安全

安全

---

 

PKI、SSL网站与邮件安全

加密技术

对称式加密

非对称式加密

加密密钥

加密是通过数学运算将明文和密钥结合起来产生密文。

对称密钥是指加密和和解密的密钥相同，这样为了共享加密数据就要双方必须事先交换加/解密钥。

非对称密钥是指加/解密钥不同。需要成对的密钥PK和  SK。PK加密，SK解密。PK可以在网络上传输，而要解密就必须要SK，因此保护SK是关键。

公钥加密

• 密钥交换
• 数字签名

密钥交换

• 密钥交换：结合使用对称密钥与公钥 
• 对称密钥算法非常适合于快速并安全地加密数据。但其缺点是，发件人和收件人必须在交换数据之前先交换机密密钥。结合使用加密数据的对称密钥算法与交换机密密钥的公钥算法可产生一种既快速又灵活的解决方案。
• 基于公钥的密钥交换步骤如下：

1. 发件人获得收件人的公钥。
2. 发件人创建一个随机机密密钥（在对称密钥加密中使用的单个密钥）。
3. 发件人使用机密密钥和对称密钥算法将明文数据转换为暗文数据。
4. 发件人使用收件人的公钥将机密密钥转换为暗文机密密钥。
5. 发件人将暗文数据和暗文机密密钥一起发给收件人。
6. 收件人使用其私钥将暗文机密密钥转换为明文。
7. 收件人使用明文机密密钥将暗文数据转换为明文数据。

单向散列算法

• 散列-也称为散列值 或消息摘要，是一种与基于密钥（对称密钥或公钥）的加密不同的数据转换类型。散列就是通 过把一个叫做散列算法的单向数学函数应用于数据，将任意长度的一块数据转换为一个定长的、不可逆转的数字。所产生的散列值的长度应足够长，因此使找到两块 具有相同散列值的数据的机会很少。发件人生成邮件的散列值并加密它，然后将它与邮件本身一起发送。而收件人同时解密邮件和散列值，并由接收到的邮件产生另外一个散列值，然后将两个散列值进行比较。如果两者相同，邮件极有可能在传输期间没有发生任何改变。
• 常用的单向散列函数 
• MD5。 MD5 是由 Ron Rivest 设计的可产生一个 128 位的散列值的散列算法。MD5 设计经过优化以用于 intel 处理器。这种算法的基本原理已经泄露，这就是为什么它不太受欢迎的原因。
• SHA-1。与 DSA 公钥算法相似，安全散列算法 1（SHA-1）也是由 NSA 设计的，并由 NIST 将其收录到 FIPS 中，作为散列数据的标准。它可产生一个 160 位的散列值。SHA-1 是流行的用于创建数字签名的单向散列算法。

数字签名

• 张三今天很不幸，打开了一个假的网上银行网站，用自己的网上银行登录信息登录了，结果登录信息被盗，造成帐户被盗。
• 李四今天也很不幸，他的电脑被人装了个木马，在登录网上银行的时候，被木马把登录信息盗取了，也造成帐号被盗。
• 要是能在网上银行上签名就好了，这样银行就可以判断交易请求是不是账户持有人发出的了。如果发现签名不是账户持有者的，就拒绝请求，这样就可以防止类似的事件发生了。现在这种签名已经出现了，就是电子签名，只是这个签名，不是用笔，而是通过软件来实现。
• 当A需要发送证明自己身份的信息的时候，就可以在发送之前用自己的私钥对信息做加密，接收方发现是A发的信息，那么用A的公钥来解密确认，如果成功则说明该信息确实是A发送的。这就完成了一个签名的过程。这就是电子签名的原理。

