1、1在在Windows中进行中进行IPSec配置和使用之前,必配置和使用之前,必须首先获取本机主机名和须首先获取本机主机名和IP地址。在命令行方式下,地址。在命令行方式下,直接输入直接输入ipconfig /all,命令,可以察看本机的主,命令,可以察看本机的主机名、机名、IP地址、子网掩码和默认网关等信息。地址、子网掩码和默认网关等信息。在在Windows中使用中使用IPSec要通过配置和使用要通过配置和使用IPSec策略实现。策略实现。有两种方法使用有两种方法使用IPSec策略:策略:一种是直接使用内置的一种是直接使用内置的IPSec策略;策略;另一种是使用用户自己定制的另一种是使用用户自己
2、定制的IPSec策略。策略。Windows中中IPSec的配置和使用的配置和使用2内置的内置的IPSec策略适用于同一个活动目录域中策略适用于同一个活动目录域中的成员之间使用,使用内置的的成员之间使用,使用内置的IPSec策略,可减少策略,可减少用户的很多配置工作。用户的很多配置工作。定制的定制的IPSec策略适用于不在域内的用户之间策略适用于不在域内的用户之间使用使用IPSec安全机制,这需要较多的配置工作。安全机制,这需要较多的配置工作。3为了使用内置的为了使用内置的IPSec策略,要求使用策略,要求使用IPSec的的安全通信双方必须是同一活动目录域的成员安全通信双方必须是同一活动目录域的
3、成员。 使用内置的使用内置的IPSec策略,可以使用最少的配置来策略,可以使用最少的配置来实现域成员之间的实现域成员之间的IPSec安全通信。配置时,一般安全通信。配置时,一般将一台服务器(可以不是域控制器)配置成将一台服务器(可以不是域控制器)配置成IPSec安全服务器,其他的客户机配置成安全服务器,其他的客户机配置成IPSec安全客户安全客户机。机。1. 使用内置 IPSec策略4下面假设测试的计算机都是同一域的成员,安下面假设测试的计算机都是同一域的成员,安装有装有Windows XP或或Windows Server 2003操作系操作系统。统。激活域成员中激活域成员中IPSec内置策略
4、的步骤如下:内置策略的步骤如下:(1)配置成)配置成IPSec安全服务器。安全服务器。在一台域成员计算机中,单击在一台域成员计算机中,单击“开始开始/运行运行”,打开打开“运行运行”对话框,键入对话框,键入“gpedit.msc”,再单,再单击击“确定确定”按钮,启动本地组策略。按钮,启动本地组策略。(2)在打开的)在打开的“组策略组策略”控制台窗口左侧依控制台窗口左侧依次选择次选择“本地计算机策略本地计算机策略/计算机配置计算机配置/Windows 设设置置/安全设置安全设置/IP安全策略,在本地计算机安全策略,在本地计算机”项,在右项,在右边的面板中将会出现三个策略选项:边的面板中将会出现
5、三个策略选项:“安全服务安全服务器器”、“客户端客户端”和和“服务器服务器”。5(3)选中)选中“安全服务器安全服务器”项,右击,在弹出式菜单中选择项,右击,在弹出式菜单中选择“指派指派”菜菜单项,则右边面板中的单项,则右边面板中的“策略已指派策略已指派”属性从属性从“否否”转换为转换为“是是”。6(4)配置)配置IPSec安全客户机。安全客户机。前面配置的计算机将作为安全服务器,对域中前面配置的计算机将作为安全服务器,对域中的其他的计算机应配置为安全客户端。在步骤的其他的计算机应配置为安全客户端。在步骤3打打开的窗口中选中开的窗口中选中“客户端客户端”项,右击,在弹出式菜项,右击,在弹出式菜
6、单中选择单中选择“指派指派”菜单项,则右边面板中的菜单项,则右边面板中的“策略策略已指派已指派”属性从属性从“否否”转换为转换为“是是”。现在,就有一台域成员计算机作为安全服务器,现在,就有一台域成员计算机作为安全服务器,另外一台域成员计算机作为安全客户端。另外一台域成员计算机作为安全客户端。7(5)测试)测试下面通过在安全客户端使用下面通过在安全客户端使用ping命令,对前面配命令,对前面配置好内置置好内置IPSec策略的两台计算机进行测试。策略的两台计算机进行测试。在安全客户端计算机的命令行方式下,去在安全客户端计算机的命令行方式下,去ping安安全服务器端的全服务器端的IP地址,结果应该
