使用IPSec保护网络通信

为了防止虚拟机蓝屏，今天实验全部使用克隆的虚拟机。不要启动虚拟机，克隆以下虚拟机，保存在D盘（注意一定是D盘）自己所建的目录里。IPSec原理使用internet协议安全（InternetProtocolSecurity，IPSec）是解决网络安全问题的长久之计。它能针对那些来自专用网络和internet的攻击提供重要的防线，并在网络安全性与便用性之间取得平衡。IPSec是一种加密的标准，它允许在差别很大的设备之间进行安全通信。利用IPSec不仅可以构建基于操作系统的防火墙，实现一般防火墙的功能。它还可以为许可通信的两个端点建立加密的、可靠的数据通道。IPSec安全策略规则筛选器源地址–目标地址协议类型筛选器操作许可阻止协商安全身份验证方法Kerberos协议证书预共享密钥任务一使用IPSec实验目的：掌握IPSec可以使得网络中计算机之间的通信更加安全。实验成功结果:Xp1和Xp2之间的通信受到了控制。启动两台虚拟机分别设置他们的Ip地址如下：主机名Ip子网掩码默认网关首选DNSXp1(内xp)192.168.100.10255.255.255.0空空Xp2(内域xp)192.168.100.20255.255.255.0空空配置Xp1的IPSec（1）建立新的IPSec策略1）控制面板→管理工具→本地安全策略→打开本地安全设置对话框。2）右击IP安全策略，在本地机器，选择创建IP安全策略→下一步。3）为新的IP安全策略命名并填写策略描述，单击下一步继续。4）通过选择激活默认响应规则复选框接受默认值→下一步5）选择ActiveDirectory默认值作为默认响应规则身份验证方法，单击下一步继续。6）保留编辑属性的选择→完成（2）添加新规则在不选择使用'添加向导'的情况下单击添加按钮。出现新规则属性对话框。（3）添加新过滤器1）单击添加按钮，出现IP筛选器列表对话框。2）为新的IP筛选器列表命名并填写描述，在不选择使用'添加向导'的情况下单击添加按钮。出现筛选器属性对话框。3）单击寻址标签，将源地址改为一个特定的IP地址并输入Xp1的IP地址→将目标地址改为一个特定的IP地址并输入Xp2的IP地址。4）单击协议标签，选择协议类型为ICMP。5）单击确定回到IP筛选器列表对话框。观察新添加的筛选器列表。6）单击确定回到新规则属性对话框。7）通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。（4）规定过滤器动作1）单击新规则属性对话框中的筛选器操作标签。2）在不选择使用'添加向导'的情况下单击添加按钮。出现新筛选器操作属性对话框。3）选择协商安全单选框。4）单击添加按钮选择安全方法。5）选择仅保持完整性，单击确定回到新筛选器操作属性对话框。6）单击确定回到新规则属性对话框。7）确保不选择允许和不支持IPSec的计算机进行不安全的通信，单击确定回到筛选器操作对话框。8）通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。（5）设置身份验证方法1）单击新规则属性对话框中的身份验证方法标签。2）单击添加按钮，出现新身份验证方法属性对话框。3）选择使用此字串（预共享密钥）单选框，并输入预共享密钥子串ABC。4）单击确定按钮回到身份验证方法标签。5）单击上移按钮使预先共享的密钥成为首选。（6）设置隧道设置1）单击新规则属性对话框中的隧道设置标签。2）选择此规则不指定IPSec隧道。（7）设置连接类型1）单击新规则属性对话框中的连接类型标签。2）选择所有网络连接。3）单击关闭按钮回到新IP安全策略属性对话框。4）单击关闭按钮关闭新IP安全策略属性对话框回到本地安全策略设置。3．配置Xp2的IPSec仿照前面对Xp1的配置对Xp2的IPSec进行配置。4．测试IPSec（1）不激活XP1、XP2的IPSec进行测试。1）确保不激活XP1、XP2的IPSec。2）在XP1执行命令PING192.168.100.20，注意观察屏幕提示。3）在XP2执行命令PING192.168.100.10，注意观察屏幕提示。（2）激活一方的IPSec进行测试1）在XP1新建立的IP安全策略上单击鼠标右键并选择指派，激活该IP安全策略。2）在XP1执行命令PING192.168.100.20，注意观察屏幕提示。3）在XP2执行命令PING192.168.100.10，注意观察屏幕提示。（3）激活双方的IPSec进行测试1）在XP1执行命令PING192.168.100.20-t，注意观察屏幕提示。2）在XP2新建立的IP安全策略上单击鼠标右键并选择指派，激活该IP安全策略。3）观察XP1、XP2间的安全协商过程。把两台计算机的安全策略都选为不指派，以免影响下一个任务任务二证书实现IPSEC的安全通讯1、在Server1上安装应用程序服务器和证书配置您的服务器向导→应用程序服务器（选中ASP.net）控制面板→添加删除程序→添加删除Windows组件→证书服务(以自己姓名拼音缩写起名字)管理工具→证书颁发机构2、在Xp1和Xp2上申请证书（两台机器都要做）申请一个证书→高级证书申请→创建并向此CA提交一个申请→填写如下（其余的可为空）→提交3、Server1允许申请证书颁发机构→挂起的申请→（右击）→所有任务→颁发证书颁发机构→颁发的证书→（查看是否有）4、在Xp1和Xp2上安装证书（两台机器都要做）点击“IPSec证书”→安装此证书→再重新访问→点击“下载CA证书、证书链或CRL”→下载CA证书→保存到桌面。开始→运行→MMC→文件→添加删除管理单元→添加→添加→选择“计算机账户”→下一步→本地计算机→完成→关闭→确定下一步→浏览（到桌面保存的证书文件）→进入刚才设置的IPSec策略→进入“身份验证方法”→选中一个方法→编辑→→浏览确定→确定→指派此策略5．测试IPSec（1）不激活XP1、XP2的IPSec进行测试。1）确保不激活XP1、XP2的IPSec。2）在XP1执行命令PING192.168.100.20，注意观察屏幕提示。3）在XP2执行命令PING192.168.100.10，注意观察屏幕提示。（2）激活一方的IPSec进行测试1）在XP1新建立的IP安全策略上单击鼠标右键并选择指派，激活该IP安全策略。2）在XP1执行命令PING192.168.100.20，注意观察屏幕提示。3）在XP2执行命令PING192.168.100.10，注意观察屏幕提示。（3）激活双方的IPSec进行测试1）在XP1执行命令PING192.168.100.20→t，注意观察屏幕提示。2）在XP2新建立的IP安全策略上单击鼠标右键并选择指派，激活该IP安全策略。3）观察XP1、XP2间的安全协商过程。