实验二IPSec配置与应用.docx
《实验二IPSec配置与应用.docx》由会员分享,可在线阅读,更多相关《实验二IPSec配置与应用.docx(16页珍藏版)》请在冰豆网上搜索。
实验二IPSec配置与应用
《电子商务安全技术》上机实验
实验二:
IPSec配置与应用
一、实验目的
IP安全(IPSec)协议用于增强网络的安全性。
Windows2000以上版本的操作系统提供对IPSec协议的支持。
为了增强网络通信安全或对客户机器的管理,网络管理员可以通过在Windows系统中定义IPSec安全策略来实现。
在Windows系统中,一个IPSec安全策略由IP筛选器和筛选器操作两部分构成,其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注,筛选器操作是指“允许”还是“拒绝”报文的通过。
要新建一个IPSec安全策略,一般需要新建IP筛选器和筛选器操作。
本实验通过对Windows2000或XP操作系统中的“IPSec安全策略”配置,学习掌握IP网络安全协议的应用,增强网络安全。
二、实验要求
理解IP网络安全协议,掌握Windows操作系统的IPSec安全策略配置与应用。
三、实验内容
1、本地IPSec安全策略创建/选择
2、IPSec安全策略配置与应用
3、IPSec安全策略验证
四、实验步骤
(一)、创建/选择本地IPSec安全策略
1、方法一利用MMC控制台
第一步:
点击“开始→运行”,在运行对话框中输入“MMC”,点击“确定”按钮后,启动“控制台”窗口,如图1。
图1“控制台”窗口
第二步:
点击“控制台”菜单中的“文件→添加/删除管理单元”选项,弹出“添加/删除管理单元”对话框,如图2。
图2“添加/删除管理单元”对话框
点击“独立”标签页的“添加”按钮,弹出“添加独立管理单元”对话框,如图3。
图3选择“IP安全策略管理”
第三步:
在列表框中选择“IP安全策略管理”,点击“添加”按钮,弹出“选择计算机”对话框,如图4。
图4“选择计算机”对话框
在“选择计算机”对话框中,选择“本地计算机”,最后点击“完成”。
这样就在“MMC控制台”启用了IPSec安全策略,如图5。
图5在“MMC控制台”启用IPSec安全策略的结果
2、方法二:
利用本地安全设置
进入“控制面板→管理工具”选项(WindowsXP为:
控制面板→性能和维护→管理工具),双击“本地安全设置”选项,在“本地安全设置”窗口中可以找到“IP安全策略,在本地计算机”,如图6。
图6在“本地安全设置”启用IPSec安全策略
(二)、IPSec安全策略配置与应用
IPSec安全策略应用实例:
阻止局域网中IP为“192.168.1.100”的计算机对IP为“192.168.1.102”的计算机的远程终端访问(Telnet)。
第一步:
创建该IP安全策略。
在Windows2000/XP的IP安全策略窗口中(图5或图6),右键点击“IP安全策略,在本地计算机”,选择“创建IP安全策略”选项,进入“IP安全策略向导”,点击“下一步”,在“IP安全策略”名称对话框中输入该策略的名字,如图7,如“过滤IP安全策略”,点击“下一步”,下面弹出的对话框选择默认值。
在默认响应规则身份验证方法选择对话框(如图8),如果两台计算机位于同一个Windows2000域中,则选择KerberosV5协议作为身份验证方法。
如果不在一个域中,则单击“使用此字串来保护密钥交换(预共享密钥)”,然后输入字符串(使用你可记住的长字符串,不要有任何键入错误)。
最后点击“完成”按钮。
图7为该IP安全策略命名
图8选择默认响应规则身份验证方法
第二步:
为该策略创建一个筛选器。
在图5或图6中右击“IP安全策略,在本地计算机”,选中“管理IP筛选器表和筛选器操作”菜单,选中“管理IP筛选器列表”标签页,如图9。
图9选中管理IP筛选器列表
