使用IPSec保护网络通信gbww

为了防止止虚拟机机蓝屏，今今天实验验全部使使用克隆隆的虚拟拟机。不不要启动动虚拟机机，克隆隆以下虚虚拟机，保保存在DD盘（注注意一定定是D盘盘）自己己所建的的目录里里。IPSeec原理理使使用innterrnett协议安安全（IInteerneet PProttocool SSecuuritty，IIPSeec）是是解决网网络安全全问题的的长久之之计。它它能针对对那些来来自专用用网络和和intternnet的的攻击提提供重要要的防线线，并在在网络安安全性与与便用性性之间取取得平衡衡。IPPSecc是一种种加密的的标准，它它允许在在差别很很大的设设备之间间进行安安全通信信。利用用IPSSec不不仅可以以构建基基于操作作系统的的防火墙墙，实现现一般防防火墙的的功能。它它还可以以为许可可通信的的两个端端点建立立加密的的、可靠靠的数据据通道。IPSeec安全全策略规规则筛选器源地址 目标标地址协议类型型筛选器操操作许可阻止协商安全全身份验证证方法Kerbberoos 协协议证书预共享密密钥任务一 使用IIPSeec实验目的的：掌握握IPSSec可可以使得得网络中中计算机机之间的的通信更更加安全全。实验成功功结果:Xp11和Xpp2之间间的通信信受到了了控制。启动两台台虚拟机机分别设设置他们们的Ipp地址如如下：主机名Ip子网掩码码默认网关关首选DNNSXp1(内xpp)192.1688.1000.110255.2555.2555.00空空Xp2(内域xxp)192.1688.1000.220255.2555.2555.00空空配置Xpp1的IIPSeec（11）建立立新的IIPSeec策略略1）控控制面板板管理工工具本地安安全策略略打开本地安安全设置置对话话框。2）右右击IIP安全全策略，在在本地机机器，选选择创创建IPP安全策策略下一步步。33）为新新的IPP安全策策略命名名并填写写策略描描述，单单击下下一步继续。4）通通过选择择激活活默认响响应规则则复选选框接受受默认值值下一步步5）选择Active Directory 默认值作为默认响应规则身份验证方法，单击下一步继续。6）保留编辑属性的选择完成（2）添加新规则在不选择使用添加向导的情况下单击添加按钮。出现新规则属性对话框。（3）添加新过滤器1）单击添加按钮，出现 IP筛选器列表对话框。2）为新的IP筛选器列表命名并填写描述，在不选择使用添加向导的情况下单击添加按钮。出现筛选器属性对话框。3）单击寻址标签，将源地址改为一个特定的IP地址并输入Xp1的IP地址将目标地址改为一个特定的IP地址并输入Xp2的IP地址。4）单单击协协议 标签，选选择协协议类型型为IICMPP。55）单击击确定定回到到IPP筛选器器列表对话框框。观察察新添加加的筛选选器列表表。66）单击击确定定回到到新规规则属性性对话话框。7）通通过单击击新添加加的过滤滤器旁边边的单选选按钮激激活新设设置的过过滤器。（4）规定过滤器动作1）单击新规则属性对话框中的筛选器操作标签。2）在不选择使用添加向导的情况下单击添加按钮。出现新筛选器操作属性对话框。3）选择协商安全单选框。4）单击添加按钮选择安全方法。5）选择仅保持完整性，单击确定回到新筛选器操作属性对话框。6）单击确定回到新规则属性对话框。7）确保不选择允许和不支持IPSec的计算机进行不安全的通信，单击确定回到筛选器操作对话框。8）通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。（5）设置身份验证方法1）单击新规则属性对话框中的身份验证方法标签。2）单击添加按钮，出现新身份验证方法属性对话框。3）选择使用此字串（预共享密钥）单选框，并输入预共享密钥子串ABC。4）单击确定按钮回到身份验证方法标签。