Windows内置了IP安全策略(即IPSec策略),其IPsec是基于Internet工程任务组(IETF)IPSec工作组的标准而开发的。
IPSec可建立从源IP地址到目标IP地址的信任和安全。只有那些必须了解通信是安全的计算机才是发送和接收的计算机。每台计算机都假定进行通信的媒介是不安全的,因此在各自的终端上处理安全性。
IPSec策略用于配置IPSec安全服务,支持TCP、UDP、ICMP、EGP等大多数通信协议,可为现有网络中的通信提供各种级别的保护,可以根据计算机、域、站点的安全需要来配置策略。
Windows 7除了提供传统的IPSec策略,还提供了使用新的安全算法和新功能的新的IPSec 策略。若要使用新的IPSec策略,请使用“高级安全Windows防火墙”管理单元。“高级安全Windows防火墙”管理单元创建的策略不能应用于较早版本的Windows。
在Windows 7中,可以通过以下方法找到“IP安全策略”:打开“控制面板”→“系统和安全”→“管理工具”→“本地安全策略”→“IP安全策略”。使用这个IP安全策略,可为本地计算机配置IP安全策略。
下面,我们使用IP安全策略在两台主机之间为ICMP通信建立一条安全通道。假定正常情况下,这两个主机可以相互通信。主机A的IP地址是192.168.0.3,主机B的IP地址是192.168.0.4。
1. 分别在主机A、B上完成以下创建IP安全策略的操作
(1)创建新IPSec策略。
在“本地安全策略”窗口中,选择“IP安全策略,在本地计算机”,然后在右侧窗格空白处单击右键,弹出与IP安全策略有关的菜单,如图7-23所示。
选择其中的“创建IP安全策略(C)...”,在“欢迎使用IP安全策略向导”对话框中,单击“下一步”按钮。再单击两次“下一步”按钮,保持默认名称并且不选择“激活默认响应规则”,然后单击“完成”按钮,出现“新IP安全策略 属性”对话框,如图7-24所示。可以按需要将规则添加到IPSec策略。
图7-23 本地安全策略中的IP安全策略
图7-24 IP安全策略属性对话框
(2)为新建的IPSec策略添加规则。
在图7-24中单击“添加”按钮,进入“欢迎使用创建IP安全规则向导”,单击“下一步”按钮。在本练习中,我们实现的是两台主机之间的IPSec安全隧道,而不是两个网络之间的安全通信,因此,我们选择“此规则不指定隧道”,即选用传输模式IPSec,如图7-25所示。
图7-25 选择是否指定隧道
选择“连接类型”,单击“下一步”按钮。在“选择网络类型”的对话框中,要选择安全规则将要应用到的网络类型。安全规则可以应用到3种网络类型:所有网络连接、局域网(LAN)和远程访问。本练习中,我们选择“所有网络连接”,如图7-26所示。
图7-26 选择安全规则将要应用到的网络类型
单击“下一步”按钮,进入“IP筛选器列表”对话框。注意,一个规则仅可使用一个筛选器列表。在“IP筛选器列表”对话框中,我们来定制自己的筛选器操作。
单击“添加”按钮,在随后的对话框中,再次单击“添加”按钮来创建一个IP筛选器。进入“欢迎使用IP筛选器向导”,单击“下一步”按钮。在“IP筛选器描述和镜像属性”的“描述”中,可自由添加对新增筛选器的解释信息,在这里输入“与同组主机进行安全的ICMP通信”,如图7-27所示。单击“下一步”按钮。
IP通信源选择“我的IP地址”,单击“下一步”按钮。IP通信目标选择“一个特定的IP地址或子网”。对于主机A,IP地址填写主机B的地址:192.168.0.4;对于主机B,IP地址填写主机A的地址:192.168.0.3,单击“下一步”按钮。IP协议类型选择“ICMP”,如图7-28所示。
单击“下一步”按钮,单击“完成”按钮,单击“确定”按钮,退出“IP筛选器列表”对话框。操作界面返回到“安全规则向导”。
图7-27 添加对新增筛选器的解释信息
图7-28 选择IP协议类型
在“IP筛选器列表”中选中刚刚创建的“新 IP筛选器列表”,如图7-29所示,单击“下一步”按钮。