数字签名使用私钥对签名数据进行加密

l 只有拥有私钥的人才能进行数字签名。

l 任何人都可以通过相应的公钥鉴别数字签名的真伪。

l 如果对签名后的数据进行了数据的任何修改，数字签名将失效。

常用公钥算法

• RSA-适用于数字签名和密钥交换。Rivest-Shamir-Adleman (RSA) 加密算法是目前应用最广泛的公钥加密算法，特别适用于通过 Internet 传送的数据。RSA 算法的安全性基于分解大数字时的困难（就计算机处理能力和处理时间而言）。在常用的公钥算法中，RSA 与众不同，它能够进行数字签名和密钥交换运算。。
• DSA-仅适用于数字签名。DSA 算法的安全性源自计算离散算法的困难。这种算法仅用于数字签名运算（不适用于数据加密）。Microsoft CSP 支持 DSA 算法。
• Diffie-Hellman-仅适用于密钥交换。  

数字证书

• 数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件。最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。
• 如果您有驾驶执照，就可用它来比喻数字证书了。驾驶执照上有一个唯一的密钥（您的执照号码）和一些属性（到期日、您的姓名、地址、头发颜色等）。它由可信的机构颁发，上面有钢印，以防假冒。任何信任颁发驾照机构的人在检查钢印的完整性后,会相信其真实性。但是，该比喻在此处有不同之处 - 真实世界中，只有政府才能颁发驾驶执照，所以任何人都知道 Joe's Really Good DMV 颁发的驾照是无效的。对于数字证书，您该如何判断呢？

数字证书颁发过程

• 数字证书颁发过程一般为：

1. 主体发出证书申请，通常情况下，主体将生成密钥对，有时也可能由CA完成这一功能;
2. 主体将包含其公钥的证书申请提交给CA，等待年批准。CA在收到主体发来的证书申请后，必须核实申请者的身份，一旦核实，CA就可以接受该申请，对申请进行签名，生成一个有效的证书;
3. CA将分发证书，以便申请者可使用该证书。

CA---证书颁发机构

• CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和 CRL发布和事件日志记录等几项重要的任务。
• 一般来说这是个第三方机构，就像公安局的户政科一样，负责发放证明个人身份的身份证。只不过这个机构发放的是数字证书。

PKI---公钥基本结构的概念

• 术语公钥基本结构（PKI）用于描述管制或操纵证书与公钥及私钥的策略、标准和软件。实际上，PKI 是指由数字证书、证书颁发机构 (CA) 以及对电子交易所涉及各方的合法性进行检查和验证的其它注册机构组成的一套系统。PKI 的有关标准仍处于不断发展之中，即使这些标准已被作为电子商务的要素而广泛实施。

证书颁发机构CA与根CA的安装

无论是邮件保护还是SSL网站安全连接，都必须先申请证书，才可以使用公钥与私钥来执行数据加密与数据认证，证书发放机构叫做CA。

CSP中存储了证书申请人的信息，并自动创建一对密钥，然后把私钥存储到申请计算机的注册表中，然后把证书申请数据和公钥一起发到CA。CA用私钥到证书签名，发放给用户，用户将其装到计算机中。

证书文件格式

• 作为文件形式存在的证书一般有这几种格式：
• 　　1.带有私钥的证书，包含了公钥和私钥的二进制格式的证书形式，以pfx作为证书文件后缀名。
• 　　2.二进制编码的证书。证书中没有私钥，DER 编码二进制格式的证书文件，以cer作为证书文件后缀名。
• 　　如果要导出私钥（pfx),是需要输入密码的，这个密码就是对私钥再次加密，这样就保证了私钥的安全，别人即使拿到了你的证书备份（pfx),不知道加密私钥的密码，也是无法导入证书的。相反，如果只是导入导出cer格式的证书，是不会提示你输入密码的。因为公钥一般来说是对外公开的，不用加密。
• 　　在pfx证书的导入过程中有一项是“标志此密钥是可导出的。这将您在稍候备份或传输密钥”。一般是不选中的，如果选中，别人就有机会备份你的密钥了。如果是不选中，其实密钥也导入了，只是不能再次被导出。这就保证了密钥的安全。

11.2IPSec与网络安全

IPSec安全体系结构

• IPSec（IP Security）是一种由IETF设计的端到端的确保IP层通信安全的机制。
• IPSec不是一个单独的协议，而是一组协议，IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案，已经成为工业标准的网络安全协议。
• IPSec在IPv6中是必须支持的，而在IPv4中是可选的。

