《(通信企业管理)使用IPS保护网络通信》由会员分享,可在线阅读,更多相关《(通信企业管理)使用IPS保护网络通信(6页珍藏版)》请在金锄头文库上搜索。
1、为了防止虚拟机蓝屏,今天实验全部使用克隆的虚拟机。不要启动虚拟机,克隆以下虚拟机,保存在D盘(注意一定是D盘)自己所建的目录里。IPSec原理使用internet协议安全(Internet Protocol Security,IPSec)是解决网络安全问题的长久之计。它能针对那些来自专用网络和internet的攻击提供重要的防线,并在网络安全性与便用性之间取得平衡。IPSec是一种加密的标准,它允许在差别很大的设备之间进行安全通信。利用IPSec不仅可以构建基于操作系统的防火墙,实现一般防火墙的功能。它还可以为许可通信的两个端点建立加密的、可靠的数据通道。IPSec安全策略规则筛选器源地址 目
2、标地址协议类型筛选器操作许可阻止协商安全身份验证方法Kerberos 协议证书预共享密钥任务一 使用IPSec实验目的:掌握IPSec可以使得网络中计算机之间的通信更加安全。实验成功结果:Xp1和Xp2之间的通信受到了控制。启动两台虚拟机分别设置他们的Ip地址如下:主机名Ip子网掩码默认网关首选DNSXp1(内xp)192.168.100.10255.255.255.0空空Xp2(内域xp)192.168.100.20255.255.255.0空空配置Xp1的IPSec(1)建立新的IPSec策略1)控制面板管理工具本地安全策略打开本地安全设置对话框。2)右击IP安全策略,在本地机器,选择创建
3、IP安全策略下一步。3)为新的IP安全策略命名并填写策略描述,单击下一步继续。4)通过选择激活默认响应规则复选框接受默认值下一步5)选择Active Directory 默认值作为默认响应规则身份验证方法,单击下一步继续。6)保留编辑属性的选择完成(2)添加新规则在不选择使用添加向导的情况下单击添加按钮。出现新规则属性对话框。(3)添加新过滤器1)单击添加按钮,出现 IP筛选器列表对话框。2)为新的IP筛选器列表命名并填写描述,在不选择使用添加向导的情况下单击添加按钮。出现筛选器属性对话框。3)单击寻址标签,将源地址改为一个特定的IP地址并输入Xp1的IP地址将目标地址改为一个特定的IP地址并
4、输入Xp2的IP地址。4)单击协议 标签,选择协议类型为ICMP。5)单击确定回到IP筛选器列表对话框。观察新添加的筛选器列表。6)单击确定回到新规则属性对话框。7)通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。(4)规定过滤器动作1)单击新规则属性对话框中的筛选器操作标签。2)在不选择使用添加向导的情况下单击添加按钮。出现新筛选器操作属性对话框。3)选择协商安全单选框。4)单击添加按钮选择安全方法。5)选择仅保持完整性,单击确定回到新筛选器操作属性对话框。6)单击确定回到新规则属性对话框。7)确保不选择允许和不支持IPSec的计算机进行不安全的通信,单击确定回到筛选器操作对话框。8
5、)通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。(5)设置身份验证方法1)单击新规则属性对话框中的身份验证方法标签。2)单击添加按钮,出现新身份验证方法属性对话框。3)选择使用此字串(预共享密钥)单选框,并输入预共享密钥子串ABC。4)单击确定按钮回到身份验证方法标签。5)单击上移按钮使预先共享的密钥成为首选。(6)设置隧道设置1)单击新规则属性对话框中的隧道设置标签。2)选择此规则不指定IPSec隧道。(7)设置连接类型1)单击新规则属性对话框中的连接类型标签。2)选择所有网络连接。3)单击关闭按钮回到新IP安全策略属性对话框。4)单击关闭按钮关闭新IP安全策略属性对话框回
6、到本地安全策略设置。3配置Xp2的IPSec仿照前面对Xp1的配置对Xp2的IPSec进行配置。4测试IPSec(1)不激活XP1、XP2的IPSec进行测试。1)确保不激活XP1、XP2的IPSec。2)在XP1执行命令PING 192.168.100.20,注意观察屏幕提示。3)在XP2执行命令PING 192.168.100.10,注意观察屏幕提示。(2)激活一方的IPSec进行测试1)在XP1新建立的IP安全策略上单击鼠标右键并选择指派, 激活该IP安全策略。2)在XP1执行命令PING 192.168.100.20,注意观察屏幕提示。3)在XP2执行命令PING 192.168.10
7、0.10,注意观察屏幕提示。(3)激活双方的IPSec进行测试1)在XP1执行命令PING 192.168.100.20 -t ,注意观察屏幕提示。2)在XP2新建立的IP安全策略上单击鼠标右键并选择指派, 激活该IP安全策略。3)观察XP1、XP2间的安全协商过程。把两台计算机的安全策略都选为不指派,以免影响下一个任务任务二 证书实现IPSEC的安全通讯1、 在Server1上安装应用程序服务器和证书n 配置您的服务器向导应用程序服务器(选中ASP.net)n 控制面板添加删除程序添加删除Windows组件证书服务(以自己姓名拼音缩写起名字)n 管理工具证书颁发机构2、 在Xp1和Xp2上申
8、请证书(两台机器都要做)申请一个证书高级证书申请创建并向此CA提交一个申请填写如下(其余的可为空)提交3、Server1允许申请证书颁发机构挂起的申请(右击)所有任务颁发证书颁发机构颁发的证书(查看是否有)4、在Xp1和Xp2上安装证书(两台机器都要做)点击“IPSec证书”安装此证书再重新访问http:/192.168.100.1/certsrv/点击“下载 CA 证书、证书链或 CRL”下载 CA 证书保存到桌面。l 开始运行MMC文件添加删除管理单元添加添加选择“计算机账户”下一步本地计算机完成关闭确定下一步浏览(到桌面保存的证书文件) l 进入刚才设置的IPSec策略进入“身份验证方法
9、”选中一个方法编辑浏览确定确定指派此策略5测试IPSec(1)不激活XP1、XP2的IPSec进行测试。1)确保不激活XP1、XP2的IPSec。2)在XP1执行命令PING 192.168.100.20,注意观察屏幕提示。3)在XP2执行命令PING 192.168.100.10,注意观察屏幕提示。(2)激活一方的IPSec进行测试1)在XP1新建立的IP安全策略上单击鼠标右键并选择指派, 激活该IP安全策略。2)在XP1执行命令PING 192.168.100.20,注意观察屏幕提示。3)在XP2执行命令PING 192.168.100.10,注意观察屏幕提示。(3)激活双方的IPSec进行测试1)在XP1执行命令PING 192.168.100.20 t ,注意观察屏幕提示。2)在XP2新建立的IP安全策略上单击鼠标右键并选择指派, 激活该IP安全策略。3)观察XP1、XP2间的安全协商过程。
