法。在换位中字母不变，位置改变；替代中字母改变，位置不变。将替代密码用于军事用途的第一个文件记载是恺撒著的高卢记。恺撒描述了他如何将密信送到正处在被围困、濒临投降的西塞罗。其中罗马字母被替换成希腊字母使得敌人根本无法看懂信息。苏

2、托尼厄斯在公元二世纪写的恺撒传中对恺撒用过的其中一种替代密码作了详细的描写。恺撒只是简单地把信息中的每一个字母用字母表中的该字母后的第三个字母代替。这种密码替换通常叫做凯撒移位密码，或简单的说，凯撒密码。凯撒密码是将每一个字母向前推移K位。如K=3，则它的每一个明文字符都由其右边第三个（模26）字符代换如将字母A换作字母D，将字母B换作字母E。如有这样一条指令： RETURN TO ROME 用恺撒密码加密后就成为： UHWXUA WR URPH 如果这份指令被敌方截获，也将不会泄密，因为字面上看不出任何意义。这种加密方法还可以依据移位的不同产生新的变化，如将每个字母左19位，就产生这样一个明

3、密对照表：明:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 密:T U V W X Y Z A B C D E F G H I J K L M N O P Q R S 暴力破解： 使用从1-25的密钥依次解密密文，看看得出来的结果是怎样的。参考资料： 尽管苏托尼厄斯仅提到三个位置的恺撒移位，但显然从1到25个位置的移位我们都可以使用， 因此，为了使密码有更高的安全性，单字母替换密码就出现了。如： 明码表 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 密码表 Q W E R T Y

4、 U I O P A S D F G H J K L Z X C V B N M 明文 F O R E S T 密文 Y G K T L Z 只需重排密码表二十六个字母的顺序，允许密码表是明码表的任意一种重排，密钥就会增加到四千亿亿亿多种，我们就有超过41027种密码表。破解就变得很困难。如何破解包括恺撒密码在内的单字母替换密码？ 方法：字母频度分析 尽管我们不知道是谁发现了字母频度的差异可以用于破解密码。但是9世纪的科学家阿尔金迪在关于破译加密信息的手稿对该技术做了最早的描述。“如果我们知道一条加密信息所使用的语言，那么破译这条加密信息的方法就是找出同样的语言写的一篇其他文章，大约一页纸长，

5、然后我们计算其中每个字母的出现频率。我们将频率最高的字母标为1号，频率排第2的标为2号，第三标为3号，依次类推，直到数完样品文章中所有字母。然后我们观察需要破译的密文，同样分类出所有的字母，找出频率最高的字母，并全部用样本文章中最高频率的字母替换。第二高频的字母用样本中2号代替，第三则用3号替换，直到密文中所有字母均已被样本中的字母替换。” 以英文为例，首先我们以一篇或几篇一定长度的普通文章，建立字母表中每个字母的频度表。在分析密文中的字母频率，将其对照即可破解。虽然设密者后来针对频率分析技术对以前的设密方法做了些改进，比如说引进空符号等，目的是为了打破正常的字母出现频率。但是小的改进已经无法

6、掩盖单字母替换法的巨大缺陷了。到16世纪，最好的密码破译师已经能够破译当时大多数的加密信息。局限性： 短文可能严重偏离标准频率，加入文章少于100个字母，那么对它的解密就会比较困难。而且不是所有文章都适用标准频度： 1969年，法国作家乔治斯佩雷克写了一部200页的小说逃亡，其中没有一个含有字母e的单词。更令人称奇的是英国小说家和拼论家吉尔伯特阿代尔成功地将逃亡翻译成英文，而且其中也没有一个字母e。阿代尔将这部译著命名为真空。如果这本书用单密码表进行加密，那么频度分析破解它会受到很大的困难。实验二 协议分析软件的使用一、实验目的 学习协议分析软件wireshark的使用 二、实验内容学习使用W

7、ireshark抓取发送邮件的包三、实验步骤在一台网络计算机上安装网络协议分析软件Wireshark（即Ethereal），按照教材第7.2节的方法，捕获自己的计算机通过互联网发送电子邮件的全部数据。将捕获数据文件保存，并利用各种过滤器和统计分析工具，从捕获数据中得出以下答案：1自己的网络计算机的MAC地址是 2本地网络出口网关的MAC地址是（参看教材21页例） （因为邮件服务器与自己的网络计算机并不在同一个局域网内，因此，发送的电子邮件以太网数据帧的目的MAC地址不是邮件服务器的，而是局域网出口网关的MAC地址。）3自己的网络计算机的IP地址是 自己注册的电子邮件服务器的IP地址是 ，与客户

