IPSec安全策略.doc

实验：配置IPSec安全策略IP协议设计之初并没过多考虑安全问题，因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性，IP安全（IPSec）协议应运而生。Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持，这就是我们平常所说的“IPSec安全策略”功能，虽然它提供的功能不是很完善，但只要你合理定制，一样能很有效地增强网络安全。 ????如何启用本地IPSec安全策略 Windows2000 server系统为例，启用IPSec安全策略功能非常简单，介绍如下两种方法： MMC控制台 MMC”，点击“确定”按钮后，启动“控制台”窗口。 /删除管理单元”选项，弹出“添加/删除管理单元”对话框，点击“独立”标签页的“添加”按钮，弹出“添加独立管理单元”对话框。 IP安全策略管理”，点击“添加”按钮，在“选择计算机”对话框中，选择“本地计算机”，最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略。 ??? ?进入“控制面板→管理工具”选项，运行“本地安全设置”选项，在“本地安全设置”窗口中展开“安全设置”选项，就可以找到“IP安全策略，在本地计算机”。 IPSec安全策略的组成 Windows系统中定义IPSec安全策略来实现。一个IPSec安全策略由IP筛选器和筛选器操作两部分构成，其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注，筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略，一般需要新建IP筛选器和筛选器操作。 IPSec安全策略应用实例 IP为“”的机器访问Windows200终端服务器。 IPSec安全策略进行限制。 Windows 2000服务器的IP安全策略主窗口中，右键点击“IP安全策略，在本地计算机”，选择“创建IP安全策略”选项，进入“IP安全策略向导”，点击“下一步”，在“IP安全策略”名称对话框中输入该策略的名字，如“终端服务过滤”，点击“下一步”，下面弹出的对话框都选择默认值，最后点击“完成”按钮。 IP安全策略，在本地计算机”，在菜单中选择“管理IP筛选器表和筛选器操作”，切换到“管理IP筛选器列表”标签页，点击下方的“添加”，弹出的“IP筛选器列表”对话框，在“名称”输入框中输入“终端服务”，点击“添加”，进入“IP筛选器向导”窗口，点击“下一步”，在“源地址”下拉列表框中选择“一个特定IP地址”，然后输入该客户机的IP地址和子网掩码，如“”。点击“下一步”后，在“目标地址”下拉列表框中选择“我的IP地址”，点击“下一步”，接着在“选择协议类型”中选择“TCP”协议，点击“下一步”，接着在协议端口中选择“从任意端口，到此端口”，在输入框中填入“3389”，点击“下一步”后完成筛选器的创建。IP安全筛选器操作向导”，点击“下一步”，给这个操作起一个名字，如“阻止”，点击“下一步”，接着设置“筛选器操作的行为”，选择“阻止”单选项，点击“下一步”，就完成了“IP安全筛选器操作”的添加工作。 IP安全策略主窗口中，双击第一步建立的“终端服务过滤”安全策略，点击“添加”按钮，进入“创建IP安全规则向导”，点击“下一步”，选择“此规则不指定隧道”，点击“下一步”，在网络类型对话框中选择“局域网”，点击“下一步”，在接下来对话框中选择默认值，点击“下一步”，在IP筛选器列表中选择“终端服务”选项，点击“下一步”，接着在筛选器操作列表中选择“阻止”，最后点击“完成”。 IPSec安全策略后，还要进行指派，右键单击“终端服务过滤”，在弹出的菜单中选择“指派”，这样就启用了该IPSec安全策略。局域网中IP为“”的机器就不能访问Windows 200终端服务器了。 Windows系统的IPSec安全策略也存在不足，一台机器同时只能有一个策略被指派。 ????IPSec安全策略验证 IP安全策略后，它是否真的生效了呢？ IPSec安全策略很简单，在“命令提示符”下输入“”命令（该命令只能在Windows200系统使用），然后返回命令结果。这样，我们就能很清楚地看到该IP安全策略是否生效了。—一般指网卡）再能使其有效。 在Windows操作系统中：过滤条件称为IP筛选器列表 行为称为筛选器的操作 而将访问控制策略应用于网络接口称为策略指派。 （二）、建立IP筛选器列表 由--(控制面板--(管理工具--(本地安全策略，出现本地安全设置窗口（如下图），该窗口分为左、右两栏。在左栏点击“IP安全策略，在本地机器”，再在右栏空白处单击鼠标右键，再现如下图所示的快捷菜单。 在该快捷菜单中选择“管理IP筛选器表和筛选器操作”选项--