【文章內(nèi)容簡(jiǎn)介】 請(qǐng)主界面，如下圖所示。在出現(xiàn)的網(wǎng)頁(yè)中選擇【高級(jí)證書申請(qǐng)】，如圖所示，在出現(xiàn)的網(wǎng)頁(yè)中單擊第二個(gè)選項(xiàng)【base64 編碼】。打開剛才IIS 證書向?qū)傻恼?qǐng)求文件，（默認(rèn)路徑C:），復(fù)制并粘貼文件內(nèi)容到第一個(gè)文本框，如下圖所示，單擊【提交】按鈕，轉(zhuǎn)到完成提交后的頁(yè)面?；氐绞醉?yè)，選擇【查看掛起的證書申請(qǐng)狀態(tài)】，彈出的頁(yè)面中選擇一個(gè)已經(jīng)提交的證書申 請(qǐng)，如下圖所示。選擇【Base 64 編碼】，點(diǎn)擊【下載證書】，【保存】 文件到桌面。選擇【開始】|【程序】|【管理工具】|【IIS（Internet 信息服務(wù)）管理器】，在彈出窗口右鍵單擊【默認(rèn)網(wǎng)站】，彈出的快捷菜單中選擇【屬性】選項(xiàng)，在彈出窗口內(nèi)選擇【目錄安 全性】標(biāo)簽，選擇【服務(wù)器證書】，選擇【下一步】，【處理掛起的請(qǐng)求并安裝證書】選擇【下 一步】，【瀏覽】 文件，如下圖所示?！鞠乱徊健俊鞠乱徊健俊就瓿伞俊＿€是在【目錄安全性】下，選擇【安全通信】下的【編輯】，在下如圖所示的彈出窗口 中選中【要求安全通道（SSL）】復(fù)選項(xiàng)，并在【客戶端證書】欄中選中【接受客戶端證書】 復(fù)選項(xiàng)，再單擊【確定】按鈕。返回【目錄安全性】面板，單擊【應(yīng)用】按鈕及【確定】按鈕，完成配置。1在XP 系統(tǒng)打開瀏覽器，輸入服務(wù)器IP 地址，進(jìn)入證書申請(qǐng)主頁(yè)面，此時(shí)會(huì)顯示錯(cuò)誤 信息頁(yè)面，要求采用 的方式連接服務(wù)器，如圖所示。1把 改成 繼續(xù)訪問(wèn)，此時(shí)瀏覽器提示你要安裝證書，安裝完證書后，就可以正 常使用了。、再次打開Wireshark，并點(diǎn)擊開始抓包的按鈕。打開IE 瀏覽器，輸入網(wǎng)址://windows2003 的IP/?id=1(比如：)，然后保存Wireshark 的抓包結(jié)果2。1分析比較抓包結(jié)果1 和抓包結(jié)果2 中，對(duì)IP/?id=1 請(qǐng)求處理的差異。實(shí)驗(yàn)截圖寫出windows server 2003 下獨(dú)立根CA 的配置及應(yīng)用的過(guò)程，將重要的步驟截圖并保存。如上所示，重要的步驟截圖已置于相應(yīng)步驟下。寫出windows server 2003 下基于Web的SSL連接設(shè)置的過(guò)程，將重要的步驟截圖并保存。如上所示，重要的步驟截圖已置于相應(yīng)步驟下。實(shí)驗(yàn)心得通過(guò)此次實(shí)驗(yàn)，我學(xué)會(huì)了Wireshark抓包的基本使用方法，學(xué)到了很多課本上沒(méi)有的新知識(shí)，并對(duì)課本上的概念有了實(shí)際的更深的認(rèn)識(shí)。通過(guò)Wireshark所抓到的未使用SSL 連接和使用SSL 連接的信息的對(duì)比，我對(duì)HTTPS有了一定的了解，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)通信中的數(shù)據(jù)傳輸安全有了大概的認(rèn)識(shí)。HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。它是一個(gè)URI scheme（抽象標(biāo)識(shí)符體系），句法類同:體系。用于安全的HTTP數(shù)據(jù)傳輸。:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默 14 認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司(Netscape)進(jìn)行，并內(nèi)置于其瀏覽器Netscape Navigator中，提供了身份驗(yàn)證與加密通訊方法?，F(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付方面。它的主要作用可以分為兩種：一種是建立一個(gè)信息安全通道，來(lái)保證數(shù)據(jù)傳輸?shù)陌踩涣硪环N就是確認(rèn)網(wǎng)站的真實(shí)性，凡是使用了 的網(wǎng)站，都可以通過(guò)點(diǎn)擊瀏覽器地址欄的鎖頭標(biāo)志來(lái)查看網(wǎng)站認(rèn)證之后的真實(shí)信息，也可以通過(guò) CA 機(jī)構(gòu)頒發(fā)的安全簽章來(lái)查詢。