IPSec的功能

• 保证数据来源可靠

– 在IPSec通信之前双方要先用IKE认证对方身份并协商密钥，只有IKE协商成功之后才能通信。由于第三方不可能知道验证和加密的算法以及相关密钥，因此无法冒充发送方，即使冒充，也会被接收方检测出来。

• 保证数据完整性

– IPSec通过验证算法保证数据从发送方到接收方的传送过程中的任何数据篡改和丢失都可以被检测。

• 保证数据机密性

– IPSec通过加密算法使只有真正的接收方才能获取真正的发送内容，而他人无法获知数据的真正内容。

IPSec体系结构图

 

传输模式和隧道模式

• Ipsec 在不同应用需求下会有不同的工作方式。

 

 

AH协议和ESP协议

• AH协议（Authentication Header，使用较少）：可以同时提供数据完整性确认、数据来源确认、防重放等安全特性；
• ESP协议（Encapsulated Security Payload，使用较广）：可以同时提供数据完整性确认、数据加密、防重放等安全特性。
• 因为AH无法提供数据加密，所有数据在传输时以明文传输，而ESP提供数据加密；
• 其次AH因为提供数据来源确认（源IP地址一旦改变，AH校验失败），所以无法穿越NAT。
• 当然，IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性。

AH协议工作原理

• AH 的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP 包头后面，对数据提供完整性保护。
• AH常用摘要算法（单向Hash函数）MD5和SHA1实现该特性。

 

ESP 协议工作原理

• ESP 的工作原理是在每一个数据包的标准IP 包头后面添加一个ESP 报文头，并在数据包后面追加一个ESP 尾。与AH 协议不同的是，ESP 将需要保护的用户数据进行加密后再封装到IP 包中，以保证数据的机密性。
• ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。

 

IPSec运行模式

• 传输模式（Transport Mode）和隧道模式（Tunnel Mode）。
• AH和ESP都支持这两种模式，因此有四种组合：

– 传输模式的AH

– 隧道模式的AH

– 传输模式的ESP

– 隧道模式的ESP

• 传输（transport）模式：应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。
• 隧道（tunnel）模式：应用在两个安全网关之间的通讯。

SA（安全关联）

• 　 两台IPSec计算机在交换数据之前，必须首先建立某种约定，内容包括采用何种IPSec协议（AH还是ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等，从而决定了保护什么、如何保护以及谁来保护。
• 这种约定，称为SA“安全关联”，可以说SA是构成IPSec的基础。

SA的组成元素

　 它由下列元素组成：

1）安全参数索引SPI；

2）IP目的地址；

3）安全协议。

　 SA是一个单向的逻辑连接，也就是 说，在一次通信中，IPSec 需要建立两个SA，一个用于入站通信，另一个用于出站通信。

若某台主机，如文件服务器或远程访问服务器，需要同时与多台客户机通信，则该服务器需要与每台 客户机分别建立不同的SA。每个SA用唯一的SPI索引标识，当处理接收数据包时，服务器根据SPI值来决定该使用哪种SA。

IKE（Internet密钥交换）

在实施 IPsec 的过程中，可以使用IKE（Internet Key Exchange，因特网密钥交换）协议来建立SA。

IKE 为IPsec 提供了自动协商交换密钥、建立SA 的服务，能够简化IPsec 的使用和管理，大大简化IPsec 的配置和维护工作。

IKE 不是在网络上直接传输密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，并且即使第三方截获了双方用于计算密钥的所有交换数据，也不足以计算出 真正的密钥。

IKE的主要功能就是在通信双方协商SA。

IKE 的两个阶段

• IKE 使用了两个阶段为IPsec 进行密钥协商并建立SA：
• (1) 第一阶段，通信各方彼此间建立了一个已通过身份认证和安全保护的通道。
• (2) 第二阶段，用在第一阶段建立的安全隧道为IPsec 协商安全服务，即为IPsec 协商具体的SA，建立用于最终的IP 数据安全传输的IPsec SA。

