使用IPSec保护网络通信

为了防止虚拟机蓝屏，今天实验全部使用克隆的虚拟机。

不要启动虚拟机，克隆以下虚拟机，保存在D盘（注意一定是D盘）自己所建的目录里。

IPSec原理
使用internet协议安全（Internet Protocol Security，IPSec）是解决网络安全问题的长久之计。

它能针对那些来自专用网络和internet的攻击提供重要的防线，并在网络安全性与便用性之间取得平衡。

IPSec是一种加密的标准，它允许在差别很大的设备之间进行安全通信。

利用IPSec不仅可以构建基于操作系统的防火墙，实现一般防火墙的功能。

它还可以为许可通信的两个端点建立加密的、可靠的数据通道。

任务一使用IPSec
实验目的：掌握IPSec可以使得网络中计算机之间的通信更加安全。

实验成功结果:Xp1和Xp2之间的通信受到了控制。

配置Xp1的IPSec
（1）建立新的IPSec策略
1）控制面板→管理工具→本地安全策略→打开"本地安全设置"对话框。

2）右击"IP安全策略，在本地机器"，选择"创建IP安全策略"→下一步。

3）为新的IP安全策略命名并填写策略描述，单击"下一步"继续。

4）通过选择"激活默认响应规则"复选框接受默认值→下一步
5）选择"Active Directory 默认值"作为默认响应规则身份验证方法，单击"下一步"继续。

6）保留"编辑属性"的选择→完成
（2）添加新规则
在不选择"使用'添加向导'"的情况下单击"添加"按钮。

出现"新规则属性"对话框。

（3）添加新过滤器
1）单击"添加"按钮，出现 "IP筛选器列表"对话框。

2）为新的IP筛选器列表命名并填写描述，在不选择"使用'添加向导'"的情况下单击"添加"按钮。

出现"筛选器属性"对话框。

3）单击"寻址"标签，将"源地址"改为"一个特定的IP地址"并输入Xp1的IP地址→将"目标地址"改为"一个特定的IP地址"并输入Xp2的IP地址。

4）单击"协议" 标签，选择"协议类型"为ICMP。

5）单击"确定"回到"IP筛选器列表"对话框。

观察新添加的筛选器列表。

6）单击"确定"回到"新规则属性"对话框。

7）通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。

（4）规定过滤器动作
1）单击"新规则属性"对话框中的"筛选器操作"标签。

2）在不选择"使用'添加向导'"的情况下单击"添加"按钮。

出现"新筛选器操作属性"对话框。

3）选择"协商安全"单选框。

4）单击"添加"按钮选择安全方法。

5）选择"仅保持完整性"，单击"确定"回到"新筛选器操作属性"对话框。

6）单击"确定"回到"新规则属性"对话框。

7）确保不选择"允许和不支持IPSec的计算机进行不安全的通信"，单击"确定"回到"筛选器操作"对话框。

8）通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。

（5）设置身份验证方法
1）单击"新规则属性"对话框中的"身份验证方法"标签。

2）单击"添加"按钮，出现"新身份验证方法属性"对话框。

3）选择"使用此字串（预共享密钥）"单选框，并输入预共享密钥子串"ABC"。

4）单击"确定"按钮回到"身份验证方法"标签。

5）单击"上移"按钮使"预先共享的密钥"成为首选。

（6）设置"隧道设置"
1）单击"新规则属性"对话框中的"隧道设置"标签。

2）选择"此规则不指定IPSec隧道"。

（7）设置"连接类型"
1）单击"新规则属性"对话框中的"连接类型"标签。

2）选择"所有网络连接"。

3）单击"关闭"按钮回到"新IP安全策略属性"对话框。

4）单击"关闭"按钮关闭"新IP安全策略属性"对话框回到"本地安全策略"设置。

3．配置Xp2的IPSec
仿照前面对Xp1的配置对Xp2的IPSec进行配置。

4．测试IPSec
（1）不激活XP1、XP2的IPSec进行测试。

1）确保不激活XP1、XP2的IPSec。

2）在XP1执行命令PING 192.168.100.20，注意观察屏幕提示。

3）在XP2执行命令PING 192.168.100.10，注意观察屏幕提示。

（2）激活一方的IPSec进行测试
1）在XP1新建立的IP安全策略上单击鼠标右键并选择"指派"，激活该IP安全策略。

2）在XP1执行命令PING 192.168.100.20，注意观察屏幕提示。

3）在XP2执行命令PING 192.168.100.10，注意观察屏幕提示。

（3）激活双方的IPSec进行测试
1）在XP1执行命令PING 192.168.100.20 -t ，注意观察屏幕提示。

2）在XP2新建立的IP安全策略上单击鼠标右键并选择"指派"，激活该IP安全策略。

3）观察XP1、XP2间的安全协商过程。

把两台计算机的安全策略都选为不指派，以免影响下一个任务
任务二证书实现IPSEC的安全通讯
1、在Server1上安装应用程序服务器和证书
⏹配置您的服务器向导→应用程序服务器（选中）
⏹控制面板→添加删除程序→添加删除Windows组件→证书服务(以自己姓名拼音缩写
起名字)
⏹管理工具→证书颁发机构
2、在Xp1和Xp2上申请证书（两台机器都要做）
3、Server1允许申请
证书颁发机构→挂起的申请→（右击）→所有任务→颁发
证书颁发机构→颁发的证书→（查看是否有）
4、在Xp1和Xp2上安装证书（两台机器都要做）
点击“IPSec证书”→安装此证书→再重新访问http://192.168.100.1/certsrv/→点击“下载 CA 证书、证书链或 CRL”→下载 CA 证书→保存到桌面。

开始→运行→MMC→文件→添加删除管理单元→添加
→添加→选择“计算机账户”→下一步→本地计算机→完成→关闭→确定
下一步→浏览（到桌面保存的证书文件）→
进入刚才设置的IPSec策略→进入“身份验证方法”→选中一个方法→编辑→
→浏览
确定→确定→指派此策略
5．测试IPSec
（1）不激活XP1、XP2的IPSec进行测试。

1）确保不激活XP1、XP2的IPSec。

2）在XP1执行命令PING 192.168.100.20，注意观察屏幕提示。

3）在XP2执行命令PING 192.168.100.10，注意观察屏幕提示。

（2）激活一方的IPSec进行测试
1）在XP1新建立的IP安全策略上单击鼠标右键并选择"指派"，激活该IP安全策略。

2）在XP1执行命令PING 192.168.100.20，注意观察屏幕提示。

3）在XP2执行命令PING 192.168.100.10，注意观察屏幕提示。

（3）激活双方的IPSec进行测试
1）在XP1执行命令PING 192.168.100.20 →t ，注意观察屏幕提示。

2）在XP2新建立的IP安全策略上单击鼠标右键并选择"指派"，激活该IP安全策略。

3）观察XP1、XP2间的安全协商过程。