8、机是否在同一个网段？ 答： 。4与邮件服务器建立TCP连接时本地主机的端口号是 1432 （客户端采用临时端口号，用于标识本次应用进程，参看教材第25页）。邮件服务器端的TCP端口号是 ，这个端口号的名字是什么？是电子邮件服务器的端口号SMTP吗？答： 。5在三次握手建立了TCP连接后，本机的HTTP进程采用 方法（教材表1.7）向邮件服发送本用户的注册用户名和口令。从此请求数据段中可否读出自己的用户名？ ，能否获得登录密码？ 。6分析你的电子邮件服务商是否采用了什么方法保护你的用户名、密码和邮件内容？答： 。7 当自己成功登录邮件服务器后，利用Wireshark（Ethereal）的Anal

9、yze工具栏中的Follow TCP Stream工具，找出自己的主机发送给服务器的Cookies内容是什么？答： 8邮件服务器向本机返回的Cookie的内容是什么？（对Cookie的内容分析方法见教材第211页）答：9从捕获数据中能否获取自己的电子邮件内容？答： 10结合教材第1、6、10和11章的介绍，分析自己的电子邮件面临的以下安全问题：（1）如果受到重放攻击时如何解决身份认证的问题，（2）用户名的保护问题，（3）登 录密码的保护问题，（4）邮件信息的保密问题，（5）邮件信息的防篡改问题，（6）采 用哪些措施防止垃圾邮件泛滥？四、实验总结参考资料：Wireshark (Ethereal)

10、软件介绍网络协议分析软件 Wireshark 与 Ethereal 的关系Wireshark（原名Ethereal）是目前世界上最受欢迎的协议分析软件，利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式，极大地方便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能，可在Windows，Linux 和UNIX等系统上运行。此软件于1998年由美国Gerald Combs首创研发，原名Ethereal，至今世界各国已有100多位网络专家和软件人员正在共同参与此软件的升级完善和维护。它的名称于2006年5月由原Ethereal改为Wiresha

11、rk。至今它的更新升级速度大约每23个月推出一个新的版本，2007年9月时的版本号为0.99.6。但是升级后软件的主要功能和使用方法保持不变。它是一个开源代码的免费软件，任何人都可自由下载，也可参与共同开发。Wireshark网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测，网络性能参数测试，网络恶意代码的捕获分析，网络用户的行为监测，黑客活动的追踪等。因此它在世界范围的网络管理专家，信息安全专家，软件和硬件开发人员中，以及美国的一些知名大学的网络原理和信息安全技术的教学、科研和实验工作中得到广泛的应用。本教材提供了Wireshark的详细使用方法

12、介绍，并采用它作为计算机网络原理和网络安全协议教学的分析实验工具。本教材和教学网站上提供的网络安全监控数据样本（后缀为.pcap的文件），都可用Wireshark打开，进行各种网络协议和网络安全专题的分析研究。在安装新旧版本软件包和使用中，Ethereal与Wireshark的一些细微区别如下： （1）Ethereal软件安装包中包含的网络数据采集软件是winpcap 3.0的版本，保存捕获数据时只能用英文的文件名，文件名默认后缀为 .cap （2）Wireshark软件安装包中，目前包含的网络数据采集软件是winpcap 4.0版本，保存捕获数据时可以用中文的文件名，文件名默认后缀为 .pc

13、ap。另外，Wireshark可以翻译解释更多的网络通信协议数据，对网络数据流具有更好的统计分析功能，在网络安全教学和日常网络监管工作中使用更方便，而基本使用方法仍然与Ethereal相同。实验三 Windows安全模板配置一、开发语言及实现平台或实验环境Windows XP操作系统的计算机二、实验目的（1）通过实验掌握安全策略与安全模板的使用三、实验要求（1）掌握安全模板的管理和设置（2）按照模板配置各项安全属性四、实验原理“安全模板”是一种可以定义安全策略的文件表示方式，它能够配置账户和本地策略、事件日志、受限组、文件系统、注册表以及系统服务等项目的安全设置。安全模板都以.inf格式的文本