IPSec安全通信的实现

1.协商：身份验证

• Kerberos V5
• 证书
• 共享密钥

2.协商：算法，产生密钥

• AH完整性：MD5/SHA-1
• ESP加密 : DES/3DES

3.数据通信

IPsec 与IKE 的关系图

 

从上图中我们可以看出IKE和IPsec的关系：

� IKE 是UDP 之上的一个应用层协议，是IPsec 的信令协议；

� IKE 为IPsec 协商建立SA，并把建立的参数及生成的密钥交给IPsec；

� IPsec 使用IKE 建立的SA 对IP 报文加密或认证处理。

IPSec的实施

• 在主机实施
• 在路由器中实施

高级安全windows防火墙

IPSec策略

l IPSec使用策略及其中的规则来提升网络安全性

l 规则包含：

l 筛选器:地址、协议（端口）

l 筛选器动作：许可、阻止、协商安全

l 身份验证方法

l 默认策略（老版）：

l Client（Respond Only）

l Server （Request Security）

l Secure Server （Require Security）

SSL VPN

l SSL VPN工作在TCP层，这个技术特性决定了它是一种基于应用的VPN，可以更好的作应用层的安全访问控制机制，并能够做到底层无关性，可以做到部署方式更灵活。由于它的客户端只需要具有SSL 功能的标准浏览器即可，可以看作是无客户端的VPN方案，被认为是SSL VPN的主要特点。

l IPSec VPN是工作在IP层上，是在networks层进行认证和加密的，它的建立需要在VPN的两端建立IPSec 隧道，一旦隧道建立好，所有的数据流量都从这个隧道穿过，并可以支持之上任意一种IP应用。

l SSL用来保护在传输层（TCP）上通信的数据的安全，而IPSEC除此之外还用来保护在IP层上的数据包的安全，如UDP包。

l SSL可以单向认证（仅认证服务器），但IPSEC要求双方认证。  

l IPsec有一些关键功能，例如支持各种算法和应用程序(包括VoIP)，并且提供数据包检查功能。但是作为VPN协议，IPsec比SSL具有更高的维护管理成本。

 

