实验二 IPSec设置与应用.doc

西安财经学院信息学院 《 网络安全与管理 》 实验报告 实验名称 IPSec设置与应用 实验室 419 实验日期 2014.6.3 一、实验目的及要求 掌握Ipsec VPN网络设计及配置方法 Windows操作系统（虚拟PC），网络接口为本地连接 三、实验内容 1．IPSec的基本配置2．IPSec的防火墙配置 实验步骤 1．IPSec的基本配置 1）创建IP安全策略 第步：右键单击IP安全策略，在本地机器，选择创建IP安全策略项，打开安全策略向导，下一步为新的IP安全策略命名并填写策略描述。 第步：单击下一步，选择激活默认响应规则复选项，然后单击下一步。第步：接受默认的选项Active Directory默认值Kerberos V5作为默认响应规则身份验证方法单击下一步继续。 第步：勾选编辑属性复选框，单击完成。这样就完成了IPSec的初步配置。 2）配置安全策略和规则 ① IP筛选列表设置 第步：在窗口单击添加按钮，打开IP筛选器列表对话框。第步：输入新IP筛选器列表的名称、描述信息并在不选择使用添加向导情况下，单击添加按钮弹出筛选器属性窗口。筛选器属性包含寻址、协议和描述三个选项卡：寻址可对IP数据流的源地址目标地址进行规定；协议可对数据流所使用的协议进行规定，如果选择了TCP”或UDP”协议，还可以对源端和目的端使用的端口号做出规定；描述可对新筛选器做出简单描述。 第步：在 寻址选项卡中选择IP数据流的源地址和目标地址。 第步：点开协议选项卡，在出现的窗口中选择协议类型，如选择ICMP”或TCP”等。 第步：点击确定按钮后，完成对筛选器属性的设置 ② 筛选器操作设置 第步：选择筛选器操作，在出现的窗口中在不选择使用添加向导情况下单击添加按钮，出现新筛选器操作属性窗口第步：对新筛选器操作的细节进行设置。其中，选择许可、阻止对符合IP筛选器的数据流进行过滤。选择协商安全，以便对允许的通信进行进一步的安全设置。 第步：单击添加，出现新增安全措施窗口，选择添加相应的安全措施。可选的安全措施有加密并保持完整性、仅保持完整性和自定义三种。 第步：自定义包括数据和地址不加密的完整性算法、数据完整性算法、数据加密算法和密钥生存期等。选择自定义，再点击设置按钮，用户可按要求进行选择。第步：按确定按钮，在此可以添加多个安全措施，并通过上移、下移按钮指定和另一计算机协商时采取的安全措施首选的顺序，并可对某次设置进行修改和删除。③ 身份验证方法设置 第步：点击图中的身份验证方法选项卡，在出现的窗口中点击添加按钮。 第步：在出现的窗口中选择身份验证方法。Windows XP支持三种身份验证方法：Kerberos V5协议、CA证书和预共享密钥。④ 隧道设置 点击隧道设置选项卡，出现如图所示窗口。当只与特定的计算机交换通信并且知道该计算机的IP地址时，选择隧道终点由此IP地址指定并输入目标计算机的IP地址。⑤ 连接类型 为每一个规则指定的连接类型决定计算机的连接是否接受IPSec策略的影响。一个规则拥有一种连接类型，指定规则是否应用到LAN连接、远程访问连接或所有的网络连接上。 3）新IP属性的常规设置 第步：新创建的IP安全策略属性窗口还有一个常规选项卡。在此可以输入新IP安全策略的名称和描述，更改检查策略更改时间。 第步：单击高级按钮，在密钥交换设置对话框中对密钥交换进行高级设置。2．IPSec的防火墙配置 1）IP Filter防火墙配置的准备工作 第步：点击开始→“运行，输入services.msc并回车，进入服务设置窗口。在服务设置窗口中找到名为ipsecservices的服务，保证它是启动的。第步：如果该服务没有启动，则双击其名称，点启动按钮启动该服务，然后再将其启动方式设置为自动，这样才能保证下面设置好的IP Filter防火墙过滤信息可以随系统启动而启动，从而保证对数据包的过滤功能生效。 2）配置IP Filter 第一步：点击“开始”→“运行”，输入MMC并回车，启动管理单元控制台窗口。 IPSec模块。在出现的“添加/删除管理单元”窗口的“独立”选项卡下点击“添加”按钮。 第三步：在 “添加独立管理单元”选项中，选择“IP安全策略管理”，点击“添加”按钮进行添加。系统会要求用户选择这个管理单元要管理的计算机或者域。由于这里是对本地计算机操作的，所以选择“本地计算机”后点击“完成”按钮。 第四步：添加后就可在控制台窗口的“控制台根节点”下看到“IP安全策略，在本地计算机”的项目。在“IP安全策略，在本地计算机”上右键单击并选择“管理IP筛选器表和筛选器操作” 。 第步：默认情况下有对所有ICMP通讯量和对所有IP通讯量进