中职 Windows操作系统安全配置任务5 站点间IPSec传输加密教学课件

中职Windows操作系统安全配置任务5站点间IPSec传输加密教学课件工信版任务5站点间IPSec传输加密项目二ActiveDirectory域环境服务器服务安全配置社任务描述

网络安全工程师小张所在的学校，于本市其他区成立了一所分校，由于工作的需要，使用网关服务器通过VPN隧道来进行分校区和校本部间的数据通信，以实现动态调配管理。考虑到数据在Internet网络中传输的安全性，现在需要对传输数据进行加密以保障数据的安全可靠。任务分析 校园网内已经有了证书服务器，我们可以通过证书和IPSEC协议策略来加密传输的数据。任务分析 IPSec是一种开放标准的框架结构，它通过使用加密安全服务来确保IP网络上保密安全的通信。Windows的IPSec执行基于由Internet工程任务组(IETF)IPSec工作组开发的标准。IPSec策略用于配置IPSec安全服务。支持TCP、UDP、ICMP、EGP等大多数通信协议，可为现有网络中的通信提供各种级别的保护。可以根据计算机、域、站点的安全需要来配置策略。操作步骤实验环境拓扑操作步骤1.先登入校本部的网关服务器S1,访问校内CA服务器证书申请网站/certsrv/，点击【申请证书】为s1服务器申请证书。操作步骤2.鼠标【左键】点击，【高级证书申请】。操作步骤3.鼠标【左键】点击【创建并向此CA提交申请】。操作步骤4.鼠标【左键】点击“证书模板”下的选项，选择【IPSec(脱机申请)】模板。操作步骤5.输入申请信息，秘钥选项保持默认状态，设置一个证书名称（如：IPSecVPN），点击【提交】。操作步骤6.鼠标【左键】点击，【安装此证书】。操作步骤7.回到证书申请首页，点击【下载CA证书、证书链或CRL】。操作步骤8.点击【下载CA证书】。保存至桌面。操作步骤9.鼠标【左键】双击桌面的证书文件，打开证书。点击【安装证书】按钮。操作步骤10.选择【将所有的证书放入下列存储】，后点击【浏览】。操作步骤11.在选择证书存储位置中勾选【显示物理存储区】，选择【受信任的根证书颁发机构】-【本地计算机】。点击【确定】。然后点击【下一步】。操作步骤12.证书安装完成。操作步骤13.在桌面【开始】菜单的【运行】中，输入命令“gpedit.msc”,打开本地安全策略。操作步骤14.在【本地组策略编辑器】中，展开左侧栏目，【Windows设置】-【安全设置】选择【IP安全策略，在本机计算机】鼠标【右键】，点击【创建IP安全策略】。操作步骤15.打开【IP安全策略向导】，点击【下一步】。操作步骤16.输入策略名称，点击【下一步】。操作步骤17.选择默认不勾选此功能，点击【下一步】。操作步骤18.点击【完成】开始编辑策略。操作步骤19.点击【添加】，打开安全规则向导。操作步骤20.在【安全规则向导】中点击【下一步】，进行隧道终结点设置，选择【此规则不指定隧道】。点击【下一步】。操作步骤21.在网络上类型中选择【所有网络连接】，点击【下一步】。操作步骤22.点击【添加】，添加IP筛选策略。操作步骤23.在IP筛选器列表中，点击【添加】设置规则。操作步骤24.在IP筛选器向导中点击【下一步】，设置IP流量源，在原地址选择【一个特定的IP地址或子网】，然后输入本机外网卡端口IP地址。点击【下一步】。操作步骤25.在目的址选择【一个特定的IP地址或子网】，然后输入对端外网卡端口IP地址。点击【下一步】。操作步骤26.设置IP协议类型选择【任何】协议。点击【下一步】完成筛选器配置。操作步骤27.点击【确定】筛选器配置完成。操作步骤28.选择创建好的筛选器，点击【下一步】。操作步骤29.在筛选器操作界面中点击【添加】打开筛选器操作向导，点击【下一步】输入筛选器操作名称。操作步骤30.在筛选器操作常规中，选择【协商安全】点击【下一步】。操作步骤31.选择【不允许不安全的通信】，点击【下一步】。操作步骤32.在IP流量安全中选择【完整性和加密】后点击【完成】，筛选器操作设置结束。操作步骤33.选择刚刚创建的筛选器，点击【下一步】。操作步骤34.设置身份验证方法，选择【使用由此证书颁发机构（CA）颁发的证书】后点击【浏览】。操作步骤35.选择导入的证书（test-DC-CA）点击【确定】然后点击【下一步】。操作步骤36.点击【完成】安全策略规则配置完成。操作步骤37.点击【确定】，规则创建完成。操作步骤38.在本地组策略编辑器中，右侧单击鼠标【左键】选中策略，单击鼠标【右键】，选中【分配】应用策略。操作步骤39.校本部站点已经配置完成。使用相同的方法，配置分部网关服务器。让后测试，使用ping命令，测试对端端口，