- 1、本文档共23页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
* ** 第十章 Internet的安全协议 在Windows中进行IPSec配置和使用之前,必须首先获取本机主机名和IP地址。在命令行方式下,直接输入ipconfig /all,命令,可以察看本机的主机名、IP地址、子网掩码和默认网关等信息。 在Windows中使用IPSec要通过配置和使用IPSec策略实现。 有两种方法使用IPSec策略: 一种是直接使用内置的IPSec策略; 另一种是使用用户自己定制的IPSec策略。 Windows中IPSec的配置和使用 内置的IPSec策略适用于同一个活动目录域中的成员之间使用,使用内置的IPSec策略,可减少用户的很多配置工作。 定制的IPSec策略适用于不在域内的用户之间使用IPSec安全机制,这需要较多的配置工作。 为了使用内置的IPSec策略,要求使用IPSec的安全通信双方必须是同一活动目录域的成员。 使用内置的IPSec策略,可以使用最少的配置来实现域成员之间的IPSec安全通信。配置时,一般将一台服务器(可以不是域控制器)配置成IPSec安全服务器,其他的客户机配置成IPSec安全客户机。 1. 使用内置 IPSec策略 下面假设测试的计算机都是同一域的成员,安装有Windows XP或Windows Server 2003操作系统。 激活域成员中IPSec内置策略的步骤如下: (1)配置成IPSec安全服务器。 在一台域成员计算机中,单击“开始/运行”,打开“运行”对话框,键入“gpedit.msc”,再单击“确定”按钮,启动本地组策略。 (2)在打开的“组策略”控制台窗口左侧依次选择“本地计算机策略/计算机配置/Windows 设置/安全设置/IP安全策略,在本地计算机”项,在右边的面板中将会出现三个策略选项:“安全服务器”、“客户端”和“服务器”。 (3)选中“安全服务器”项,右击,在弹出式菜单中选择“指派”菜单项,则右边面板中的“策略已指派”属性从“否”转换为“是”。 (4)配置IPSec安全客户机。 前面配置的计算机将作为安全服务器,对域中的其他的计算机应配置为安全客户端。在步骤3打开的窗口中选中“客户端”项,右击,在弹出式菜单中选择“指派”菜单项,则右边面板中的“策略已指派”属性从“否”转换为“是”。 现在,就有一台域成员计算机作为安全服务器,另外一台域成员计算机作为安全客户端。 (5)测试 下面通过在安全客户端使用ping命令,对前面配置好内置IPSec策略的两台计算机进行测试。 在安全客户端计算机的命令行方式下,去ping安全服务器端的IP地址,结果应该是成功的。如果出现不成功的信息,表明IPSec正在被协商安全服务器的IP地址,等一段时间重复前面的ping命令,两台计算机已经建立了IPSec安全协商后,将会接收到成功的回应消息。 至此,已经在域成员的两台计算机之间成功设置和使用了IPSec。 只有通过成功协商的IPSec客户端才能与安全服务器进行通信,另外,安全服务器也不能与其他系统,如DNS服务器进行会话,除非通信数据利用IPSec进行了保护。这主要是因为安全服务器的默认IP安全策略非常苛刻,对所有进入网络的IP数据包都试图进行加密。 所以,在实际中,可能会需要定制安全策略,以适应不同的安全环境、网络拓扑结构和特定的服务器应用。 为了准许非IPSec客户端同服务器进行通信,必须在前边指派“服务器”策略,而不是“安全服务器”策略,这样总是要求安全性,但也允许与客户端的非安全通信。 取消指派“安全服务器”、“客户端”和“服务器”策略的步骤很简单,只需选中这些选项中的一个,右击,在弹出式菜单中选择“不指派”即可。 说明: (1)进行内置IPSec策略测试的两台计算机,最好都要登录到域,而不要只向本地登录。 (2)最好不要随意修改内置IPSec策略,如要修改,请先改为“不指派”,然后进行修改,再“指派”,最后,在命令提示符下键入gpupdate,刷新组策略。 (3)修改IPSec策略以后,再次通信时,可能要2到3分钟的时间,双方协商才会完成。 前面使用了内置的IPSec策略来保证域成员之间信息传递的安全性,如果要在两个非域成员之间利用IPSec实现安全通信,需要创建一个定制的安全策略来取代内置的策略。 为了创建一个定制的IPSec策略,首先创建一个IPSec策略项,再定义一个安全规则,然后定一个筛选器列表,最后指定筛选器的行为。 2. 定制IPSec策略 下面以Windows XP为例进行介绍,Windows Server 2003配置定制IPSec策略的步骤与Windows XP类似,只有个别地方有点区别
文档评论(0)