图7-29 在“IP筛选器列表”中选中“新 IP筛选器列表”(www.daowen.com)
在“筛选器操作”界面单击“添加”按钮新建筛选器操作,在弹出的“欢迎使用IP筛选器操作向导”界面中,单击“下一步”按钮。设置新的筛选器操作名称为“安全的ICMP通信”,描述自定义,如图7-30所示,单击“下一步”按钮。
图7-30 设置新的筛选器操作名称
在“筛选器操作常规选项”中选择“协商安全”,单击“下一步”按钮。选中“不允许不安全的通信”,单击“下一步”按钮。在“IP流量安全”中,选择“完整性和加密”,单击“下一步”按钮。最后单击“完成”按钮完成筛选器操作设置,返回到“安全规则向导”。
在“筛选器操作”列表中选中“安全的ICMP通信”,如图7-31所示,单击“下一步”按钮。
图7-31 在“筛选器操作”列表中选中“安全的ICMP通信”
在“身份验证方法”界面,选中“使用此字符串保护密钥交换(预共享密钥)”,填写共享密钥“www.hbuas.edu.cn”(主机A、主机B的共享密钥必须一致),如图7-32所示。单击“下一步”按钮,直至最终完成。
图7-32 设置初始身份验证方法
新创建的IPSec策略将对ICMP包进行加密和完整性检验,并且不允许与没有对ICMP包进行加密和完整性检验的计算机通信。当两台计算机启用该IPSec策略进行ICMP通信时,它们之间会使用共享密钥“www.hbuas.edu.cn”验证彼此的身份。该策略并不影响其他协议的通信。
2. 测试IPSec策略
要使用已创建的IPSec策略,需要指派该策略。方法是:右键单击策略,然后单击“分配”。注意:一台计算机上每次只能分配一个策略。分配其他策略将自动取消当前已分配的策略。
(1)主机A不指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入以下命令:ping 192.168.0.4。命令及反馈如图7-33所示。说明主机A、B可以进行ICMP通信。这很正常,因为主机A、B并未启用刚创建的IPSec策略。
图7-33 主机A 可以Ping通主机B
(2)主机A指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入如下命令:ping 192.168.0.4。命令及反馈如图7-34所示。说明主机A、B不能进行ICMP通信。原因是启用的IPSec策略禁止与没有对ICMP包进行加密和完整性检验的计算机通信。
图7-34 主机A不能 Ping通主机B
(3)主机A不指派策略,主机B指派策略。
主机A在“cmd”控制台中,输入如下命令:ping 192.168.0.4。命令及反馈如图7-34所示。说明主机A、B不能进行ICMP通信。原因同上。
(4)主机A指派策略,主机B指派策略。
主机A在“cmd”控制台中,输入如下命令:ping 192.168.0.4。命令及反馈与图7-33相似。说明主机A、B可以进行ICMP通信。原因是主机A、B都启用的IPSec策略,并且使用共同的密钥来验证身份。
如果使用协议分析软件对主机A、B之间的ICMP包进行分析,会发现它被加密了。
(5)主机A指派策略,主机B指派策略。但修改主机A中IPSec策略的“身份验证方法”,使之与主机B不一样。
右键单击“新IP安全策略”,选择“属性”。在随后的对话框的IP筛选器列表中,选择“新IP安全策略”,单击“编辑”按钮,选择“身份验证方法”标签,如图7-35所示。选择编辑,删除共享密钥中的“www”,连续单击“确定”按钮,直到关闭所有刚才打开的对话框。
主机A在“cmd”控制台中,输入如下命令:ping 192.168.0.4。命令及反馈如图7-34所示。说明主机A、B不能进行ICMP通信。原因是通信双方不能验证对方的身份。
图7-35 身份验证方法
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。