7、是成功的。如果出现地址,结果应该是成功的。如果出现不成功的信息,表明不成功的信息,表明IPSec正在被协商安全服务器的正在被协商安全服务器的IP地址,等一段时间重复前面的地址,等一段时间重复前面的ping命令,两台计算命令,两台计算机已经建立了机已经建立了IPSec安全协商后,将会接收到成功的安全协商后,将会接收到成功的回应消息。回应消息。8至此,已经在域成员的两台计算机之间成功设至此,已经在域成员的两台计算机之间成功设置和使用了置和使用了IPSec。只有通过成功协商的只有通过成功协商的IPSec客户端才能与安全客户端才能与安全服务器进行通信,另外,安全服务器也不能与其他服务器进行通信,另外,
8、安全服务器也不能与其他系统,如系统,如DNS服务器进行会话,除非通信数据利用服务器进行会话,除非通信数据利用IPSec进行了保护。这主要是因为安全服务器的默进行了保护。这主要是因为安全服务器的默认认IP安全策略非常苛刻,对所有进入网络的安全策略非常苛刻,对所有进入网络的IP数据数据包都试图进行加密。包都试图进行加密。所以,在实际中,可能会需要定制安全策略,所以,在实际中,可能会需要定制安全策略,以适应不同的安全环境、网络拓扑结构和特定的服以适应不同的安全环境、网络拓扑结构和特定的服务器应用。务器应用。9为了准许非为了准许非IPSec客户端同服务器进行通信,客户端同服务器进行通信,必须在前边指派
9、必须在前边指派“服务器服务器”策略,而不是策略,而不是“安全服安全服务器务器”策略,这样总是要求安全性,但也允许与客策略,这样总是要求安全性,但也允许与客户端的非安全通信。户端的非安全通信。取消指派取消指派“安全服务器安全服务器”、“客户端客户端”和和“服服务器务器”策略的步骤很简单,只需选中这些选项中的策略的步骤很简单,只需选中这些选项中的一个,右击,在弹出式菜单中选择一个,右击,在弹出式菜单中选择“不指派不指派”即可。即可。10说明:说明:(1)进行内置)进行内置IPSec策略测试的两台计算机,策略测试的两台计算机,最好都要登录到域,而不要只向本地登录。最好都要登录到域,而不要只向本地登录
10、。(2)最好不要随意修改内置)最好不要随意修改内置IPSec策略,如要策略,如要修改,请先改为修改,请先改为“不指派不指派”,然后进行修改,再,然后进行修改,再“指派指派”,最后,在命令提示符下键入,最后,在命令提示符下键入gpupdate,刷新组策略。刷新组策略。(3)修改)修改IPSec策略以后,再次通信时,可能策略以后,再次通信时,可能要要2到到3分钟的时间,双方协商才会完成。分钟的时间,双方协商才会完成。11前面使用了内置的前面使用了内置的IPSec策略来保证域成员之策略来保证域成员之间信息传递的安全性,如果要在两个非域成员之间间信息传递的安全性,如果要在两个非域成员之间利用利用IPS
11、ec实现安全通信,需要创建一个定制的安实现安全通信,需要创建一个定制的安全策略来取代内置的策略。全策略来取代内置的策略。为了创建一个定制的为了创建一个定制的IPSec策略,首先创建一策略,首先创建一个个IPSec策略项,再定义一个安全规则,然后定一策略项,再定义一个安全规则,然后定一个筛选器列表,最后指定筛选器的行为。个筛选器列表,最后指定筛选器的行为。2. 定制IPSec策略12下面以下面以Windows XP为例进行介绍,为例进行介绍,Windows Server 2003配置定制配置定制IPSec策略的步骤与策略的步骤与Windows XP类似,只有个别地方有点区别,这些类似,只有个别地
12、方有点区别,这些区别在下面的步骤中会有说明。区别在下面的步骤中会有说明。 1创建创建IPSec策略策略为了定制一个为了定制一个IPSec策略,必须首先创建一个策略,必须首先创建一个IPSec策略,并对其进行各种设置。策略,并对其进行各种设置。创建一个创建一个IPSec策略的步骤如下:策略的步骤如下:(1)在本地组策略控制台面板的左边,右击)在本地组策略控制台面板的左边,右击“IP安全策略,在本地计算机安全策略,在本地计算机”项,在弹出式菜单项,在弹出式菜单中选择中选择“创建创建IP安全策略安全策略”,进入,进入IP安全策略向导。安全策略向导。13(2)在)在“欢迎使用欢迎使用IP安全策略向导安
13、全策略向导”对话框中,对话框中,单击单击“下一步下一步”按钮,在弹出的按钮,在弹出的“IP安全策略的名安全策略的名称称”对话框中输入对话框中输入IP安全策略的名称和描述。安全策略的名称和描述。(3)单击)单击“下一步下一步”按钮,在弹出的按钮,在弹出的“安全安全通信请求通信请求”对话框中清除对话框中清除“激活默认响应规则激活默认响应规则”检检查框。查框。(4)单击)单击“下一步下一步”按钮,在弹出的按钮,在弹出的“正在正在完成完成IP安全策略向导安全策略向导”对话框中选择对话框中选择“编辑属性编辑属性”检查框,这样可以立即编辑新建立的检查框,这样可以立即编辑新建立的IP安全策略。安全策略。(5
