1 / 13

IPSec 理论部分

IPSec 理论部分. Internet 协议安全 (IPSec) 为 IP 网络通信提供对应用程序透明的加密服务,并为 Windows 2000 操作系统提供其它网络访问保护。. 可以在隧道模式中使用“ IP 安全” (IPSec) 来封装 Internet 协议 (IP) 数据包,而且可以选择将它们加密。

phyre
Télécharger la présentation

IPSec 理论部分

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IPSec理论部分 • Internet 协议安全 (IPSec) 为 IP 网络通信提供对应用程序透明的加密服务,并为 Windows 2000 操作系统提供其它网络访问保护。

  2. 可以在隧道模式中使用“IP 安全”(IPSec) 来封装 Internet 协议 (IP) 数据包,而且可以选择将它们加密。 • 在 Microsoft Windows 2000 中使用 IPSec 隧道模式(有时称为“纯 IPSec 隧道”)的主要原因是:为了能够与那些不支持第 2 层隧道协议 (L2TP)/IPSec 或 PPTP 虚拟专用网络 (VPN) 隧道技术的第三方路由器或网关进行互操作。Windows 2000 在隧道的两个终结点都有静态 IP 地址的情况下支持 IPSec 隧道。这一点主要在网关到网关的实现中有用,但也可用于网关/路由器和服务器之间的专用的网络安全方案中(例如,Windows 2000 路由器在从其外部接口将通信量路由到一个基于 Windows 2000 的内部计算机时,通过建立一个到为外部客户端提供服务的内部服务器的 IPSec 隧道,来保护内部路径的安全)。

  3. 实训部分 • 1.准备工作  准备两台运行Windows 2000 Server操作系统的服务器,并按图1所示进行连接、配置相应IP地址。

  4. 2.配置HOST A的IPSec (1)建立新的IPSec策略1)选择"开始"|"程序"| "管理工具"|"本地安全策略"菜单,打开"本地安全设置"对话框。2)右击"IP安全策略,在本地机器",选择"创建IP安全策略",当出现向导时单击"下一步"继续。

  5. 3)为新的IP安全策略命名并填写策略描述,单击“下一步”继续。3)为新的IP安全策略命名并填写策略描述,单击“下一步”继续。 4)通过选择“激活默认响应规则”复选框接受默认值,单击“下一步”继续。 5)接受默认的选项“Windows 2000 默认值Kerberos V5”作为默认响应规则身份验证方法,单击“下一步”继续。 6)保留"编辑属性"的选择,单击"完成"按钮完成IPSec的初步配置。

  6. (2)添加新规则 在不选择“使用‘添加向导’”的情况下单击“添加”按钮。出现“新 规则属性“对话框。 (3)添加新过滤器 1)单击“添加”按钮,出现 “IP筛选器列表”对话框。2)为新的IP筛选器列表命名并填写描述,在不选择“使 用‘添加向导’“的情况下单击”添加“按钮。出现”筛选器属性“对 话框。3)单击"寻址"标签,将"源地址"改为"一个特定的IP地址“ 并输入HOST A的IP地址。将"目标地址"改为"一个特定的IP 地址“并输入HOST B的IP地址。保留默认选择”镜像“复选框。 4)单击“协议” 标签,选择“协议类型”为ICMP。5)单击“确定”回到“IP筛选器列表”对话框。观察新添加的 筛选器列表。

  7. 6)单击“关闭”回到“新规则属性”对话框。7)通过单击新添加的过滤器旁边的单选按钮激活新设置的 过滤器。 (4)规定过滤器动作1)单击“新规则属性”对话框中的“筛选器操作”标签。2)在不选择“使用‘添加向导’”的情况下单击“添加”按钮。出 现"新筛选器操作属性"对话框。 3)选择“协商安全”单选框。 4)单击“添加”按钮选择安全方法。 5)选择“中(AH)”,单击“确定”回到“新筛选器操作属性”对 话框。 6)单击"关闭"回到"新规则属性"对话框。

  8. 7)确保不选择“允许和不支持IPSec的计算机进行不安全 的通信“,单击”确定“回到”筛选器操作“对话框。8)通过单击新添加的筛选器操作旁边的单选按钮激活新 设置的筛选器操作。 (5)设置身份验证方法1)单击“新规则属性”对话框中的“身份验证方法”标签。2)单击“添加”按钮,出现“新身份验证方法属性”对话框。3)选择“此字串用来保护密钥交换(预共享密钥)”单选 框,并输入预共享密钥子串“ABC”。4)单击“确定”按钮回到“身份验证方法”标签。 5)单击"上移"按钮使"预先共享的密钥"成为首选。

  9. (6)设置"隧道设置“ 1)单击“新规则属性”对话框中的“隧道设置”标签。 2)选择“此规则不指定IPSec隧道”。 (7)设置"连接类型“ 1)单击“新规则属性”对话框中的“连接类型”标签 2)选择“所有网络连接”。 3)单击“确定”按钮回到“新IP安全策略属性”对话 框。 4)单击“关闭”按钮关闭“新IP安全策略属性”对话框 回到"本地安全策略"设置。

  10. 3.配置HOST B的IPSec 仿照前面对HOST A的配置对HOST B的IPSec 进行配置。

  11. 4.测试IPSec (1)不激活HOST A、HOST B的IPSec进行 测试。(正常) 1)确保不激活HOST A、HOST B的IPSec。 2)在HOST A执行命令PING 192.168.0.2, 注意观察屏幕提示。 3)在HOST B执行命令PING 192.168.0.1, 注意观察屏幕提示。

  12. (2)激活一方的IPSec进行测试 1)在HOST A新建立的IP安全策略上单击鼠 标右键并选择“指派”, 激活该IP安全策略。 2)在HOST A执行命令PING 192.168.0.2, 注意观察屏幕提示。Negotiating IP Security提示(正在协商IP协议安全) 3)在HOST B执行命令PING 192.168.0.1, 注意观察屏幕提示。 request timeout (请求超时)

  13. (3)激活双方的IPSec进行测试(正常) 1)在HOST A执行命令PING 192.168.0.2 -t , 注意观察屏幕提示。 2)在HOST B新建立的IP安全策略上单击鼠 标右键并选择“指派”, 激活该IP安全策略。 3)观察HOST A、HOST B间的安全协商过 程。

More Related