14、文件存在，用户可以方便地复制、粘贴、导入或导出某些模板。此外，安全模板并不引入新的安全参数，而只是将所有现有的安全属性组织到一个位置以简化安全性管理，并且提供了一种快速批量修改安全选项的方法。 系统已经预定义了几个安全模板以帮助加强系统安全，在默认情况下，这些模板存储在%Systemroot%SecurityTemplates目录下。它们分别是： 1.Compatws.inf 提供基本的安全策略，执行具有较低级别的安全性但兼容性更好的环境。放松用户组的默认文件和注册表权限，使之与多数没有验证的应用程序的要求一致。Power Users组通常用于运行没有验证的应用程序。 2.Hisec*.inf

15、 提供高安全的客户端策略模板，执行高级安全的环境，是对加密和签名作进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。 3.Rootsec.inf 确保系统根的安全，可以指定由Windows XP Professional所引入的新的根目录权限。默认情况下，Rootsec.inf为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。 4.Secure*.inf 定义了至少可能影响应用程序兼容性的增强安全设置，还限制了LAN Man

16、ager和NTLM身份认证协议的使用，其方式是将客户端配置为仅可发送NTLMv2响应，而将服务器配置为可拒绝LAN Manager的响应。5.Setupsecurity.inf 重新应用默认设置。这是一个针对于特定计算机的模板，它代表在安装操作系统期间所应用的默认安全设置，其设置包括系统驱动器的根目录的文件权限，可用于系统灾难恢复。 以上就是系统预定义的安全模板，用户可以使用其中一种安全模板，也可以创建自己需要的新安全模板。 五、实验步骤1.管理安全模板 （1）安装安全模板 安全模板文件都是基于文本的.inf文件，可以用文本打开进行编辑，但是这种方法编辑安全模板太复杂了，所以要将安全模板载入到

17、MMC控制台，以方便使用。 依次点击开始和运行按钮，键入mmc并点击确定按钮就会打开控制台节点； 点击文件菜单中的添加/删除管理单元，在打开的窗口中点击独立标签页中的添加按钮； 在可用的独立管理单元列表中选中安全模板，然后点击添加按钮，最后点击关闭，这样安全模板管理单元就被添加到MMC控制台中了。 为了避免退出后再运行MMC时每次都要重新载入，可以点击文件菜单上的保存按钮，将当前设置为保存。 （2）建立、删除安全模板 将安全模板安装到MMC控制台后，就会看到系统预定义的那几个安全模板，你还可以自己建立新的安全模板。 首先打开控制台根节点列表中的安全模板，在存储安全模板文件的文件夹上点击鼠标右键

18、，在弹出的快捷菜单中选择新加模板，这样就会弹出新建模板窗口，在模板名称中键入新建模板的名称，在说明中，键入新模板的说明，最后点击确定按钮。这样一个新的安全模板就成功建立了。删除安全模板非常简单，打开安全模板，在控制台树中找到要删除的模板，在其上面点击鼠标右键，选择删除即可。 （3）应用安全模板 新的安全模板经过配置后，就可以应用了，你必须通过使用安全配置和分析管理单元来应用安全模板设置。 首先要添加安全配置和分析管理单元，打开MMC控制台的文件菜单，点击添加/删除管理单元，在添加独立管理单元列表中选中安全配置和分析，并点击添加按钮，这样安全配置和分析管理单元就被添加到MMC控制台中了； 在控制

19、台树中的安全配置和分析上点击鼠标右键，选择打开数据库，在弹出的窗口中键入新数据库名，然后点击打开按钮； 在安全模板列表窗口中选择要导入的安全模板，然后点击打开按钮，这样该安全模板就被成功导入了； 在控制台树中的安全配置和分析上点击右键，然后在快捷菜单中选择立即配置计算机，就会弹出确认错误日志文件路径窗口，点击确定按钮。 这样，刚才被导入的安全模板就被成功应用了。 2.设置安全模板 （1）设置账户策略 账户策略之中包括密码策略、账户锁定策略和Kerberos策略的安全设置，密码策略为密码复杂程度和密码规则的修改提供了一种标准的手段，以便满足高安全性环境中对密码的要求。账户锁定策略可以跟踪失败的登

