Login
升级VIP 登录 注册 安全退出
当前位置: 首页 > word文档 > 其他文档 > 基于Windows-2003的IPSec-实验

基于Windows-2003的IPSec-实验

收藏

本作品内容为基于Windows-2003的IPSec-实验,格式为 doc ,大小 174592 KB ,页数为 6页

基于Windows-2003的IPSec-实验


('寒水教研基于Windows2003的IPSec实验1、IPSec简介:IPSec实际上是一套协议包而不是单个的协议,IPSec是在IP网络上保证安全通信的开放标准框架,它在IP层提供数据源验证、数据完整性和数据保密性。其中比较重要的有RFC2409IKE(InternetKeyExchange)互连网密钥交换、RFC2401IPSec协议、RFC2402AH(AuthenticationHeader)验证包头、RFC2406ESP(EncapsulatingSecurityPayload)加密数据等协议。IPSec独立于密码学算法,这使得不同的用户群可以选择不同一套安全算法。IPSec主要由AH(认证头)协议,ESP(封装安全载荷)协议以及负责密钥管理的IKE(因特网密钥交换)协议组成。AH为IP数据包提供无连接的数据完整性和数据源身份认证。数据完整性通过消息认证码(如MD5、SHA1)产生的校验值来保证,数据源身份认证通过在待认证的数据中加入一个共享密钥来实现。ESP为IP数据包提供数据的保密性(通过加密机制)、无连接的数据完整性、数据源身份认证以及防重防攻击保护。AH和ESP可以单独使用,也可以配合使用,通过组合可以配置多种灵活的安全机制。密钥管理包括IKE协议和安全联盟SA(SecurityAssociation)等部分。IKE在通信双方之间建立安全联盟,提供密钥确定、密钥管理机制,是一个产生和交换密钥材料并协商IPSec参数的框架。IKE将密钥协商的结果保留在SA中,供AH和ESP通信时使用。2、实验环境:本例主要介绍的是基于IPSec的VPN中网关到网关的模拟环境配置步骤。其中地址均为假设的。图示如下图1,所需环境为:两台安装Windows2003Server的PC机,分别安装两块网卡,我们称其为A机和B机,A机所在私有地址段为192.168.5.0/255.255.255.0,互联网端网卡IP地址为202.1.1.1/255.255.255.0,B机所在私有地址段为192.168.6.0/255.255.255.0,互联网端网卡IP地址为202.1.1.2/255.255.255.0,用一交叉网线直连A、B两机模拟互联网,另外一台内网1寒水教研PC机地址192.168.6.2/255.255.255.0,称为C机。目的是通过VPN将两段内部网络互联。图1:配置IPSec的模拟网络环境图IPSec网关A机和B机需要配置的主要内容为:创建IPSec策略;定义IPSec筛选器列表(filterlist);配置IPSec筛选器操作(FilterAction);配置身份验证方法。具体步骤如下:3、创建IPSec策略:a)在A机上运行IPSec策略管理控制台。(方法:“开始”“程序”“管理工具”“本地安全策略”)右击“IP安全策略,在本地机器”,选择“创建IP安全策略”,出现IP安全策略向导。b)单击“下一步”c)命名所建的安全策略,比如“A和B的安全通信”,单击“下一步”d)清除“激活默认响应规则”复选框,单击“下一步”e)选中“编辑属性”复选框,单击“完成”,至此已创建名为“A和B的安全通信”的IP安全策略,以下步骤为设置其属性。4:定义IPSec筛选器列表:a)在“A和B的安全通信”属性框中,清除“使用添加向导”复选框,单击“添加”按钮,添加IPIPSec筛选器b)命名筛选器,比如为“A到B的筛选器”,清除“使用添加向导”复选框,单击“添加”按钮,出现筛选器属性对话框c)“源地址”选择“一个特定的子网”,“目标地址”也选择“一个特定的子网”,分别填上IP地址,清除“镜像”复选框,在“协议”标签中“选择协议类型”为“任意”,如下图2所示,单击“确定”,再单击“关闭”,至此已添加好名为“A到B的筛选器”的筛选器。