第五章 利用IPSec建立安全TCP IP连接.doc

第5章 利用IPSEC建立安全TCP/IP连接 5.4 IPSEC的配置 5.4.1 企业背景 你的公司正在制订一项包括业务伙伴在内的规划。有关这项规划的工作要求极其保密。你的业务伙伴将利用Internet访问你的服务器上的某些数据。你必须确保你公司的计算机和你的业务伙伴计算机之间的所有网络数据流通都加密进行。 作为公司的网络管理员，你将采用IPSEC为跨越Internet的通信提供安全的保护（在这里我们将要通信的计算机名分别命名为HOSTA和HOSTB）。 5.4.2 配置步骤 创建并指定一个IPSEC策略 创建新的IPSEC策略实验背景 监测IPSEC的分配 5.4.2.1创建并指定一个IPSEC策略 登录到HOSTA，单击“开始”，然后单击“运行”按钮，在运行中输入“MMC”，打开微软管理控制台，最大化控制台根窗口。 在控制台1的单中，单击“添加/删除插件”。 在“添加/删除插件”对话框中，单击“添加”按钮。 在对话框中，确认选择“IP安全策略管理”，单击“添加”并选择“本地计算机”按默认设置完成IPSEC的添加。 5、IPSEC启动后，会打开一个管理控制台，里面有一些预定义的策略。 6、在HOSTB上同样以上面的步骤启用IPSEC。 5.4.2.2 创建新的IPSEC策略 1、登录到HOSTA，在控制台树中，右键单击“本地计算机上的安全性策略”，再单击“创建IP安全策略”，进入“IP安全策略向导”。 2、在名称中输入“Stop ICMP”，描述中输入“双方计算机进行ICMP协商实验”，然后单击“下一步”，选中“激活默认响应规则”，再单击“下一步”。 3、在身份验证方法中选择“预共享密钥”，输入交换口令“123456” 4、编辑 “Stop ICMP”属性，在“规则”中单击“添加”按钮，选“下一步”进入“创建IP安全规则向导”，在“遂道终结点”选择“此规则不指定遂道”，点击“下一步”，在网络类型中选择“所有网络连接”，点击“下一步”进入“IP筛选器列表”。 在“IP筛选器列表”中选择“所有ICMP通讯”，点击“下一步“，在“筛选器操作”中选择“需要安全”，点击“编缉”按钮，在“需要安全属性”中选择“协商安全”，点击“确定”，点击“下一步”进入“身份验证方法”页。 5、在“身份验证方法”中（若计算机在域中）则选择“Active Directory默认值（Kerberos V5协议）。反之一般选择“预先共享的密码”并设置“密码”，然后单击“下一步”，点击“完成”按钮，完成IP安全策略的编辑。 回到IPSEC的管理控制台，在右边的详细窗格中可以见到新建的策略。 右击“Stop ICMP”策略，点击“指派”。这样，在计算机HOSTA则启用了一个IPSEC策略，这个策略可以对其它网络中的ICMP流量进行筛选。 5.4.2.3 监测IPSEC策略的分配 在两台启用IPSEC的计算机上均作以下设置。 单击“开始”，指向“运行”，键入 MMC，然后单击“确定”。 单击“文件”，再单击“添加/删除管理单元”，然后单击“添加”。 单击“IP 安全监视器”，再单击“添加”。 单击“关闭”，然后单击“确定”。在控制台树中，右键单击“IP 安全监视器”，然后单击“添加计算机”。在“添加计算机”对话框中： 对于本地计算机，请单击“此计算机”对于远程计算机，请单击“下列计算机”，然后键入该远程计算机名称。或者，单击“浏览”在网络上查找该计算机。 双击“活动策略”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。IPSec 策略用来配置 IPSec 安全服务。策略为多数现有网络中的多数通信类型提供各种级别的保护。默认的身份验证方法 (Kerberos V5)