网络安全实验指导
网络安全和管理实验指导书
电子与信息工程系网络工程教研室
2011-10-25
网络安全实验指导
实验一
一、实验目的
为WWW服务配置SSL 1.加深并消化授课内容,掌握SSL的基本概念; 2.了解并熟悉万维网服务器的配置; 3.掌握在万维网服务器上部署SSL协议;
二、实验要求
1.掌握Security Socket Layer在应用层的作用; 2.独立完成在万维网服务器上部署SSL;
3.实验结束后,用统一的实验报告用纸编写实验报告。
三、实验环境
Windows 2003 企业版服务器+IIS服务,Linux企业版服务器+Apache服务
四、实验内容
1.Windows系统上部署万维网服务,并配置SSL 2.Linux系统上部署万维网服务,并配置SSL
五、实验步骤
Windows系统上部署万维网服务,并配置SSL (1)颁发证书
1.从“管理工具”程序组中启动“证书颁发机构”工具。
2.展开证书颁发机构,然后选择“挂起的申请”文件夹。
3.选择刚才提交的证书申请。
4.在“操作”菜单中,指向“所有任务”,然后单击“颁发”。
5.确认该证书显示在“颁发的证书”文件夹中,然后双击查看它。
6.在“详细信息”选项卡中,单击“复制到文件”,将证书保存为 Base-64 编码的 X.509 证书。 7.关闭证书的属性窗口。
8.关闭“证书颁发机构”工具。
(2)在 Web 服务器上安装证书
1.如果 Internet 信息服务尚未运行,则启动它。
2.展开服务器名称,选择要安装证书的 Web 站点。
3.右键单击该 Web 站点,然后单击“属性”。
4.单击“目录安全性”选项卡。
5.单击“服务器证书”启动 Web 服务器证书向导。
6.单击“处理挂起的申请并安装证书”,然后单击“下一步”。
7.输入包含 CA 响应的文件的路径和文件名,然后单击“下一步”。
8.检查证书概述,单击“下一步”,然后单击“完成”。
现在,已在 Web 服务器上安装了证书。
网络安全实验指导
(3)将资源配置为要求 SSL 访问
此过程使用 Internet 服务管理器,将虚拟目录配置为要求 SSL 访问。为特定的文件、目录或虚拟目录要求使用 SSL。客户端必须使用 HTTPS 协议访问所有这类资源。
1.如果 Internet 信息服务尚未运行,则启动它。
2.展开服务器名称和 Web 站点。(这必须是已安装证书的 Web 站点)
3.右键单击某个虚拟目录,然后单击“属性”。
4.单击“目录安全性”选项卡。
5.单击“安全通信”下的“编辑”。
6.单击“要求安全通道 (SSL)”。
7.单击“确定”,然后再次单击“确定”关闭“属性”对话框。
8.关闭 Internet 信息服务。
Linux系统上部署万维网服务,并配置SSL 安装并设置具备SSL的Apache网站服务器 1.创建rasref目录,在该目录提取文件。 # mkdir rsaref-2.0 # cd rsaref-2.0 # gzip -d -c ../rsaref20.tar.Z | tar xvfconnected, SIGRP, Rmobile, BEIGRP, EXOSPF, IAOSPF NSSA external type 1, N2OSPF external type 1, E2EGP
iIS-IS level-1, L2IS-IS inter area
*per-user static route, operiodic downloaded static route Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks O
10.1.1.1/32 [110/782] via 192.168.13.1, 00:04:45, Serial1/0
网络安全实验指导
O
10.2.2.2/32 [110/782] via 192.168.23.1, 00:04:09, Serial1/1 C
10.3.3.0/24 is directly connected, Loopback0 O
10.4.4.4/32 [110/782] via 192.168.34.2, 00:02:46, Serial1/2 C
192.168.13.0/24 is directly connected, Serial1/0 C
192.168.23.0/24 is directly connected, Serial1/1 C
192.168.34.0/24 is directly connected, Serial1/2
5.设置标准的ACL,禁止R1和10.2.2.2/24访问R4及其内部网络 提示:该标准ACL应用到R4的S1/2端口入口方向 R4(config)#acce-list 1 deny 192.168.13.0 0.0.0.255 R4(config)#acce-list 1 deny 10.2.2.0 0.0.0.255 R4(config)#acce-list 1 permit any R4(config)#int s1/2 R4(config-if)#ip acce-group 1 in R4(config-if)#end
6.设置扩展ACL,禁止R2 ping R4,禁止10.1.1.0/24网段ping或者telnet R4及10.4.4.0/24网段
提示:该标准ACL应用到R3的S1/2端口出口方向 R3(config)#acce-list 1 deny 192.168.23.0 0.0.0.255 R3(config)#acce-list 1 permit any R3(config)#int s1/2 R3(config-if)#ip acce-group 1 out R3(config-if)#end
7.验证效果(将显示结果附在各命令的下面) ① R1ping R4 R1#ping 192.168.34.2 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.34.2, timeout is 2 seconds: .....Succe rate is 0 percent (0/5)
R1#ping 10.4.4.4 Type escape sequence to abort.
网络安全实验指导
Sending 5, 100-byte ICMP Echos to 10.4.4.4, timeout is 2 seconds: .....Succe rate is 0 percent (0/5) ② R1 telnet R4
③ R2ping R4 R2#ping 192.168.32.2 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.32.2, timeout is 2 seconds: .....Succe rate is 0 percent (0/5)