20、录尝试，并且在必要时可以锁定相应账户。Kerberos策略用于域用户的账户，它们决定了与Kerberos相关的设置，诸如票据的期限和强制实施。 密码策略 在这里可以配置5种与密码特征相关的设置，分别是强制密码历史、密码最长使用期限、密码最短使用期限、密码长度最小值和密码必须符合复杂性要求。强制密码历史：确定互不相同的新密码的个数，在重新使用旧密码之前，用户必须使用过这么多的密码，此设置值可介于0和24之间； 密码最长使用期限：确定在要求用户更改密码之前用户可以使用该密码的天数。其值介于0和999之间；如果该值设置为0，则密码永不过期； 密码最短使用期限：确定用户可以更改新密码之前这些新密码必须

21、保留的天数。此设置被设计为与强制密码历史设置一起使用，这样用户就不能很快地重置有次数要求的密码并更改回旧密码。该设置值可以介于0和999之间；如果设置为0，用户可以立即更改新密码。建议将该值设为2天； 密码长度最小值：确定密码最少可以有多少个字符。该设置值介于0和14个字符之间。如果设置为0，则允许用户使用空白密码。建议将该值设置为8个字符； 密码必须符合复杂性要求：该项启用后，将对所有的新密码进行检查，确保它们满足复杂密码的基本要求。如果启用该设置，则用户密码必须符合特定要求，如至少有6个字符、密码不得包含三个或三个以上来自用户账户名中的字符等。 账户锁定策略 在这里可以设置在指定的时间内一

22、个用户账户允许的登录尝试次数，以及登录失败后，该账户的锁定时间。 账户锁定时间：这里的设置决定了一个账户在解除锁定并允许用户重新登录之前所必须经过的时间，即被锁定的用户不能进行登录操作的时间，该时间的单位为分钟，如果将时间设置为0，将会永远锁定该账户，直到管理员解除账户的锁定； 账户锁定阀值：确定尝试登录失败多少次后锁定用户账户。除非管理员进行了重新设置或该账户的锁定期已满，才能重新使用账户。尝试登录失败的次数可设置为1到999之间的值，如果设置为0，则始终不锁定该账户。 （2）设置本地策略 本地策略包括审核策略、用户权限分配和安全选项三项安全设置，其中，审核策略确定了是否将安全事件记录到计算

23、机上的安全日志中；用户权利指派确定了哪些用户或组具有登录计算机的权利或特权；安全选项确定启用或禁用计算机的安全设置。 审核策略 审核被启用后，系统就会在审核日志中收集审核对象所发生的一切事件，如应用程序、系统以及安全的相关信息，因此审核对于保证域的安全是非常重要的。审核策略下的各项值可分为成功、失败和不审核三种，默认是不审核，若要启用审核，可在某项上双击鼠标，就会弹出属性窗口，首先选中在模板中定义这些策略设置，然后按需求选择成功或失败即可。审核策略包括审核账户登录事件、审核策略更改、审核账户管理、审核登录事件、审核系统事件等，下面分别进行介绍。 审核策略更改：主要用于确定是否对用户权限分配策略

24、、审核策略或信任策略作出更改的每一个事件进行审核。建议设置为成功和失败； 审核登录事件：用于确定是否审核用户登录到该计算机、从该计算机注销或建立与该计算机的网络连接的每一个实例。如果设定为审核成功，则可用来确定哪个用户成功登录到哪台计算机；如果设为审核失败，则可以用来检测入侵，但攻击者生成的庞大的登录失败日志，会造成拒绝服务(DoS)状态。建议设置为成功； 审核对象访问：确定是否审核用户访问某个对象，例如文件、文件夹、注册表项、打印机等，它们都指定了自己的系统访问控制列表(SACL)的事件。建议设置为失败； 审核过程跟踪：确定是否审核事件的详细跟踪信息，如程序激活、进程退出、间接对象访问等。如

25、果你怀疑系统被攻击，可启用该项，但启用后会生成大量事件，正常情况下建议将其设置为无审核； 审核目录服务访问：确定是否审核用户访问那些指定有自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。启用后会在域控制器的安全日志中生成大量审核项，因此仅在确实要使用所创建的信息时才应启用。建议设置为无审核； 审核特权使用：该项用于确定是否对用户行使用户权限的每个实例进行审核，但除跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录等权限。建议设置为不审核； 审核系统事件：用于确定当用户重新启动或关闭计算机时，或者对系统安全或安全日志