14、)单击)单击“完成完成”按钮,可关闭此向导,并按钮,可关闭此向导,并进入进入“新新IP安全策略属性安全策略属性”对话框,选中其中的对话框,选中其中的“使用添加向导使用添加向导”检查框。检查框。14(6)单击)单击“添加添加”按钮,进入按钮,进入“欢迎使用创欢迎使用创建建IP安全规则向导安全规则向导”对话框。对话框。IPSec安全规则控制保证通信安全的方式和时安全规则控制保证通信安全的方式和时间。每个规则均包含筛选器列表和一组安全措施,间。每个规则均包含筛选器列表和一组安全措施,这些措施与该列表匹配后会激活这些操作。这些措施与该列表匹配后会激活这些操作。(7)单击)单击“下一步下一步”按钮,弹出
15、按钮,弹出“隧道终结隧道终结点点”对话框,用于指定隧道终结点。为了测试简单对话框,用于指定隧道终结点。为了测试简单起见,在此选择起见,在此选择“此规则不指定隧道此规则不指定隧道”。(8)单击)单击“下一步下一步”按钮,在弹出按钮,在弹出“网络类网络类型型”的对话框中要求选择安全规则应用的网络类型,的对话框中要求选择安全规则应用的网络类型,在此选择在此选择“所有网络连接所有网络连接”,单击,单击“下一步下一步”按钮按钮继续。继续。15 2设置身份验证方法设置身份验证方法(1)在接下来弹出的对话框中,要求选择计)在接下来弹出的对话框中,要求选择计算机在建立安全连接的时候,以怎样的认证方法来算机在建
16、立安全连接的时候,以怎样的认证方法来证明自己的身份。证明自己的身份。在每条安全规则中都定义身份验证方法的列表。在每条安全规则中都定义身份验证方法的列表。每个身份验证方法定义相关规则适用的通信类型,每个身份验证方法定义相关规则适用的通信类型,以用于进行身份验证。以用于进行身份验证。通信双方都至少有一个通用身份验证方法,否通信双方都至少有一个通用身份验证方法,否则通信将无法建立。创建多个身份验证方法可以增则通信将无法建立。创建多个身份验证方法可以增加在两台计算机之间找到通用方法的机会。加在两台计算机之间找到通用方法的机会。16不管配置了多少种验证方法,一对计算机之间不管配置了多少种验证方法,一对计
17、算机之间只能指定一种身份验证方法。如果有适用于同一对只能指定一种身份验证方法。如果有适用于同一对计算机的多个规则,则必须在这对计算机中配置使计算机的多个规则,则必须在这对计算机中配置使用相同的身份验证方法。用相同的身份验证方法。例如,如果在一对计算机之间的规则只指定使例如,如果在一对计算机之间的规则只指定使用用Kerberos进行身份验证并只筛选进行身份验证并只筛选TCP数据,而在数据,而在其他规则中,只指定使用其他规则中,只指定使用“证书证书”进行身份验证并只进行身份验证并只筛选筛选UDP数据,则身份验证将会失败。数据,则身份验证将会失败。17Windows提供了三种认证方法,用于在计算机提
18、供了三种认证方法,用于在计算机之间建立信任关系:之间建立信任关系: Kerberos V5Kerberos V5身份验证方法由作为身份验证方法由作为Kerberos V5密钥分配中心的密钥分配中心的Windows域来提供。它可以很域来提供。它可以很容易在容易在Windows域或信任域之间的计算机实现和配域或信任域之间的计算机实现和配置安全通信,它是默认的身份验证机制。置安全通信,它是默认的身份验证机制。公钥证书公钥证书公钥证书应用于公钥证书应用于Internet访问、远程访问企业访问、远程访问企业资源、外部商业伙伴或不运行资源、外部商业伙伴或不运行Kerberos V5安全协安全协议的计算机。
19、这需要至少已配置一个可信任的证书议的计算机。这需要至少已配置一个可信任的证书颁发机构颁发机构CA。18预共享密钥预共享密钥这是事先由两个用户协商的共享密钥,它不需这是事先由两个用户协商的共享密钥,它不需要客户端运行要客户端运行Kerberos V5协议或拥有公钥证书,协议或拥有公钥证书,使用方便快捷。但双方必须手动配置使用方便快捷。但双方必须手动配置IPSec以使用以使用此预共享密钥。这是验证不以此预共享密钥。这是验证不以Windows为基础的独为基础的独立计算机或没有运行立计算机或没有运行Kerberos V5协议客户的简单协议客户的简单方法。方法。预共享密钥一般是一个口令,仅仅用于在两台预