IPSec

实验目的：

1. 了解IPSec的概念

2. 掌握在Windows 2008 Server服务器上配置IPSec服务。

实验环境

学生机运行xp操作系统，安装虚拟机软件并运行2个server2008操作系统。

试验原理

IPSec 协议不是一个单独的协议，它给出了应用于IP 层上网络数据安全的一整套体系

结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating

Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证

及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密

钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

IPSec 是一个标准框架，它在两个对等体之间的网络层上提供如下安全特性：

Ø 数据的机密性

Ø 数据的完整性

Ø 数据验证

Ø 抗回放检测

Ø 对等体验证

IETF 在不同的FRC 中定义了IPSec 的标准，因为它在设备或网络之间提供了网络层

的保护，并且是一个开放的标准，所以它通常用于今天使用的IPv4 和IPv6 的网络。

关于 IPSec 具体信息可以参考我的博文“Cisco VPN 完全配置指南-IPSec”。

Windwos 服务器也支持IPSec 特性，特别是在windows server 2008 对IPSec 特性更

加强大。

在 Windows 2000 和 Windows Server 2003 中，当前部署早期的 IPSec 规则。早

期的 IPSec 规则由 policyagent 服务管理。这些 IPSec 规则是支持基于计算机的

Kerberos 身份验证、 x 509 证书或预共享密钥身份验证的 Internet 密钥交换 (IKE) 规

则。在"IPSec 策略管理"MMC 管理单元中配置这些 IPSec 规则。在 Windows 2000 中

相同的方式在和 Windows Server 2003 中，将应用基于 IKE 的 policyagent 规则。虽然

多个策略可应用于给定的计算机，仅能在最后一个策略应用的是成功。这根据"最后编写器

入选"方法。此外，IKE 策略设置不能合并。

在 Windows Server 2008 中使用连接安全规则部署IPSec。连接安全规则支持 IKE

称为经过身份验证的 IP (AuthIP) 的扩展。 AuthIP 添加了对以下身份验证机制的支持：

Ø 交互式用户 Kerberos 凭据或交互式用户 NTLMv 2 凭据

Ø 用户 x 509 证书

Ø 计算机安全套接字层 (SSL) 证书

Ø NAP 运行状况证书

Ø 匿名身份验证（可选身份验证）

可以配置安全规则为"Windows 防火墙和高级的安全"管理单元通过使用以下工具：

Ø 基于域的组策略

Ø "具有高级安全性的 Windows 防火墙"管理单元

请注意 在"具有高级安全性的 Windows 防火墙"管理单元是默认存储位置为可以通过

使用 wf.msc 命令访问的策略。

Ø 在本地组策略管理的中 (Gpedit.msc)

Ø netsh advfirewall 命令

试验内容

下面通过几个实验来验证其IPSec 的特性。

 

 

任务一、主机与主机的IPSec 通信（预共享密钥）

 

实验拓扑图:（IP地址可以自己调整设置）

 

实验步骤

1.为配置完成后，需要对配置进行验证，需要window 防火墙允许ping 通过，先配置防

火墙允许ping 通过。

在管理工具——高级windows 防火墙——入站规则——选择回显请求-ICMPv4-IN——

启动规则。这样允许了ping 通过。如下图所示。

 

 

在另外一台服务器也采用相同的配置，打开防火墙的ping 通过。配置完成后，使用ping

命令测试一下是否能够通信。

 

由server1 ping server2的网卡10.x.y.2
由server2 ping server1的网卡10.x.y.1

 

2．选 管理工具——高级windows 防火墙——连接安全规则——右键新规则，如下图所示。

 

 

3．在新建连接安全规则向导中选择“隔离”，如下图所示。

 

点击一下步，选择“入站和出站连接要求身份验证”，如下图所示。

 

4．点击下一步，选择“高级”，然后点击“自定义”。如下图所示。

 

在自定义高级身份验证方法——第一身份验证方法——添加，

 

5．弹出如下对话框，选择预共享密钥，然后输入口令，如下图所示。

 

配置完成后，点击确定，点击下一步，选择应用此规则的配置文件，如下图所示。

 

6．点击下一步，为此规则命名，点击完成，则配置完成。如下图所示。

 

 

7．另外一台计算机也采用相同的配置。配置完成后，可以从一台主机使用ping 命令与对方主机进行通信，测试结果如下。

 

由server1 ping server2的网卡10.x.y.2
由server2 ping server1的网卡10.x.y.1

 

8．验证其通信是使用IPSec 加密进行通信的，在管理工具——高级windows 防

火墙——监视——安全关联——主模式或快速模式中可以查看其连接状态。

 

主模式
快速模式

 

任务二、站点与站点间的 IPSec 通信（计算机证书）

实验拓扑图:（IP地址可以自己调整设置）

 

实验步骤

1、安装“证书服务”角色[添加必需的角色服务，其余一路“下一步”]

 

 

 

2、在两台机器上申请证书时，都需要IE进行一些更改：

1将本地Intranet安全级别暂时调为“低”级别

2将CA服务器的IP添加为本地Intranet信任站点。

 

 

3. 在VPN服务器打开IE，键入http://10.1.1.1/certsrv/。申请证书------高级证书申请------创建并向此CA提交一个申请。

注意事项：

在高级证书申请里的姓名一定要与本机用户相同相同；

证书类型选择客户端身份验证证书（不必要选择IPSEC）；

勾选上可导出私钥；

其余保持默认。

 

 

4.在CA服务器上颁发证书

 

 

5.在服务器上分别打开IE，键入http://10.1.1.1/certsrv/；选择“查看挂起的证书申请的状态”的任务-----“安装此证书”。

注意：

如果出现： “该 CA 不受信任。若要信任从该证书颁发机构颁发的证书， 请安装该 CA 证书”将证书安装至“受信任的根证书颁发机构”的提示。

就在当前IE浏览器的窗口点刷新，点“安装此证书”；至出现“ 您的新证书已成功安装。”即可。

 

