Windows内置了IP安全策略（即IPSec策略），其IPsec是基于Internet工程任务组（IETF）IPSec工作组的标准而开发的。

IPSec可建立从源IP地址到目标IP地址的信任和安全。只有那些必须了解通信是安全的计算机才是发送和接收的计算机。每台计算机都假定进行通信的媒介是不安全的，因此在各自的终端上处理安全性。

IPSec策略用于配置IPSec安全服务，支持TCP、UDP、ICMP、EGP等大多数通信协议，可为现有网络中的通信提供各种级别的保护，可以根据计算机、域、站点的安全需要来配置策略。

Windows 7除了提供传统的IPSec策略，还提供了使用新的安全算法和新功能的新的IPSec 策略。若要使用新的IPSec策略，请使用“高级安全Windows防火墙”管理单元。“高级安全Windows防火墙”管理单元创建的策略不能应用于较早版本的Windows。

在Windows 7中，可以通过以下方法找到“IP安全策略”：打开“控制面板”→“系统和安全”→“管理工具”→“本地安全策略”→“IP安全策略”。使用这个IP安全策略，可为本地计算机配置IP安全策略。

下面，我们使用IP安全策略在两台主机之间为ICMP通信建立一条安全通道。假定正常情况下，这两个主机可以相互通信。主机A的IP地址是192.168.0.3，主机B的IP地址是192.168.0.4。

1. 分别在主机A、B上完成以下创建IP安全策略的操作

（1）创建新IPSec策略。

在“本地安全策略”窗口中，选择“IP安全策略，在本地计算机”，然后在右侧窗格空白处单击右键，弹出与IP安全策略有关的菜单，如图7-23所示。

选择其中的“创建IP安全策略（C）...”，在“欢迎使用IP安全策略向导”对话框中，单击“下一步”按钮。再单击两次“下一步”按钮，保持默认名称并且不选择“激活默认响应规则”，然后单击“完成”按钮，出现“新IP安全策略 属性”对话框，如图7-24所示。可以按需要将规则添加到IPSec策略。

图7-23　本地安全策略中的IP安全策略

图7-24　IP安全策略属性对话框

（2）为新建的IPSec策略添加规则。

在图7-24中单击“添加”按钮，进入“欢迎使用创建IP安全规则向导”，单击“下一步”按钮。在本练习中，我们实现的是两台主机之间的IPSec安全隧道，而不是两个网络之间的安全通信，因此，我们选择“此规则不指定隧道”，即选用传输模式IPSec，如图7-25所示。

图7-25　选择是否指定隧道

选择“连接类型”，单击“下一步”按钮。在“选择网络类型”的对话框中，要选择安全规则将要应用到的网络类型。安全规则可以应用到3种网络类型：所有网络连接、局域网（LAN）和远程访问。本练习中，我们选择“所有网络连接”，如图7-26所示。

图7-26　选择安全规则将要应用到的网络类型

单击“下一步”按钮，进入“IP筛选器列表”对话框。注意，一个规则仅可使用一个筛选器列表。在“IP筛选器列表”对话框中，我们来定制自己的筛选器操作。

单击“添加”按钮，在随后的对话框中，再次单击“添加”按钮来创建一个IP筛选器。进入“欢迎使用IP筛选器向导”，单击“下一步”按钮。在“IP筛选器描述和镜像属性”的“描述”中，可自由添加对新增筛选器的解释信息，在这里输入“与同组主机进行安全的ICMP通信”，如图7-27所示。单击“下一步”按钮。

IP通信源选择“我的IP地址”，单击“下一步”按钮。IP通信目标选择“一个特定的IP地址或子网”。对于主机A，IP地址填写主机B的地址：192.168.0.4；对于主机B，IP地址填写主机A的地址：192.168.0.3，单击“下一步”按钮。IP协议类型选择“ICMP”，如图7-28所示。

