第五章 利用IPSec建立安全TCP IP连接.doc

第5章 利用IPSEC建立安全TCP/IP连接5.4 IPSEC的配置5.4.1 企业背景你的公司正在制订一项包括业务伙伴在内的规划。有关这项规划的工作要求极其保密。你的业务伙伴将利用Internet访问你的服务器上的某些数据。你必须确保你公司的计算机和你的业务伙伴计算机之间的所有网络数据流通都加密进行。作为公司的网络管理员，你将采用IPSEC为跨越Internet的通信提供安全的保护（在这里我们将要通信的计算机名分别命名为HOSTA和HOSTB）。5.4.2 配置步骤l 创建并指定一个IPSEC策略l 创建新的IPSEC策略实验背景l 监测IPSEC的分配创建并指定一个IPSEC策略1、 登录到HOSTA，单击“开始”，然后单击“运行”按钮，在运行中输入“MMC”，打开微软管理控制台，最大化控制台根窗口。2、 在控制台1的单中，单击“添加/删除插件”。3、 在“添加/删除插件”对话框中，单击“添加”按钮。4、 在对话框中，确认选择“IP安全策略管理”，单击“添加”并选择“本地计算机”按默认设置完成IPSEC的添加。5、IPSEC启动后，会打开一个管理控制台，里面有一些预定义的策略。6、在HOSTB上同样以上面的步骤启用IPSEC。 创建新的IPSEC策略1、登录到HOSTA，在控制台树中，右键单击“本地计算机上的安全性策略”，再单击“创建IP安全策略”，进入“IP安全策略向导”。2、在名称中输入“Stop ICMP”，描述中输入“双方计算机进行ICMP协商实验”，然后单击“下一步”，选中“激活默认响应规则”，再单击“下一步”。3、在身份验证方法中选择“预共享密钥”，输入交换口令“123456”4、编辑 “Stop ICMP”属性，在“规则”中单击“添加”按钮，选“下一步”进入“创建IP安全规则向导”，在“遂道终结点”选择“此规则不指定遂道”，点击“下一步”，在网络类型中选择“所有网络连接”，点击“下一步”进入“IP筛选器列表”。5、 在“IP筛选器列表”中选择“所有ICMP通讯”，点击“下一步“，在“筛选器操作”中选择“需要安全”，点击“编缉”按钮，在“需要安全属性”中选择“协商安全”，点击“确定”，点击“下一步”进入“身份验证方法”页。5、在“身份验证方法”中（若计算机在域中）则选择“Active Directory默认值（Kerberos V5协议）。反之一般选择“预先共享的密码”并设置“密码”，然后单击“下一步”，点击“完成”按钮，完成IP安全策略的编辑。6、 回到IPSEC的管理控制台，在右边的详细窗格中可以见到新建的策略。7、 右击“Stop ICMP”策略，点击“指派”。这样，在计算机HOSTA则启用了一个IPSEC策略，这个策略可以对其它网络中的ICMP流量进行筛选。 监测IPSEC策略的分配在两台启用IPSEC的计算机上均作以下设置。1、 单击“开始”，指向“运行”，键入 MMC，然后单击“确定”。 2、 单击“文件”，再单击“添加/删除管理单元”，然后单击“添加”。 3、 单击“IP 安全监视器”，再单击“添加”。 4、 单击“关闭”，然后单击“确定”。5、 在控制台树中，右键单击“IP 安全监视器”，然后单击“添加计算机”。6、 在“添加计算机”对话框中： 对于本地计算机，请单击“此计算机”（对于远程计算机，请单击“下列计算机”，然后键入该远程计算机名称。或者，单击“浏览”在网络上查找该计算机）。 7、 双击“活动策略”，在详细窗格中可以见到启用的策略列表。8、 展开“主模式”，双击“统计”，可以看到对IPSEC活动的统计信息。9、两台测试用的计算机互相用Ping命令进行ICMP活动的测试，结果如下图。表明ICMP流量在双机协商时没有协商成功。9、 在“筛选器操作属性“中改变筛选器操作动作，然后再在“IP安全监视器”中观看统计的流量信息，从中可知IPSEC进行SA协商的情况。5.4.3 练习思考1、IPSEC有哪些身份验证方法，分别适用于什么场合？2、IPSEC的加密在哪里进行设置？3、IPSEC的预定义策略有哪些，有什么特点？4、用ping和net view两个命令进行IPSEC配置及测试。5、试试利用IPSEC来保护FTP通信。5.5 本章复习本章讲述了IPSEC的工作原理及其为网络通信提供的安全保障。IPSEC是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。它工作于网络层，与应用程序无关，也就是说不管是什么样的应用程序，当它的数据通过IP层时都会得得保护。IPSec 策略用来配置 IPSec 安全服务。我们可以用预定义或新创建的策略为多数现有网络中的多数通信类型提供各种级别的保护。IPSEC提供的身份验证方法有：默