6.在服务器上“开始”—“运行”键入“mmc”—在控制台窗口“文件”—“添加/删除管理单元”—将“证书”添加进行（重复两次该操作，第一次将“我的用户帐户”添加进去，第二次将“计算机账户”添加进去）。

 

 

7、导出证书：

在[当前用户\个人\证书]中将个人证书（.pfx文件）导出，注意导出证书时要点选导出私钥。

 

8、导入证书

在[本地计算机\个人\证书]中将刚才导出的证书导入。

 

9、同任务1的 1-3步

10．点击下一步，选择“高级”，然后点击“自定义”。如下图所示。

 

在自定义高级身份验证方法——第一身份验证方法——添加，并选择来自下列证书颁发机构CA的计算机证书。

注意：选择刚才给我们颁发证书的CA，也就是10.1.1.1CA。

 

 

11．另外一台计算机也采用相同的配置。配置完成后，可以从一台主机使用ping 命令与对方主机进行通信，测试结果如下。

 

由server1 ping server2的网卡10.x.y.2
由server2 ping server1的网卡10.x.y.1

 

12．验证其通信是使用IPSec 加密进行通信的，在管理工具——高级windows 防

火墙——监视——安全关联——主模式或快速模式中可以查看其连接状态。

 

 

 

任务三、站点与站点间的 IPSecc 通信(选作)

拓扑图如下所示。

 

实验环境

需要注意的是：在这个实验中，需要在两台服务器上启用路由与远程访问，将其设置为LAN 路由模式并添加静态路由，使用其具路由器功能。(注:添加rip协议受防火墙的影响,不好用,需要路由信息交换成功,验证个计算机可以ping通后再开启防火墙,)

 

实验步骤

1．配置路由器1，与上面例子一样，在防火墙上设置允许ping 通过，以便进行测试，在管理工具——高级windows 防火墙——连接安全规则——名键新规则，如下图所示。

 

2．在规则类型中选择“隧道”，如下图所示。

 

3．在隧道终结点中配置远程站点与本地站点的地址，首先配置本地站站点，点击添加，如

下图所示。

 

4．在终结点1中的计算机后点添加，输入本地站点的子网网段10.x.y.0/24，抓图如下。

 

5．然后在终结点2中的计算机后点添加，添加远程站点的子网网段10.2x.y.0/24。

 

6．然后输入本站点的网关（最接近终结点1中的计算机）10.3x.y.100和远程站点的网关（最接近终结点2中的计算机）10.3x.y.200。

 

 

7．在身份验证方法中选择预共享密钥方式（密钥123456）。

 

8．配置规则应用的配置文件，如下图所示。

 

9．最后为此规则命名，点击完成，完成配置，如下图所示。

 

10．对端路由器2也采用相同的方式配置，配置完成后，可以采用ping 命令和抓包的方法进

行验证。

 

 

11.3RADIUS服务器

身份认证概述——AAA

• 在计算机网络安全领域，将认证、授权与审计统称为AAA或3A，即英文Authentication（认证）、Authorization（授权）和Accounting（审计）。

   1．认证

    认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资源的问题。

   2．授权

    授权是指当用户或实体的身份被确定为合法后，赋予该用户的系统访问或资源使用权限。

   3．审计

    审计也称为记帐（Accounting）或审核，出于安全考虑，所有用户的行为都要留下记录，以便进行核查。

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。

 

RADIUS协议采用了客户机/服务器（C/S）工作模式。

  1. 网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。

  2. RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。

  3. 服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。

 

• 如果网络内有多台远程访问服务器、VPN服务器，则你可以将这些服务器的验证身份、记帐工作，集中传给“RADIUS服务器”或是其代理服务器来运行。

 

 

 

为WEB站点启用HTTPS

1、 搭建CA服务器

2、 为IIS服务器安装证书

3、 客户机测试SSL

 

一、 搭建CA服务器

 

二、为IIS服务器安装证书

1.创建申请证书

 

 

2、提交证书申请

 

3、 下载证书并安装

 

4、 为WEB站点配置SSL

 

三、客户机使用HTTPS协议访问网站

 

 

NPS及Radius实验

实验项目：配置RADIUS服务器控制VPN访问

实验环境：

 