Wireshark所抓到的未使用SSL 連接的 信息，信息是明文傳輸，而使用SSL連接的 則具有安全性的ssl加密傳輸協(xié)議，更加安全。實(shí)驗(yàn)二 配置和管理主機(jī)防火墻應(yīng)用場(chǎng)景對(duì)于Internet 上的系統(tǒng)，不管是什么情況，首先我們要明確一點(diǎn)：網(wǎng)絡(luò)是不安全的。因此，雖然創(chuàng)建一個(gè)防火墻并不能保證系統(tǒng)100%安全，但卻是絕對(duì)必要的。和社會(huì)上其它任何事物一樣，Internet 經(jīng)常會(huì)受到一些無(wú)聊的或者別有用心的人的干擾，防火墻的目的就是將這類人擋在你的網(wǎng)絡(luò)之外，同時(shí)使你仍然可以完成自己的工作。那么構(gòu)筑怎樣的Linux 防火墻系統(tǒng)才算是足夠安全呢？這是一個(gè)很難回答的問(wèn)題，因?yàn)椴煌膽?yīng)用環(huán)境對(duì)安全的要求不一樣。用一句比較恰當(dāng)而且簡(jiǎn)單的話來(lái)回答這個(gè)問(wèn)題：用戶了解自己的Linux 系統(tǒng)和設(shè)置，并且可以很好地保護(hù)好自己的數(shù)據(jù)和機(jī)密文件的安全，這對(duì)于該計(jì)算機(jī)用戶來(lái)說(shuō)就可以稱之為他的計(jì)算機(jī)有足夠的安全性。那么到底什么是防火墻呢？防火墻是一個(gè)或一組系統(tǒng)，它在網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略。實(shí)現(xiàn)防火墻的實(shí)際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣一對(duì)機(jī)制：一種機(jī)制是攔阻傳輸流通行，另一種機(jī)制是允許傳輸流通過(guò)。一些防火墻偏重?cái)r阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過(guò)。了解有關(guān)防火墻的最重要的概念可能就是它實(shí)現(xiàn)了一種訪問(wèn)控制策略。一般來(lái)說(shuō)，防火墻在配置上是防止來(lái)自“外部”世界未經(jīng)授權(quán)的交互式登錄的。這大大有助于防止破壞者登錄到你網(wǎng)絡(luò)中的計(jì)算機(jī)上。一些設(shè)計(jì)更為精巧的防火墻可以防止來(lái)自外部的傳輸流進(jìn)入內(nèi)部，但又允許內(nèi)部的用戶可以自由地與外部通信。如果你切斷防火墻的話，它可以保護(hù)你免受網(wǎng)絡(luò)上任何類型的攻擊。防火墻的另一個(gè)非常重要的特性是可以提供一個(gè)單獨(dú)的“攔阻點(diǎn)”，在“攔阻點(diǎn)”上設(shè)置安全和審計(jì)檢查。與計(jì)算機(jī)系統(tǒng)正受到某些人利用調(diào)制解調(diào)器撥入攻擊的情況不同，防火墻可以發(fā)揮一種有效的“電話監(jiān)聽”和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計(jì)功能；它們經(jīng)?？梢韵蚬芾韱T提供一些情況概要，提供有關(guān)通過(guò)防火墻的傳輸流的類型和數(shù)量，以及有多少次試圖闖入防火墻的企圖等信息。因此本實(shí)驗(yàn)將介紹如何配置linux 防火墻。VM ClientVM Server實(shí)驗(yàn)?zāi)繕?biāo) 下基本的iptables 知識(shí) VM Windows VM Linux實(shí)驗(yàn)環(huán)境虛擬機(jī)：linux,windowsXP；linux 主機(jī)用戶名：root；密碼：root 16 實(shí)驗(yàn)過(guò)程指導(dǎo) 的規(guī)則表、鏈結(jié)構(gòu)（iptables管理4個(gè)不同的規(guī)則表，其功能由獨(dú)立的內(nèi)核模塊實(shí)現(xiàn)）filter 表：包含三個(gè)鏈INPUT OUTPUT FORWARD nat表：PREROUTING POSTROTING OUTPUT mangle 表：PREROUTING POSTROUTING INPUT OUTPUT FORWARD raw 表：OUTPUT PREROUTING INPUT 鏈當(dāng)收到訪問(wèn)防火墻本機(jī)的數(shù)據(jù)包（入站）時(shí)，應(yīng)用此鏈中的規(guī)則 