使用ISec保护网络通信

为了防止虚拟机蓝屏，今天实验全部使用克隆的虚拟机。不要启动虚拟机，克隆以下虚拟机，保存在D盘（注意一定是D盘）自己所建的目录里。IPSec原理使用internet协议安全（InternetProtocolSecurity，IPSec）是解决网络安全问题的长久之计。它能针对那些来自专用网络和internet的攻击提供重要的防线，并在网络安全性与便用性之间取得平衡。IPSec是一种加密的标准，它允许在差别很大的设备之间进行安全通信。利用IPSec不仅可以构建基于操作系统的防火墙，实现一般防火墙的功能。它还可以为许可通信的两个端点建立加密的、可靠的数据通道。IPSec安全策略规则窃筛选现器牲源地司址喜–且目铜标地闯址搬协议便类型纽筛选订器操拒作慢许可扇阻止宾协商固安全催身份扑验证虏方法陡Ke绝rb投er塞os铁协识议伸证书靠预共岂享密闪钥任务一使用IPSec实验目的：掌握IPSec可以使得网络中计算机之间的通信更加安全。实验成功结果:Xp1和Xp2之间的通信受到了控制。启动两台虚拟机分别设置他们的Ip地址如下：挑主机颠名卵I迷p芽子网填掩码编默认到网关恩首选谣DN既S彼X识p1淹(内乓xp织)叼19拌2.笼1龄68窝.1掩00挽.1孤0狮25首5.帆25僵5.疲25距5.蚂0千空画空升X炼p2超(内键域x洲p)判19壳2.帽16税8.个10封0.四20推25场5.闯25蜘5.件25带5.楼0详空纲空配置Xp1的IPSec（1）建立新的IPSec策略1）控制面板→管理工具→本地安全策略→打开"本地安全设置"对话框。2）右击"IP安全策略，在本地机器"，选择"创建IP安全策略"→下一步。3）为新的IP安全策略命名并填写策略描述，单击"下一步"继续。4）通过选择"激活默认响应规则"复选框接受默认值→下一步5）选择"ActiveDirectory默认值"作为默认响应规则身份验证方法，单击"下一步"继续。6）保留"编辑属性"的选择→完成（2）添加新规则在不选择"使用'添加向导'"的情况下单击"添加"按钮。出现"新规则属性"对话框。（3）添加新过滤器1）单击"添加"按钮，出现"IP筛选器列表"对话框。2）为新的IP筛选器列表命名并填写描述，在不选择"使用'添加向导'"的情况下单击"添加"按钮。出现"筛选器属性"对话框。3）单击"寻址"标签，将"源地址"改为"一个特定的IP地址"并输入Xp1的IP地址→将"目标地址"改为"一个特定的IP地址"并输入Xp2的IP地址。4）单击"协议"标签，选择"协议类型"为ICMP。5）单击"确定"回到"IP筛选器列表"对话框。观察新添加的筛选器列表。6）单击"确定"回到"新规则属性"对话框。7）通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。（4）规定过滤器动作1）单击"新规则属性"对话框中的"筛选器操作"标签。2）在不选择"使用'添加向导'"的情况下单击"添加"按钮。出现"新筛选器操作属性"对话框。3）选择"协商安全"单选框。4）单击"添加"按钮选择安全方法。5）选择"仅保持完整性"，单击"确定"回到"新筛选器操作属性"对话框。6）单击"确定"回到"新规则属性"对话框。7）确保不选择"允许和不支持IPSec的计算机进行不安全的通信"，单击"确定"回到"筛选器操作"对话框。8）通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。（5）设置身份验证方法1）单击"新规则属性"对话框中的"身份验证方法"标签。2）单击"添加"按钮，出现"新身份验证方法属性"对话框。3）选择"使用此字串（预共享密钥）"单选框，并输入预共享密钥子串"ABC"。4）单击"确定"按钮回到"身份验证方法"标签。5）单击"上移"按钮使"预先共享的密钥"成为首选。（6）设置"隧道设置"1）单击"新规则属性"对话框中的"隧道设置"标签。2）选择"此规则不指定IPSec隧道"。（7）设置"连接类型"1）单击"新规则属性"对话框中的"连接类型"标签。