步骤1:实验环境搭建与基础配置
打开两台Windows虚拟机,根据“学号”后两位(设为XX)配置IP地址。将根CA(主机A)IP设置为192.168.XX.111,Web服务器(主机B)IP设置为192.168.XX.222。配置完成后,在两台虚拟机中互相执行ping命令,确保网络连通性良好。
步骤2:SSL证书服务配置
在根CA虚拟机中,通过服务器管理器添加“Active Directory 证书服务”角色及IIS服务。在Web服务器虚拟机中安装IIS服务,并编辑默认网站的iisstart.htm文件,在页面中加入学号后两位以便验证。在Web服务器的IIS管理器中,配置服务器证书,通过浏览器访问http://192.168.XX.111/certsrv申请证书,证书名称设置为“66-XX-WEB”,单位填写班号,公用名称使用姓名首字母。下载并安装证书后,在Web站点上绑定该证书,配置443端口。
步骤3:SSL协议抓包分析 在根CA虚拟机上开启Wireshark,选择网卡进行抓包。首先使用HTTP方式访问Web服务器IP,保存TCP三次握手及HTTP明文数据包的截图。随后使用HTTPS方式访问,抓取SSL/TLS完整握手流程的数据包(ClientHello、ServerHello、Certificate等)。对比两者发现,HTTP数据可直接读取,而HTTPS数据部分为乱码加密状态,且IP头与TCP头结构基本一致。
步骤4:IPSec(ESP)策略配置 重置环境或确保主机A和B网络互通。在主机A中,打开“本地安全策略”,创建“IP安全策略”。添加IP安全规则,选择“传输模式”。在IP筛选器列表中添加新筛选器,指定源地址为本机(192.168.XX.111),目标地址为主机B(192.168.XX.222),协议类型选择ICMP。在筛选器操作中,选择“协商安全”,并添加“完整”安全方法,勾选“ESP”协议及完整性算法(如SHA1)和加密算法(如3DES)。按照相同逻辑在主机B配置反向策略(源为本机,目标为A)。
步骤5:IPSec策略测试与连通性验证
分别设置主机A和B的策略指派状态(指派或不指派),进行四种组合测试。在主机A执行ping 192.168.XX.222。
步骤6:IPSec(AH)协议配置与分析 将上述策略中的筛选器操作修改为使用“AH”协议(协议号51),移除加密设置,保留完整性设置。确保两端均指派策略后,再次执行Ping并抓包。分析AH数据包,记录“下一个报头”字段(通常为ICMP对应的协议号1)、载荷长度和SPI值。分析发现,AH协议不加密数据负载,但提供了IP头和数据完整性校验。
实验结果 通过实验成功搭建了基于SSL的HTTPS安全网站与基于IPSec的VPN通信环境。在SSL实验中,Wireshark抓包清晰展示了HTTP明文传输的风险与HTTPS通过SSL/TLS握手实现数据加密的过程,证实HTTPS在数据层面的安全性。在IPSec实验中,验证了通信双方策略必须匹配(均指派或均不指派)才能正常通信的特性。ESP抓包显示ICMP载荷被加密,无法直接查看内容;而AH抓包显示数据包未加密,但增加了AH头部用于完整性校验,验证了ESP提供机密性与完整性,AH仅提供完整性的理论。
个人收获 本次实验让我深刻理解了网络协议栈不同层面的安全机制。SSL工作在应用层,主要保护Web等服务的数据传输安全;而IPSec工作在网络层,能保护主机间所有IP流量。通过亲手配置证书服务和筛选器策略,我掌握了CA认证体系的运作逻辑以及IPSec传输模式的具体实现。特别是策略指派的对比测试,让我明白了网络安全通信需要双方预先协商并达成一致,单方面的安全配置会导致通信阻断,这加深了我对网络安全双向认证和协议协商过程的理解。
本文作者:Linxiong
本文链接:
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!