OUTPUT鏈當(dāng)防火墻本機(jī)向外發(fā)送數(shù)據(jù)包（出站）時(shí)，應(yīng)用此鏈中的規(guī)則 FORWARD鏈?zhǔn)盏叫枰ㄟ^(guò)防火墻發(fā)送給其他地址的數(shù)據(jù)包，應(yīng)用此鏈 PREROUTING鏈做路由選擇之前，應(yīng)用此鏈POSTROUTING鏈對(duì)數(shù)據(jù)包做路由選擇之后，應(yīng)用此鏈中的規(guī)則 raw mangle nat filter 入站數(shù)據(jù)流向：來(lái)自外界的數(shù)據(jù)包到達(dá)防火墻，首先PREROUTING規(guī)則鏈處理（是否被修改地址），之后會(huì)進(jìn)行路由選擇（判斷該數(shù)據(jù)包應(yīng)該發(fā)往何處），如果數(shù)據(jù)包的目標(biāo)地址是防火墻本機(jī)，那么內(nèi)核將其傳遞給INPUT 鏈進(jìn)行處理，通過(guò)以后再交給上次的應(yīng)用程序進(jìn)行響應(yīng)。轉(zhuǎn)發(fā)數(shù)據(jù)流向：來(lái)自外界的數(shù)據(jù)包到達(dá)防火墻后，首先被PREROUTING 規(guī)則鏈處理，之后進(jìn)行路由選擇，如果數(shù)據(jù)包的目標(biāo)地址是其他外部地址，則內(nèi)核將其傳遞給FPRWARD 鏈進(jìn)行處理，然后再交給POSTROUTIING 規(guī)則鏈（是否修改數(shù)據(jù)包的地址等）進(jìn)行處理。出站數(shù)據(jù)流向：防火墻本身向外部地址發(fā)送數(shù)據(jù)包，首先被OUTPUT 規(guī)則鏈處理，之后進(jìn)行路由選擇，然后交給POSTROUTING 規(guī)則鏈（是否修改數(shù)據(jù)包的地址等）進(jìn)行處理。依次按第1條規(guī)則、第2條規(guī)則、第3條規(guī)則??的順序進(jìn)行處理，找到一條能夠匹配的數(shù)據(jù)包規(guī)則，則不再繼續(xù)檢查后面的規(guī)則（使用LOG記錄日志的規(guī)則例外）。如果找不到匹配規(guī)則，就按照規(guī)則鏈的默認(rèn)策略進(jìn)行處理。Iptables 的基本語(yǔ)法格式選項(xiàng)名ADIR功能及特點(diǎn)在指定鏈的末尾添加（append）一條新規(guī)則刪除（delete）指定鏈中的某一條規(guī)則，按規(guī)則序號(hào)或內(nèi)容確定要?jiǎng)h除的規(guī)則 在指定鏈中插入一條新規(guī)則，若未指定插入位置，則默認(rèn)在鏈的開頭插入 修改、替換指定鏈中的一條規(guī)則，按按 17LFXPnvVhlinenumbersN iptablesL INPUTlinenumbers //查看filter表中INPUT鏈中的所有規(guī)則，同時(shí)顯示各條規(guī)則的順序號(hào)規(guī)則序號(hào)或內(nèi)容確定要替換的規(guī)則 列出指定鏈中所有的規(guī)則進(jìn)行查看，若未指定鏈名，則列出表中所有鏈的內(nèi)容 清空指定鏈中的所有規(guī)則，若未指定鏈名，則清空表中所有鏈的內(nèi)容 刪除表中用戶自定義的規(guī)則鏈 設(shè)置指定鏈的默認(rèn)策略（大p）使用數(shù)字形式顯示輸出結(jié)果，如顯示主機(jī)的IP地址而不是主機(jī)名查看規(guī)則列表時(shí)顯示詳細(xì)的信息 查看iptables命令工具的版本信息 查看命令幫助信息查看規(guī)則列表時(shí)，同時(shí)顯示規(guī)則在鏈中的順序號(hào)新建一條用戶自定義的規(guī)則鏈、清空規(guī)則 iptablesF //不指定表名時(shí)，默認(rèn)情況filter表 iptablest filterP FORWARD DROP //將filter表中FORWARD規(guī)則的默認(rèn)策略設(shè)為DROP iptablesP OUTPUT ACCEPT //將filter表中OUTPUT規(guī)則的默認(rèn)策略設(shè)為ACCEPT 18（general）條件匹配（直接使用，而不依賴于其他的條件匹配及其擴(kuò)展）協(xié)議匹配（允許使用的協(xié)議名包含在/etc/protocols文件中） iptablesAINPUTp icmp–j REJECT //拒絕進(jìn)入防火墻的所有icmp數(shù)據(jù)包地址匹配，./24網(wǎng)段的數(shù)據(jù) iptablesA FORWARDs REJECT（implicit）條件匹配（需要指定的協(xié)議匹配為前提，其對(duì)應(yīng)的功能由iptables自動(dòng)（隱含）的裝載入內(nèi)核），如果無(wú)匹配條件，默認(rèn)為REJECT。