1. 学生机运行xp操作系统，安装虚拟机软件并运行2个server2008操作系统。
2. 为每个虚拟机安装两块网卡，具体配置如上图。

 

实验准备：

 server 2008 B作为RADIUS服务器

server 2008 A作为RADIUS客户端

 作为远程拨入客户端

 

环境搭建完成如图

 

实验步骤：

1、以管理员登陆RADIUS服务器（server B），打开服务器管理器。

 

  下一步---添加网络策略和访问服务

 

  下一步---添加网络访问服务器

 

  安装---完成

 

  

2、以管理员身份登录RADIUS客户端（server A），打开服务器管理器

 

  选择要安装的服务

 

  下一步----选择要安装的组件

 

  下一步---安装----完成

 

  在radius客户端（server A）上打开路由和远程访问服务管理器，开始---程序---管理工具---路由和远程访问，或者是在运行里输入rrasmgmt.msc

 

  右击服务器，配置并启用路由和远程访问

 

  进入配置向导---下一步---在配置中选择远程访问（拨号或VPN）

 

  在远程访问选择 VPN

 

  选择连接外网的网卡

 

  选择为连接的客户端分配的IP，如果有DHCP服务则可以选择第一项，没有则手动配置，（本机没有DHCP）

 

  配置手动分配的ip地址范围

 

  选择是否与服务器一起工作（我选择的是否）

 

  完成

 

  如果是域环境下：在RADIUS客户端（server A）打开AD用户和计算机，新建一个user1用户。

如果是非域环境：在RADIUS客户端（server A）打开计算机管理，添加一个user1用户。

然后右击用户---属性

 

  属性---拨入---允许拨入

 

  

3、在客户端XP打开网络连接---创建一个新的连接

 

 

  打开向导---下一步---选择连接到我的工作场所的网络

 

  选择虚拟拨号连接

 

 

  输入公司名称（自定义）

 

 

 

  输入VPN服务器的地址（外网）

 

  输入用户名---连接

 

  连接上

 

  

 

配置RADIUS服务器

  1、在RADIUS服务器（server B）上打开网络策略服务器，开始---程序---管理工具---网络策略服务器。

  展开RADIUS客户端和服务器，右击RADIUS客户端---新建RADIUS客户端

 

  编辑新建配置

 

  确定---完成

 

  在RADIUS服务器（server B）上添加一个user2用户。

然后右击用户---属性，属性---拨入---允许拨入

 

  2、在RADIUS客户端（server A）右击服务器---属性

 

  选择安全选项卡，展开身份验证提供程序，选择RASIUS身份验证，

 

  添加---服务器名称输入服务器的IP地址，共享机密输入服务器端设置的---确定

 

  配置完成后重启服务

 

 

3、在XP上输入用户名---连接

输入 user1用户

 

发现连接不上

 

 

输入 user2用户

 

显示成功。

 

请分析原因？

 

 

 

 

配置NPS网络访问保护

在RADIUS服务器（server B）的user2用户。

然后右击用户---属性，属性---拨入---通过NPS网络策略控制

 

 

在RADIUS服务器（server B）上配置策略，展开策略，右击连接请求策略---新建

 

  配置新建连接请求策略（名称自定）

 

  下一步，添加条件（条件可以自定，我现在添加一条周一到周五8：00-18：00之间可以访问，其他时间不可以访问）

 

  连续4次下一步，完成

 

  右击网络策略----新建

 

 

  编辑策略名称及网络连接方法

 

  同样配置周一到周五8：00-18：00允许登陆

 

  下一步---制定访问权限

 

  下一步---配置身份验证方法

 

   下一步---配置约束

 

  下一步---配置设置

 

  完成

 

  查看服务器上的时间（看是否是在周一至周五的8：00-18：00）

 

  

  在远程客户端（XP）连接----可以连接

 

  更改RADIUS服务器上的时间，再次验证

 

 

  在远程客户端（XP）再次连接，发现失败

 

  

请分析原因？

转载于:https://www.cnblogs.com/Aha-Best/p/11081164.html