20、共享密钥一般是一个口令,仅仅用于在两台计算机之间建立信任关系。计算机之间建立信任关系。在下面的测试中使用这种方式。选中在下面的测试中使用这种方式。选中“此字符此字符串用来保护密钥交换(预共享密钥)串用来保护密钥交换(预共享密钥)”选项,并在选项,并在下面的编辑框内输入一字符串作为密钥,如下面的编辑框内输入一字符串作为密钥,如“123”等。等。19为了保持相互信任,安全通信的两台计算机都为了保持相互信任,安全通信的两台计算机都必须知道并都设置上述字符串。该密钥不用于加密必须知道并都设置上述字符串。该密钥不用于加密应用数据,只是在两台计算机之间协商相互信任时应用数据,只是在两台计算机之间协商相互信
21、任时使用。使用。(2)单击)单击“下一步下一步”按钮,进入按钮,进入“IP筛选器列筛选器列表表”对话框。对话框。说明:在说明:在Windows Server 2003中将中将“设置身设置身份验证方法份验证方法”这一步放到了最后。这一步放到了最后。203设置设置IP筛选器列表筛选器列表当当IP包发送或接收的时候将使用包发送或接收的时候将使用IP安全策略,以安全策略,以相应的筛选器进行匹配检查相应的筛选器进行匹配检查 ,以判断发出或接收的,以判断发出或接收的数据包是否需要加密、阻塞,是否允许通过安全系统数据包是否需要加密、阻塞,是否允许通过安全系统或者是否以明文形式传输等。或者是否以明文形式传输等
22、。目前有两种形式的筛选器:一种用于控制目前有两种形式的筛选器:一种用于控制IPSec传输模式安全,另外一种用于控制传输模式安全,另外一种用于控制IPSec隧道安全。隧道安全。IPSec隧道过滤器首先应用于所有数据包,如果隧道过滤器首先应用于所有数据包,如果没有匹配,则查找没有匹配,则查找IPSec传输模式筛选器。传输模式筛选器。多个独立的筛选器可以组成一个筛选器列表,这多个独立的筛选器可以组成一个筛选器列表,这样可以管理复杂的样可以管理复杂的IP安全通信。过滤器列表可以在同安全通信。过滤器列表可以在同一个或不同的一个或不同的IPSec策略的安全规则之间共享。策略的安全规则之间共享。21为了测试
23、两台计算机之间的为了测试两台计算机之间的IPSec安全通信,必安全通信,必须在两台计算机之间定义相同的筛选器列表。须在两台计算机之间定义相同的筛选器列表。如果想简化设置过程,可以直接选中系统默认的如果想简化设置过程,可以直接选中系统默认的一些选项,如在一些选项,如在“IP筛选器列表筛选器列表”对话框中,选中对话框中,选中“所有所有IP通信量通信量”选项,再单击选项,再单击“下一步下一步”按钮,可按钮,可直接转到设置筛选器操作。直接转到设置筛选器操作。224设置设置IP筛选器操作筛选器操作前面设置了匹配前面设置了匹配TCP/IP包输入和输出的筛选器,包输入和输出的筛选器,下面设置这些筛选器对数据
24、包所采取的操作,包括下面设置这些筛选器对数据包所采取的操作,包括准许、阻塞或安全处理与筛选器匹配的数据包。如准许、阻塞或安全处理与筛选器匹配的数据包。如果想要在两台计算机之间进行安全传输,必须设置果想要在两台计算机之间进行安全传输,必须设置兼容的协商策略。可创建一个新的筛选器操作。兼容的协商策略。可创建一个新的筛选器操作。如果想简化设置过程,可以直接选中系统默认如果想简化设置过程,可以直接选中系统默认的一些选项,如在的一些选项,如在“筛选器操作筛选器操作”对话框中,可选对话框中,可选中中“需要安全需要安全”选项,再单击选项,再单击“下一步下一步”按钮,可按钮,可直接转到直接转到“完成完成IP安
25、全筛选器操作向导安全筛选器操作向导”对话框中,对话框中,清除清除“编辑属性编辑属性”复选框,并单击复选框,并单击“完成完成”按钮即按钮即可完成设置。可完成设置。235按照以上步骤,在需要安全通信的另一台按照以上步骤,在需要安全通信的另一台计算机上建立相同的计算机上建立相同的IP安全策略。安全策略。6指派和测试。在新建的新指派和测试。在新建的新IP安全策略上右击安全策略上右击鼠标,选择鼠标,选择“指派指派”。定制的。定制的IP安全策略的测试方安全策略的测试方法和内置法和内置IP安全策略的测试方法和测试现象类似,安全策略的测试方法和测试现象类似,可用可用ping对方对方IP地址的方法进行测试。地址的方法进行测试。