端口匹配，接下來(lái)的步驟進(jìn)行防火墻規(guī)則配置與測(cè)試禁止Windows主機(jī)ping防火墻linux主機(jī)，但是允許從防火墻上ping其他主機(jī)（允許接受ICMP回應(yīng)數(shù)據(jù)），如下圖所示： 主機(jī)ip地址，如下圖所示: 主機(jī)防火墻規(guī)則，如下圖所示： 主機(jī)和linux 主機(jī)上進(jìn)行相互ping 測(cè)試，測(cè)試結(jié)果如下圖所示：windows主機(jī)無(wú)法ping通linux防火墻主機(jī)，但是linux主機(jī)可以ping通windows主機(jī)。實(shí)驗(yàn)截圖如上所示，重要的步驟截圖已置于相應(yīng)步驟下。實(shí)驗(yàn)心得1)如何在linux 主機(jī)上配置防火墻規(guī)則以防止DDOS 高級(jí)？答：默認(rèn)的iptables規(guī)則是無(wú)法過(guò)濾DDOS攻擊數(shù)據(jù)的,我們需要添加過(guò)濾規(guī)則實(shí)現(xiàn)iptables擁有抗DDOS的能力：屏蔽 SYN_RECV 的連接A FORWARDp tcpm tcptcpflags FIN,SYN,RST,ACK SYNm limitlimit 1/secj ACCEPT 限制IP碎片，每秒鐘只允許100個(gè)碎片，用來(lái)防止DoS攻擊A FORWARDfm limitlimit 100/seclimitburst 100j ACCEPT 限制ping包每秒一個(gè)，10個(gè)后重新開始A FORWARDp icmpm limitlimit 1/seclimitburst 10j ACCEPT 限制ICMP包回應(yīng)請(qǐng)求每秒一個(gè)A FORWARDp icmpm icmpicmptype 8m limitlimit 1/secj ACCEPT 此處自定義一個(gè)表A FORWARDj RHFirewall1INPUT 完全接受 loopback interface 的封包A RHFirewall1INPUTi loj ACCEPT 允許主機(jī)接受 pingA RHFirewall1INPUTp icmpm icmpicmptype anyj ACCEPT 允許連線出去后對(duì)方主機(jī)回應(yīng)進(jìn)來(lái)的封包22A RHFirewall1INPUTm statestate RELATED,ESTABLISHEDj ACCEPT 允許防火墻開啟指定端口A RHFirewall1INPUTp tcpm statestate NEWm tcpdport portj ACCEPT 限制SSH登陸只允許在***.***.***.***上使用ssh遠(yuǎn)程登錄，從其它計(jì)算機(jī)上禁止使用ssh iptablesA INPUTs ***.***.***.***p tcpdport 22j ACCEPT iptablesA INPUTp tcpdport 22j DROP2)linux 主機(jī)防火墻處理數(shù)據(jù)包的順序是什么？答：（1）當(dāng)包到達(dá)端口時(shí)，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。大多數(shù)包過(guò)濾設(shè)備只檢查IP、TCP、或UDP報(bào)頭中的字段。（2）若一條規(guī)則阻止包傳輸或接收，則此包便不被允許。（3）若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。（4）若包不滿足任何一條規(guī)則，則此包便被阻塞。實(shí)驗(yàn)三WIFI 釣魚步驟一 共享WIFI 工具：電腦、WIN7 系統(tǒng)、無(wú)線網(wǎng)卡步驟命令提示符(cmd)右鍵，以管理員身份運(yùn)行 netsh wlan set hostednetwork mode=allow ssid=(這里寫無(wú)線網(wǎng)名字)key=(這里是密碼)更改高級(jí)適配器設(shè)置右鍵已連接到Internet 的網(wǎng)絡(luò)連接屬性切換 到“共享”選項(xiàng)卡，選中其中的復(fù)選框，并選擇允許其共享Internet 的網(wǎng)絡(luò)連接，這里即我 們的虛擬WIFI 網(wǎng)卡，繼續(xù)在命令提示符中運(yùn)行以下命令: netsh wlan st