单击“下一步”按钮，单击“完成”按钮，单击“确定”按钮，退出“IP筛选器列表”对话框。操作界面返回到“安全规则向导”。

图7-27　添加对新增筛选器的解释信息

图7-28　选择IP协议类型

在“IP筛选器列表”中选中刚刚创建的“新 IP筛选器列表”，如图7-29所示，单击“下一步”按钮。

图7-29　在“IP筛选器列表”中选中“新 IP筛选器列表”(www.daowen.com)

在“筛选器操作”界面单击“添加”按钮新建筛选器操作，在弹出的“欢迎使用IP筛选器操作向导”界面中，单击“下一步”按钮。设置新的筛选器操作名称为“安全的ICMP通信”，描述自定义，如图7-30所示，单击“下一步”按钮。

图7-30　设置新的筛选器操作名称

在“筛选器操作常规选项”中选择“协商安全”，单击“下一步”按钮。选中“不允许不安全的通信”，单击“下一步”按钮。在“IP流量安全”中，选择“完整性和加密”，单击“下一步”按钮。最后单击“完成”按钮完成筛选器操作设置，返回到“安全规则向导”。

在“筛选器操作”列表中选中“安全的ICMP通信”，如图7-31所示，单击“下一步”按钮。

图7-31　在“筛选器操作”列表中选中“安全的ICMP通信”

在“身份验证方法”界面，选中“使用此字符串保护密钥交换（预共享密钥）”，填写共享密钥“www.hbuas.edu.cn”（主机A、主机B的共享密钥必须一致），如图7-32所示。单击“下一步”按钮，直至最终完成。

图7-32　设置初始身份验证方法

新创建的IPSec策略将对ICMP包进行加密和完整性检验，并且不允许与没有对ICMP包进行加密和完整性检验的计算机通信。当两台计算机启用该IPSec策略进行ICMP通信时，它们之间会使用共享密钥“www.hbuas.edu.cn”验证彼此的身份。该策略并不影响其他协议的通信。

2. 测试IPSec策略

要使用已创建的IPSec策略，需要指派该策略。方法是：右键单击策略，然后单击“分配”。注意：一台计算机上每次只能分配一个策略。分配其他策略将自动取消当前已分配的策略。

（1）主机A不指派策略，主机B不指派策略。

主机A在“cmd”控制台中，输入以下命令：ping 192.168.0.4。命令及反馈如图7-33所示。说明主机A、B可以进行ICMP通信。这很正常，因为主机A、B并未启用刚创建的IPSec策略。

图7-33　主机A 可以Ping通主机B

（2）主机A指派策略，主机B不指派策略。

主机A在“cmd”控制台中，输入如下命令：ping 192.168.0.4。命令及反馈如图7-34所示。说明主机A、B不能进行ICMP通信。原因是启用的IPSec策略禁止与没有对ICMP包进行加密和完整性检验的计算机通信。

图7-34　主机A不能 Ping通主机B

（3）主机A不指派策略，主机B指派策略。

主机A在“cmd”控制台中，输入如下命令：ping 192.168.0.4。命令及反馈如图7-34所示。说明主机A、B不能进行ICMP通信。原因同上。

（4）主机A指派策略，主机B指派策略。

主机A在“cmd”控制台中，输入如下命令：ping 192.168.0.4。命令及反馈与图7-33相似。说明主机A、B可以进行ICMP通信。原因是主机A、B都启用的IPSec策略，并且使用共同的密钥来验证身份。

如果使用协议分析软件对主机A、B之间的ICMP包进行分析，会发现它被加密了。

（5）主机A指派策略，主机B指派策略。但修改主机A中IPSec策略的“身份验证方法”，使之与主机B不一样。

右键单击“新IP安全策略”，选择“属性”。在随后的对话框的IP筛选器列表中，选择“新IP安全策略”，单击“编辑”按钮，选择“身份验证方法”标签，如图7-35所示。选择编辑，删除共享密钥中的“www”，连续单击“确定”按钮，直到关闭所有刚才打开的对话框。

主机A在“cmd”控制台中，输入如下命令：ping 192.168.0.4。命令及反馈如图7-34所示。说明主机A、B不能进行ICMP通信。原因是通信双方不能验证对方的身份。

图7-35　身份验证方法