2寒水教研图2:“A到B的筛选器”具体配置信息4、定义IPSec筛选器操作a)在“编辑规则属性”对话框中,单击“IP筛选器列表”标签,选中新建的“A到B的筛选器”,再单击“IP筛选器操作”标签,单击“添加”按钮,在“筛选器操作属性”对话框中,选择“常规”标签,命名该操作,比如“A和B筛选器操作”,选择“安全措施”标签,单击“添加”按钮b)选择“自定义”单选框,单击“设置”按钮c)在此对话框中,设置AH完整性算法和ESP完整性算法和加密算法,比如AH选MD5,ESP选SHA1和3DES,单击“确定”,再单击“确定”,出现如下对话框(图3),单击“确定”,至此已添加好名为“A到B的筛选器操作”的筛选器操作。3寒水教研图3筛选器操作属性对话框5:配置身份验证方法:身份验证方法定义在筛选器适用的通讯中需如何验证标识。双方都必须至少有一个通用身份验证方法,否则通讯将失败。Windows2000提供Kerberos、公钥证书、指定预共享密钥三种身份验证方法,使用Kerberos需合理设置A、B机之间的域关系,使用公钥证书需申请和安装相应证书,甚至需建立CA(CertificationAuthority)中心,为简化起见,此处只介绍使用指定预共享密钥的身份验证方法配置步骤。a)在“编辑规则属性”对话框中,确保在“IP筛选器列表”标签中选中“A到B筛选器”,在“IP筛选器操作”标签中选中“A到B筛选器操作”,然后单击“身份验证方法”标签。b)单击“添加”按钮,选择“此字串用来保护密钥交换(预共享密钥)”单选框,输入“123456789”,单击“确定”。至此已配置好身份验证方法,如下图4。图4身份验证方法属性对话框4寒水教研6、设置隧道终点a)在“编辑规则属性”对话框中,单击“隧道设置”标签。b)选择“隧道终点有此IP地址指定”,并输入B机互联网端地址202.1.1.2。如图5图5:设置隧道终点界面7、配置入站筛选器:IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯,并允许接收端的计算机响应安全通讯请求;或者按照IP筛选器列表匹配通讯。出站筛选器适用于传出的通讯,并触发一个在通讯发送之前进行的安全协商。例如,如果计算机A要与计算机B安全地交换数据:计算机A上的活动IPSec策略必须有针对计算机B的任何出站包的筛选器。Source=A且Destination=B。计算机A上的活动IPSec策略必须有针对计算机B的任何入站包的筛选器。Source=B且Destination=A。每方都必须有反向的筛选器:计算机B上的活动IPSec策略必须有针对计算机A的任何入站包的筛选器。Source=A且Destination=B。计算机B上的活动IPSec策略必须有针对计算机A的任何出站包的筛选器。Source=B且Destination=A。因此,至此还只是设置好了A机上的出站筛选器,还需在A机按2至5的步骤设置A机上的入站筛选器,只需将源和目的IP子网地址互换,且此时的隧道终点IP地址为202.1.1.1即可。此处略。8、B机上的配置步骤:5寒水教研完全按在A机的配置过程,在B机上做同样配置,只枳⒁庠春湍康腎P子网地址及隧道终点IP地址不要设置混淆即可。9、测试IPSec策略:按要求分别在A、B两机配置好IPSec策略后,需测试其是否正常工作,在测试前需将A、B两机配置成路由器,并起用IP路由功能,以在两网卡间路由IP包(起用方法在“管理工具”中的“路由和远程访问”工具中起用)。同时需在A机上添加到B机所在内网段的路由项,在B机上添加到A机所在内网段的路由项。在做好这些准备工作后,IPSec策略测试步骤如下:a)运行IPSec策略管理控制台,在左边窗口选择“IP安全策略,在本地机器”,在右边窗口出现创建的名为“A和B的安全通信”的IPSec策略,右击“A和B的安全通信”,选择“指派”,则其“策略已指派”栏由“否”变为“是”。在A、B两机上均需做此操作。b)在C机上打开命令窗口,做PING操作(即ping–t192.168.5.1)。该操作中源和目的IP地址匹配我们在A、B两机上设置的筛选器,其将触发B、A之间的安全通信。c)在B机上打开IP安全监控工具(方法:“开始”“运行””ipsecmon”即可)。此时在其窗口上可看到目前在用A、B机之间建立的SA详细信息及发送和接收的身份验证字节数和加密的字节数等。图示如下面图6。图6:在B机上打开的IP安全监控工具窗口信息本例中设置的IP筛选器协议选择的是缺省的“任意”值,其实还可以非常灵活地设置源和目的协议、端口号等,以设置更严格的过滤器规则。6',)


  • 编号:1700774461
  • 分类:其他文档
  • 软件: wps,office word
  • 大小:6页
  • 格式:docx
  • 风格:商务
  • PPT页数:174592 KB
  • 标签:

广告位推荐

相关其他文档更多>