26、有影响的事件发生时，是否予以审核。这些事件信息是非常重要的，所以建议设置为成功和失败； 审核账户登录事件：该设置用于确定当用户登录到其他计算机(该计算机用于验证其他计算机中的账户)或从中注销时，是否进行审核。建议设置为成功和失败； 审核账户管理：用于确定是否对计算机上的每个账户管理事件，如重命名、禁用或启用用户账户、创建、修改或删除用户账户或管理事件进行审核。建议设置为成功和失败。(2)用户权利指派 用户权利指派主要是确定哪些用户或组被允许做哪些事情。具体设置方法是： 双击某项策略，在弹出属性窗口中，首先选中在模板中定义这些策略设置； 点击添加用户或组按钮就会出现选择用户或组窗口，先点击对象类

27、型选择对象的类型，再点击位置选择查找的位置，最后在输入对象名称来选择下的空白栏中输入用户或组的名称，输完后可点击检查名称按钮来检查名称是否正确； 最后点击确定按钮即可将输入的对象添加到用户列表中。 安全选项 在这里可以启用或禁用计算机的安全设置，如数据的数字签名、Administrator和Guest账户的名称、软盘驱动器和CD-ROM驱动器访问、驱动程序安装行为和登录提示等。下面介绍几个适合于一般用户使用的设置。 防止用户安装打印机驱动程序。对于要打印到网络打印机的计算机，网络打印机的驱动程序必须安装在本地打印机上。该安全设置确定了允许哪些人安装作为添加网络打印机一部分的打印机驱动程序。使用

28、该设置可防止未授权的用户下载和安装不可信的打印机驱动程序。 双击设备：防止用户安装打印机驱动程序，会弹出属性窗口，首先选中在模板中定义这个策略设置项，然后将已启用选中，最后点击确定按钮。这样则只有管理员和超级用户才可以安装作为添加网络打印机一部分的打印机驱动程序； 无提示安装未经签名的驱动程序。当试图安装未经Windows硬件质量实验室(WHQL)颁发的设备驱动程序时，系统默认会弹出警告窗口，然后让用户选择是否安装，这样很麻烦，你可以将其设置为无提示就直接安装。 双击设备：未签名驱动程序的安装操作项，在出现的属性窗口中，选中在模板中定义这个策略设置项，然后点击后面的下拉按钮，选择默认安装，最后

29、点击确定按钮即可； 登录时显示消息文字。指定用户登录时显示的文本消息。利用这个警告消息设置，可以警告用户不得以任何方式滥用公司信息或者警告用户其操作可能会受到审核，从而更好地保护系统数据。 双击交互式登录：用户试图登录时消息文字，进入属性窗口，先将在模板中定义这个策略设置选中，然后在下面的空白输入框中输入消息文字，最多可以输入512个字符，最后点击确定按钮。这样，用户在登录到控制台之前就会看到这个警告消息对话框。注：概括性的叙述，务必保证准确性与层次分明。实验四 PGP加密软件文的使用 一、实验目的1.掌熟悉公开密钥体制，熟悉数字签名2.熟悉使用PGP的基本操作二、实验内容1.创建一私钥和公钥

30、对2.与别人交换使用3.对公钥进行验证并使之有效4.对E-MAIL进行加密和数字签名对E-MAIL进行解密和验证三、实验原理 PGP加密软件是美国Network Associate Inc.出产的免费软件，可用它对文件、邮件进行加密，在常用的WINZIP、Word、ARJ、Excel等软件的加密功能均告可被破解时，选择PGP对自己的私人文件、邮件进行加密不失为一个好办法。除此之外，你还可和同样装有PGP软件的朋友互相传递加密文件，安全十分保障。下载PGP免费版：http:/ 一、安装篇PGP的安装很简单，和平时的软件安装一样，只须按提示一步步“Next”完成即可。其中在以下的画面你可以选择要安

31、装的选件，如果选择了“PGPnet Virtual Private Networking”虚拟网，再选择相应的Plugin，如“PGP Microsoft Outlook Express Plugin”，就可以在Outlook Express中直接用PGP加密邮件，这里指的是加密邮件的内容，具体操作我们在后面会详细说到。二、密钥篇使用PGP之前，首先需要生成一对密钥，这一对密钥其实是同时生成的，其中的一个我们称为公钥，意思是公共的密钥，你可以把它分发给你的朋友们，让他们用这个密钥来加密文件，另一个我们称为私钥，这个密钥由你保存，你是用这个密钥来解开加密文件的。打开“开始”中“PGP”的“PGP