5）单击上移按钮使预先共享的密钥成为首选。（6）设置隧道设置1）单击新规则属性对话框中的隧道设置标签。2）选择此规则不指定IPSec隧道。（7）设置连接类型1）单击新规则属性对话框中的连接类型标签。2）选择所有网络连接。3）单击关闭按钮回到新IP安全策略属性对话框。4）单击关闭按钮关闭新IP安全策略属性对话框回到本地安全策略设置。3配置Xp2的IPSec仿照前面对Xp1的配置对Xp2的IPSec进行配置。4测试IPSec（1）不激活XP1、XP2的IPSec进行测试。1）确保不激活XP1、XP2的IPSec。2）在XP1执行命令PING 192.168.100.20，注意观察屏幕提示。3）在XP2执行命令PING 192.168.100.10，注意观察屏幕提示。（2）激活一方的IPSec进行测试1）在XP1新建立的IP安全策略上单击鼠标右键并选择指派， 激活该IP安全策略。2）在XP1执行命令PING 192.168.100.20，注意观察屏幕提示。3）在XP2执行命令PING 192.168.100.10，注意观察屏幕提示。（3）激活双方的IPSec进行测试1）在XP1执行命令PING 192.168.100.20-t ，注意观察屏幕提示。2）在XP2新建立的IP安全策略上单击鼠标右键并选择指派， 激活该IP安全策略。3）观察XP1、XP2间的安全协商过程。把两台计计算机的的安全策策略都选选为不指派派，以免免影响下下一个任任务任务二证证书实现现IPSSEC的的安全通通讯1、 在Serrverr1上安安装应用用程序服服务器和和证书n 配置您的的服务器器向导应用程程序服务务器（选选中ASSP.nnet）n 控制面板板添加删删除程序序添加删删除Wiindoows组组件证书服服务(以以自己姓姓名拼音音缩写起起名字)n 管理工具具证书颁颁发机构构2、 在Xp11和Xpp2上申申请证书书（两台台机器都都要做）申请一个个证书高级证证书申请请创建并并向此CCA提交交一个申申请填写如如下（其其余的可可为空）提交3、Seerveer1允允许申请请证书颁发发机构挂起的的申请（右击击）所有任任务颁发证书颁发发机构颁发的的证书（查看看是否有有）4、在XXp1和和Xp22上安装装证书（两两台机器器都要做做）点击“IIPSeec证书书”安装此此证书再重新新访问hhttpp:/1922.1668.1100.1/ccerttsrvv/点击“下载 CA 证书、证证书链或或 CRRL”下载 CA 证书保存到到桌面。l 开始运运行MMCC文件添加删删除管理理单元添加添加选择“计算机机账户”下一步步本地计计算机完成关闭确定下一步浏览（到到桌面保保存的证证书文件件）l 进入刚才才设置的的IPSSec策策略进入“身份验验证方法法”选中一一个方法法编辑浏览确定确确定指派此此策略5测试试IPSSec（11）不激激活XPP1、XXP2的的IPSSec进进行测试试。11）确保保不激活活XP11、XPP2的IIPSeec。2）在在XP11执行命命令PIING 1922.1668.1100.20，注意意观察屏屏幕提示示。33）在XXP2执执行命令令PINNG 1192.1688.1000.110，注意意观察屏屏幕提示示。（22）激活活一方的的IPSSec进进行测试试1）在在XP11新建立立的IPP安全策策略上单单击鼠标标右键并并选择指派， 激激活该IIP安全全策略。2）在XP1执行命令PING 192.168.100.20，注意观察屏幕提示。3）在XP2执行命令PING 192.168.100.10，注意观察屏幕提示。（3）激活双方的IPSec进行测试1）在XP1执行命令PING 192.168.100.20t ，注意观察屏幕提示。2）在XP2新建立的IP安全策略上单击鼠标右键并选择指派， 激活该IP安全策略。3）观察XP1、XP2间的安全协商过程。