实验二IPSec配置与应用.docx

1、实验二IPSec配置与应用电子商务安全技术上机实验实验二：IPSec配置与应用一、 实验目的IP安全（IPSec）协议用于增强网络的安全性。Windows 2000以上版本的操作系统提供对IPSec协议的支持。为了增强网络通信安全或对客户机器的管理，网络管理员可以通过在Windows系统中定义IPSec安全策略来实现。在Windows系统中，一个IPSec安全策略由IP筛选器和筛选器操作两部分构成，其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注，筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略，一般需要新建IP筛选器和筛选器操作。本实验通过对Windows

2、 2000或XP操作系统中的“IPSec安全策略”配置，学习掌握IP网络安全协议的应用，增强网络安全。二、 实验要求理解IP网络安全协议，掌握Windows操作系统的IPSec安全策略配置与应用。三、 实验内容1、 本地IPSec安全策略创建/选择2、 IPSec安全策略配置与应用3、 IPSec安全策略验证四、 实验步骤（一）、创建/选择本地IPSec安全策略1、 方法一 利用MMC控制台第一步：点击“开始运行”，在运行对话框中输入“MMC”，点击“确定”按钮后，启动“控制台”窗口，如图1。图1 “控制台”窗口第二步：点击“控制台”菜单中的“文件添加/删除管理单元”选项，弹出“添加/删除管理

3、单元”对话框，如图2。图2 “添加/删除管理单元”对话框点击“独立”标签页的“添加”按钮，弹出“添加独立管理单元”对话框，如图3。图3 选择“IP安全策略管理”第三步：在列表框中选择“IP安全策略管理”，点击 “添加”按钮，弹出“选择计算机”对话框，如图4。图4 “选择计算机”对话框在“选择计算机”对话框中，选择“本地计算机”，最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略，如图5。图5 在“MMC控制台”启用IPSec安全策略的结果2、 方法二：利用本地安全设置进入“控制面板管理工具”选项（Windows XP为：控制面板性能和维护管理工具），双击“本地安全设置”选项，在

4、“本地安全设置”窗口中可以找到“IP安全策略，在本地计算机”，如图6。图6 在“本地安全设置”启用IPSec安全策略（二）、IPSec安全策略配置与应用IPSec安全策略应用实例： 阻止局域网中IP为“192.168.1.100”的计算机对IP为“192.168.1.102” 的计算机的远程终端访问（Telnet）。第一步：创建该IP安全策略。在Windows 2000/XP的IP安全策略窗口中（图5或图6），右键点击“IP安全策略，在本地计算机”，选择“创建IP安全策略”选项，进入“IP安全策略向导”，点击“下一步”，在“IP安全策略”名称对话框中输入该策略的名字，如图7，如“过滤IP安全策

5、略”，点击“下一步”，下面弹出的对话框选择默认值。在默认响应规则身份验证方法选择对话框（如图8），如果两台计算机位于同一个 Windows 2000 域中，则选择Kerberos V5 协议作为身份验证方法。如果不在一个域中，则单击“使用此字串来保护密钥交换(预共享密钥)”，然后输入字符串（使用你可记住的长字符串，不要有任何键入错误）。最后点击“完成”按钮。图7 为该IP安全策略命名图8 选择默认响应规则身份验证方法第二步：为该策略创建一个筛选器。在图5或图6中右击“IP安全策略，在本地计算机”，选中“管理IP筛选器表和筛选器操作” 菜单，选中“管理IP筛选器列表”标签页，如图9。图9 选中管

6、理IP筛选器列表点击下方的“添加”，弹出的“IP筛选器列表”对话框，如图10。图10 IP筛选器列表对话框在“名称”输入框中输入“远程终端访问过滤”，点击“添加”，进入“IP筛选器向导”窗口，点击“下一步”，在“源地址”下拉列表框中选择“一个特定IP地址”，然后输入该客户机的IP地址和子网掩码，如“192.168.1.163”， 如图11。图11 指定IP通信源计算机地址点击“下一步”后，在“目标地址”下拉列表框中选择“我的IP地址”，如图12。图12 指定IP通信目标计算机地址点击“下一步”，接着在“选择协议类型”中选择“TCP”协议，如图13。图13 选择通信协议类型点击“下一步”，接着在

7、协议端口中选择“从任意端口，到此端口”，在输入框中填入“23”，如图14。点击“下一步”后完成筛选器的创建。图14 选择通信端口图15 新创建的筛选器第三步：为该策略筛选器创建一个阻止操作。在图9，选中“筛选器操作”标签页，点击“添加”按钮，进入到“IP安全筛选器操作向导”，点击“下一步”，给这个操作起一个名字，如“阻止IP筛选器操作”，如图16。图16 命名筛选器操作点击“下一步”，接着设置“筛选器操作的行为”，选择“阻止”单选项，如图17。图17 选择筛选器操作行为点击“下一步”，就完成了“IP安全筛选器操作”的添加工作。第四步：为该策略指定筛选器及其操作行为。在IP安全策略主窗口中，双击

8、第一步建立的“终端服务过滤”安全策略，点击“添加”按钮，进入“创建IP安全规则向导”，点击“下一步”，选择“此规则不指定隧道”，如图18。如图18 为该策略指定IP隧道点击“下一步”，在网络类型对话框中选择“局域网”，如图19。如图19 为该策略指定网络类型点击“下一步”，在接下来对话框中根据图8的设置进行，如图20。如图20 为该策略指定身份验证方法点击“下一步”，在IP筛选器列表中选择“过滤IP筛选器列表”选项，如图21。如图21 为该策略指定筛选器点击“下一步”，接着在筛选器操作列表中选择“阻止IP筛选器操作”，如图22。如图22 为该策略筛选器指定操作行为点击“下一步”，最后点击“完成

9、”。第五步：启用该策略右击“终端服务过滤”，在弹出的菜单中选择“指派”，这样就启用了该IPSec安全策略。局域网中IP为“192.168.1.100”的计算机的TelNet就不能访问IP为“192.168.1.102” 计算机了。三、IPSec安全策略验证验证IP为“192.168.1.100”的计算机的TelNet能不能访问IP为“192.168.1.102” 计算机。在IP为“192.168.1.100”的计算机：第一步：选择“开始程序附件命令提示符”，打开DOS命令窗口。第二步：输入命令： telnet图23 输入远程终端访问命令回车执行该命令。图23执行远程终端访问第三步：输入并执行O

10、pen 192.168.1.102命令，连接远程目标计算机“192.168.1.102”。图23 连接远程终端第三步：记录窗口显示的该命令执行结果。在IP为“192.168.1.102”的计算机：第一步：选择“开始程序附件命令提示符”，打开DOS命令窗口。第二步：输入并执行命令： telnet第三步：检查本地远程访问连接状态。输入并执行命令Status第四步：记录窗口显示的该命令执行结果。因为192.168.1.100未对我的IP限制访问，所以，我有权通过telnet访问对方电脑。点击enter，输入对方电脑的用户名及密码。验证成功，访问成功。五、 实验结果IPSec安全策略验证结果。当过滤IP策略不指派时IP192.168.1.100就可以访问了，如下图：因为不指派，那么安全策略对对方就失去了阻止效果，而导致他可以对我进行telnet访问。输入192.168.1.102电脑的账户密码。验证成功，访问成功。