2）选择"所有网络连接"。3）单击"关闭"按钮回到"新IP安全策略属性"对话框。4）单击"关闭"按钮关闭"新IP安全策略属性"对话框回到"本地安全策略"设置。3．配置Xp2的IPSec仿照前面对Xp1的配置对Xp2的IPSec进行配置。4．测试IPSec（1）不激活XP1、XP2的IPSec进行测试。1）确保不激活XP1、XP2的IPSec。2）在XP1执行命令PING192.168.100.20，注意观察屏幕提示。3）在XP2执行命令PING192.168.100.10，注意观察屏幕提示。（2）激活一方的IPSec进行测试1）在XP1新建立的IP安全策略上单击鼠标右键并选择"指派"，激活该IP安全策略。2）在XP1执行命令PING192.168.100.20，注意观察屏幕提示。3）在XP2执行命令PING192.168.100.10，注意观察屏幕提示。（3）激活双方的IPSec进行测试1）在XP1执行命令PING192.168.100.20-t，注意观察屏幕提示。2）在XP2新建立的IP安全策略上单击鼠标右键并选择"指派"，激活该IP安全策略。3）观察XP1、XP2间的安全协商过程。把两台计算机的安全策略都选为不指派，以免影响下一个任务衰任务狱二推证书摘实现斤IP屠SE炎C的筛安全牛通讯例在S堵er却ve犯r1安上安矩装新应用旅程序鸟服务很器和贿证书潮配置纠您的系服务魄器向姨导凡→惯应用良程序卫服务轰器（晨选中疗AS厌P.伪ne样t）六控制扫面板捷→暖添加申删除训程序忙→鞠添加倒删除聚Wi凑nd凉ow昼s组堂件哲→毕证书纹服务殃(以贡自己笛姓名厉拼音歇缩写圣起名懒字)凤管理舰工具颈→鱼证书数颁发梯机构摄在X动p1乒和X僻p2年上申壳请平证书胆（两舞台机类器都腊要做挽）禾申请探一个晚证书猴→街高级货证书舒申请翼→迟创建甩并向内此C合A提粘交一捕个申备请惰→给填写侨如下遇（其干余的眯可为鞭空）置→籍提交块3、港Se夜rv慨er声1允笼许申专请看证书浮颁发滋机构响→材挂起嗽的申善请姿→滤（右凤击）询→黄所有开任务稼→横颁发扣证书晚颁发滩机构血→怖颁发苹的证早书惹→郑（查史看是弄否有粪）揭4、盐在X牺p1石和X平p2抓上安奖装证竟书耀（两魔台机板器都害要做搁）赤点击送“紧IP珍Se掩c证工书吴”坦→搅安装连此证煎书语→诊再重患新访颂问林ht屡tp迟:/脑/1狠92致.1屠68宗.1玻00抽.1淘/c豆er蝇ts适rv蒸/共→鲜点击银“逼下载塘C垦A俱证书目、证订书链蹲或谜CR女L签”测→把下载份C贼A南证书棉→耀保存灵到桌畏面。助开始建→朴运行纠→厦MM窗C蓬→孝文件蒸→律添加毒删除软管理割单元勤→腊添加悲→浴添加裁→举选择遥“愉计算矮机账末户李”堵→旬下一生步舅→止本地合计算缸机团→需完成灶→杨关闭谋→罗确定煌下一羞步老→讯浏览堂（到毒桌面怎保存越的证粪书文油件）橡→捎进入栗刚才烘设置逗的I芹PS增ec蝴策略喷→鞠进入决“苹身份非验证砖方法销”著→茅选中节一个峰方法玩→羽编辑管→疼→霸浏览耍确定勾→润确定先→故指派装此策幅略联5颠．测饱试I扔PS洞ec妇（1妻）不哀激活望XP奏1、脉XP晒2的涂IP赚Se甜c进秘行测翁试。骆浊喜1）兆确保风不激侮活X慌P1片、X秒P2齿的I甚PS联ec忧。籍猜俊2）低在X抗P1晌执行域命令糕PI块NG腹1奏92讯.1帜68姻.丹10煎0.赢2裤0绒，注祝意观乖察屏唯幕提誓示。分壶躁3）损在X龙P2氏执行屠命令白PI棋NG航1闪92燥.1结68竿.部10越0.角1伤0嚼，注犹意观挑察屏牌幕提淡示。乏石截（2代）激听活一挺方的杆IP卷Se狗c进繁行测沉试蠢福螺1）盟在X裕P1膨新建便立的析IP别安全摇策略泥上单翁击鼠箭标右霞键并还选择汪"指雄派"聪，绪激活戚该I妈P安今全策哈略。擦挪2）榜在X太P1财执行姐命令少PI哗NG贸1倒92施.1咱68锤.文10玉0.永2隆0薯，注粉意观槐察屏劳幕提比示。帝阔3）母在X追P2龄执行近命令辞PI谨NG钱1程92骂.1厨68什.漆10飘0.章1鸦0懒，注孕意观另察屏赵幕提岁示。辈汇断（3乒