32、 KEYS”，可看到以下的画面。 点击图标 或者用菜单keynew key开始生成密钥。PGP有一个很好的密钥生成向导，只要跟着它一步一步做下去就可以生成密钥，ok， lets go!第一步，PGP会提示这个向导的目的是生成一对密钥，你可以用它来加密文件或对数字文件进行签名。赶快点“下一步”就o.k.啦。第二步，PGP会要求你输入全名和邮件地址。虽然真实的姓名不是必须的，但是输入一个你的朋友看得懂的名字会使他们在加密时很快找到想要的密钥。第三步，请选择一种加密类型。PGP5.0以前的版本多用RSA加密方式，但5.0以后就常常选用较先进的第一种类型了。第四步，指定密钥的长度。通常来说位数越大被解

33、密的可能性越小就越安全，但是在执行解密和加密时会需要更多的时间，一般2048位就ok了。第五步，PGP会问你密钥的过期日期，可以选择从不过期或者指定一个日期作为过期的界限。第六步，请重复输入你的密码。建议你的密码大于8位，并且最好包括大小写、空格、数字、标点符号等，为了方便记忆你可以用一句话作为你的密钥，如Amy is 12 years old.等。最妙的是PGP支持用中文作为密码，所以你也可以输入“罗密欧与朱丽叶”做为和女朋友互通往来的密码啦。边上的“Hide Typing”指示是否显示键入的密码。第七步，接下来PGP会花一点点时间来生成你的密钥，然后会问你是否想把你的公共密钥发送到服务器上

34、去，一般我们是不会这么做的，因此一直“下一步”就可以完成了。第八步，把你的公用密钥发给你的朋友。用快捷键Ctrl+E或者菜单keysEmport 将你的密钥导出为扩展名为asc或txt的文件，将它发给你的朋友们。(对方则用Ctrl+M或keysimport导入)导出后的文件：三、加密、解密篇1.对文件加密非常简单，只须选中该文件，然后点击右键中PGP的Encrypt，会弹出一个对话框让你选择你要用的密钥，双击使它加到下面的Recipients框中即可。2.解密时双击扩展名为pgp的文件或选中并点击右键中的PGPDecrypt，在图中的下框输入密码即可。3.如果要在Outlook Express

35、或Outlook中直接对邮件进行加密，可在写新邮件时点击工具栏中的图标PGP Encrypt，当邮件写完发送时，PGP会如上所示弹出对话框请你选择密钥，同上操作即可。下图为利用Outlook Express发送邮件的内容：点击工具栏中的图标后，弹出以下对话框：选择你的密钥进行加密；完成后，你的发送的邮件将是加密过，收件人须有公钥才能解密。五、实验总结实验五 路由器模拟防火墙实验一、实验要求与目的路由器实现包过滤防火墙功能。了解和熟悉防火墙的包过滤功能。体现包过滤功能在网络安全的作用了解防火墙在网络安全中的重要性二、实验内容：路由器PC1PC2192.168.10.1192.168.20.119

36、2.168.10.108192.168.20.1101.了解具体配置过程2.了解路由器有哪些功能与防火墙相同。3.配置路由器使用路由器的功能模拟防火墙的包过滤。三、实验步骤与实验结果1.在没配置路由器的情况下，测试两台计算机的连通性.2.配置路由器,使得两台计算机能够通信.3.配置路由器,使用访问控制列表模拟防火墙的包过滤功能.4.测试使用包过滤功能后,两台计算机的连通性四、实验总结实验六 VPN的配置（IPSec和NAT配合使用的实验 ）一、实验要求与目的： 熟悉实现VPN的几种协议 熟悉使用IPSec和NAT配合使用实现VPN二、实验内容： 环境：两台路由器（1*E，1*FE），两台PC实

37、验目的：两台路由器通过E0/1连接，实现IPSec VPN，使两台PC互访，并且都能分别通过路由器的NAT访问互联网。(路由器配置命令请上网查询)三、实验总结参考资料：第一步：系统前期准备工作服务器硬件：双网卡，一块接外网，一块接局域网。在windows2003中VPN服务称之为“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效即可。首先确定是否开启了Windows Firewall/Internet Connection Sharing (ICS)服务，如果开启了Windows Firewall/Internet Connection Sharing (ICS)服务的话

