在windows中进行ipsec配置和使用之前必须首先获取本机.pptVIP

在windows中进行ipsec配置和使用之前必须首先获取本机.ppt

  1. 1、本文档共23页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
* ** 第十章 Internet的安全协议   在Windows中进行IPSec配置和使用之前,必须首先获取本机主机名和IP地址。在命令行方式下,直接输入ipconfig /all,命令,可以察看本机的主机名、IP地址、子网掩码和默认网关等信息。   在Windows中使用IPSec要通过配置和使用IPSec策略实现。   有两种方法使用IPSec策略:   一种是直接使用内置的IPSec策略;   另一种是使用用户自己定制的IPSec策略。 Windows中IPSec的配置和使用   内置的IPSec策略适用于同一个活动目录域中的成员之间使用,使用内置的IPSec策略,可减少用户的很多配置工作。   定制的IPSec策略适用于不在域内的用户之间使用IPSec安全机制,这需要较多的配置工作。   为了使用内置的IPSec策略,要求使用IPSec的安全通信双方必须是同一活动目录域的成员。 使用内置的IPSec策略,可以使用最少的配置来实现域成员之间的IPSec安全通信。配置时,一般将一台服务器(可以不是域控制器)配置成IPSec安全服务器,其他的客户机配置成IPSec安全客户机。    1. 使用内置 IPSec策略   下面假设测试的计算机都是同一域的成员,安装有Windows XP或Windows Server 2003操作系统。   激活域成员中IPSec内置策略的步骤如下:   (1)配置成IPSec安全服务器。   在一台域成员计算机中,单击“开始/运行”,打开“运行”对话框,键入“gpedit.msc”,再单击“确定”按钮,启动本地组策略。   (2)在打开的“组策略”控制台窗口左侧依次选择“本地计算机策略/计算机配置/Windows 设置/安全设置/IP安全策略,在本地计算机”项,在右边的面板中将会出现三个策略选项:“安全服务器”、“客户端”和“服务器”。 (3)选中“安全服务器”项,右击,在弹出式菜单中选择“指派”菜单项,则右边面板中的“策略已指派”属性从“否”转换为“是”。   (4)配置IPSec安全客户机。   前面配置的计算机将作为安全服务器,对域中的其他的计算机应配置为安全客户端。在步骤3打开的窗口中选中“客户端”项,右击,在弹出式菜单中选择“指派”菜单项,则右边面板中的“策略已指派”属性从“否”转换为“是”。   现在,就有一台域成员计算机作为安全服务器,另外一台域成员计算机作为安全客户端。   (5)测试   下面通过在安全客户端使用ping命令,对前面配置好内置IPSec策略的两台计算机进行测试。   在安全客户端计算机的命令行方式下,去ping安全服务器端的IP地址,结果应该是成功的。如果出现不成功的信息,表明IPSec正在被协商安全服务器的IP地址,等一段时间重复前面的ping命令,两台计算机已经建立了IPSec安全协商后,将会接收到成功的回应消息。   至此,已经在域成员的两台计算机之间成功设置和使用了IPSec。   只有通过成功协商的IPSec客户端才能与安全服务器进行通信,另外,安全服务器也不能与其他系统,如DNS服务器进行会话,除非通信数据利用IPSec进行了保护。这主要是因为安全服务器的默认IP安全策略非常苛刻,对所有进入网络的IP数据包都试图进行加密。   所以,在实际中,可能会需要定制安全策略,以适应不同的安全环境、网络拓扑结构和特定的服务器应用。   为了准许非IPSec客户端同服务器进行通信,必须在前边指派“服务器”策略,而不是“安全服务器”策略,这样总是要求安全性,但也允许与客户端的非安全通信。   取消指派“安全服务器”、“客户端”和“服务器”策略的步骤很简单,只需选中这些选项中的一个,右击,在弹出式菜单中选择“不指派”即可。   说明:   (1)进行内置IPSec策略测试的两台计算机,最好都要登录到域,而不要只向本地登录。   (2)最好不要随意修改内置IPSec策略,如要修改,请先改为“不指派”,然后进行修改,再“指派”,最后,在命令提示符下键入gpupdate,刷新组策略。   (3)修改IPSec策略以后,再次通信时,可能要2到3分钟的时间,双方协商才会完成。   前面使用了内置的IPSec策略来保证域成员之间信息传递的安全性,如果要在两个非域成员之间利用IPSec实现安全通信,需要创建一个定制的安全策略来取代内置的策略。   为了创建一个定制的IPSec策略,首先创建一个IPSec策略项,再定义一个安全规则,然后定一个筛选器列表,最后指定筛选器的行为。 2. 定制IPSec策略   下面以Windows XP为例进行介绍,Windows Server 2003配置定制IPSec策略的步骤与Windows XP类似,只有个别地方有点区别

文档评论(0)

zhiliao + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档