点击下方的“添加”,弹出的“IP筛选器列表”对话框,如图10。
图10IP筛选器列表对话框
在“名称”输入框中输入“远程终端访问过滤”,点击“添加”,进入“IP筛选器向导”窗口,点击“下一步”,在“源地址”下拉列表框中选择“一个特定IP地址”,然后输入该客户机的IP地址和子网掩码,如“192.168.1.163”,如图11。
图11指定IP通信源计算机地址
点击“下一步”后,在“目标地址”下拉列表框中选择“我的IP地址”,如图12。
图12指定IP通信目标计算机地址
点击“下一步”,接着在“选择协议类型”中选择“TCP”协议,如图13。
图13选择通信协议类型
点击“下一步”,接着在协议端口中选择“从任意端口,到此端口”,在输入框中填入“23”,如图14。
点击“下一步”后完成筛选器的创建。
图14选择通信端口
图15新创建的筛选器
第三步:
为该策略筛选器创建一个阻止操作。
在图9,选中“筛选器操作”标签页,点击“添加”按钮,进入到“IP安全筛选器操作向导”,点击“下一步”,给这个操作起一个名字,如“阻止IP筛选器操作”,如图16。
图16命名筛选器操作
点击“下一步”,接着设置“筛选器操作的行为”,选择“阻止”单选项,如图17。
图17选择筛选器操作行为
点击“下一步”,就完成了“IP安全筛选器操作”的添加工作。
第四步:
为该策略指定筛选器及其操作行为。
在IP安全策略主窗口中,双击第一步建立的“终端服务过滤”安全策略,点击“添加”按钮,进入“创建IP安全规则向导”,点击“下一步”,选择“此规则不指定隧道”,如图18。
如图18为该策略指定IP隧道
点击“下一步”,在网络类型对话框中选择“局域网”,如图19。
如图19为该策略指定网络类型
点击“下一步”,在接下来对话框中根据图8的设置进行,如图20。
如图20为该策略指定身份验证方法
点击“下一步”,在IP筛选器列表中选择“过滤IP筛选器列表”选项,如图21。
如图21为该策略指定筛选器
点击“下一步”,接着在筛选器操作列表中选择“阻止IP筛选器操作”,如图22。
如图22为该策略筛选器指定操作行为
点击“下一步”,最后点击“完成”。
第五步:
启用该策略
右击“终端服务过滤”,在弹出的菜单中选择“指派”,这样就启用了该IPSec安全策略。
局域网中IP为“192.168.1.100”的计算机的TelNet就不能访问IP为“192.168.1.102”计算机了。
三、IPSec安全策略验证
验证IP为“192.168.1.100”的计算机的TelNet能不能访问IP为“192.168.1.102”计算机。
在IP为“192.168.1.100”的计算机:
第一步:
选择“开始→程序→附件→命令提示符”,打开DOS命令窗口。
第二步:
输入命令:
telnet
图23输入远程终端访问命令
回车执行该命令。
图23执行远程终端访问
第三步:
输入并执行Open192.168.1.102命令,连接远程目标计算机“192.168.1.102”。
图23连接远程终端
第三步:
记录窗口显示的该命令执行结果。
在IP为“192.168.1.102”的计算机:
第一步:
选择“开始→程序→附件→命令提示符”,打开DOS命令窗口。
第二步:
输入并执行命令:
telnet
第三步:
检查本地远程访问连接状态。
输入并执行命令Status
第四步:
记录窗口显示的该命令执行结果。
因为192.168.1.100未对我的IP限制访问,所以,我有权通过telnet访问对方电脑。
点击enter,输入对方电脑的用户名及密码。
验证成功,访问成功。
五、实验结果
IPSec安全策略验证结果。
当过滤IP策略不指派时IP192.168.1.100就可以访问了,如下图:
因为不指派,那么安全策略对对方就失去了阻止效果,而导致他可以对我进行telnet访问。
输入192.168.1.102电脑的账户密码。
验证成功,访问成功。