38、，在配置“路由和远程访问”时系统会弹出如下对话框。我们只要去“开始”-“程序”-“管理工具”-“服务”里面把Windows Firewall/Internet Connection Sharing (ICS)停止，并设置启动类型为禁用。第二步：开启VPN和NAT服务然后再依次选择“开始”-“程序”-“管理工具”-“路由和远程访问”，打开“路由和远程访问”服务窗口;再在窗口左边右击本地计算机名，选择“配置并启用路由和远程访问”。在弹出的“路由和远程访问服务器安装向导”中点下一步。由于我们要实现NAT共享上网和VPN拨入服务器的功能，所以我们选择“自定义配置”选项，点下一步;在这里我们选择“VPN

39、访问”和“NAT和基本防火墙”选项，点下一步，在弹出的对话框中点“完成”，系统会提示是否启动服务，点“是”，系统会按刚才的配置启动路由和远程访问服务。第三步：配置NAT服务右击“NAT/基本防火墙”选项，选择“新增接口”。在这里我们根据自己的网络环境选择连接Internet的接口，选择“wan”接口，点“确定”，弹出“网络地址转换-wan属性”对话框。由于我们这个网卡是连接外网的所以选择“公用接口连接到Internet”和“在此接口上启用NAT”选项并选择“在此接口上启用基本防火墙”选项，这对服务器的安全是非常重要的。下面我们点“服务和端口”设置服务器允许对外提供PPTP VPN服务，在“服务

40、和端口”界面里点“VPN网关(PPTP)”，在弹出的“编辑服务”。点“确定”，回到“服务和端口”选项卡，确保选中“VPN网关(PPTP)”。第四步：根据需要设置VPN服务设置连接数：右击右边树形目录里的端口选项，选择属性。Windows Server 2003 企业版VPN服务默认支持128个PPTP连接和128个L2TP连接，因为我们这里使用PPTP协议，所以我们双击“WAN微型端口(PPTP)选项， 在弹出的对话框里根据自己的需要设置所需的连接数;Windows Server 2003企业版最多支持30000个L2TP端口，16384个PPTP端口。设置IP地址：右击右边树形目录里的本地服

41、务器名，选择“属性”并切换到IP选项卡。这里我们选择“静态地址池”点“添加”，根据需要接入数量任意添加一个地址范围，但是不要和本地IP地址冲突。点“确定”回到“IP”选项卡，点“确定”应用设置;第五步：设置远程访问策略，允许指定用户拨入新建用户和组：点“开始”-“程序”-“管理工具”-“计算机管理”，弹出“计算机管理”对话框。选择“本地用户和组”，右击“用户”-“新用户”。点击“创建”新增一个用户;在右边的树形目录中右击“组”-“新建组”，添入“组名”，点“添加”在弹出的“选择用户”对话框中，点“高级”-“立即查找”，选择刚才建立的“TEST”用户，把用户加入刚才建立的组。设置远程访问策略：在

42、“路由和远程访问”窗口，右击右面树形目录中的“远程访问策略”，选择“新建远程访问策略”，在弹出的对话框中点“下一步”，填入方 便记忆的“策略名”，点“下一步”，选择“VPN”选项，点“下一步”，点“添加”把刚才新建的组加入到这里，点“下一步”， “下一步”， “下一步”，“完成”，就完成了远程策略的设置，后面如果需要新的用户需要VPN服务，只要为该用户新建一个帐号，并加入刚才新建的“TEST”组就可以 了。第六步：设置动态域名我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP，这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的 ADSL宽带接入的话，那一般都是每次上

43、网地址都不一样的动态IP，所以需在VPN服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端并随时 可以拨入。笔者常用的动态域名解析软件为：花生壳，可以在下载，其安装及注意事项请参阅相关资料，这里不再详述六、VPN客户端配置这一端配置相对简单得多，只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络，接着笔者同样以windows 2003客户端为例说明，其它的win2K操作系统设置都大同小异：第一步：在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工 作场所的网络”，继

44、续下一步，在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。第二步：在“VPN服务器选择”窗口里，等待我们输入的是VPN服务端的固定内容，可以是固定IP，也可以是由花生壳软件解析出来的动态域名(此域名需要 在提供花生壳软件的网站下载);接着出现的“可用连接”窗口保持“只是我使用”的默认选项;最后，为方便操作，可以勾选“在桌面 上建立快捷方式”选项，单击完成即会先出现如下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。连接成 功后在右下角状态栏会有图标显示。第三步：连接后的共享操作，只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过“网上邻居”查找VPN服务端共享目录;另一种办法是在 浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了，自然也就可以直接点击某个视频 节目播放，省去下载文件这一步所花时间了。