在Windows中进行IPSec配置和使用之前必须首先获取本机

1、在Windows中进行IPSec配置和使用之前，必须首先获取本机主机名和IP地址。在命令行方式下，直接输入ipconfig /all，命令，可以察看本机的主机名、IP地址、子网掩码和默认网关等信息。在Windows中使用IPSec要通过配置和使用IPSec策略实现。有两种方法使用IPSec策略：一种是直接使用内置的IPSec策略；另一种是使用用户自己定制的IPSec策略。Windows中IPSec的配置和使用内置的IPSec策略适用于同一个活动目录域中的成员之间使用，使用内置的IPSec策略，可减少用户的很多配置工作。定制的IPSec策略适用于不在域内的用户之间使用IPSec安全机制，这需要较

2、多的配置工作。为了使用内置的IPSec策略，要求使用IPSec的安全通信双方必须是同一活动目录域的成员。 使用内置的IPSec策略，可以使用最少的配置来实现域成员之间的IPSec安全通信。配置时，一般将一台服务器（可以不是域控制器）配置成IPSec安全服务器，其他的客户机配置成IPSec安全客户机。1. 使用内置 IPSec策略下面假设测试的计算机都是同一域的成员，安装有Windows XP或Windows Server 2003操作系统。激活域成员中IPSec内置策略的步骤如下：（1）配置成IPSec安全服务器。在一台域成员计算机中，单击“开始/运行”，打开“运行”对话框，键入“gpedit

3、.msc”，再单击“确定”按钮，启动本地组策略。（2）在打开的“组策略”控制台窗口左侧依次选择“本地计算机策略/计算机配置/Windows 设置/安全设置/IP安全策略，在本地计算机”项，在右边的面板中将会出现三个策略选项：“安全服务器”、“客户端”和“服务器”。（3）选中“安全服务器”项，右击，在弹出式菜单中选择“指派”菜单项，则右边面板中的“策略已指派”属性从“否”转换为“是”。（4）配置IPSec安全客户机。前面配置的计算机将作为安全服务器，对域中的其他的计算机应配置为安全客户端。在步骤3打开的窗口中选中“客户端”项，右击，在弹出式菜单中选择“指派”菜单项，则右边面板中的“策略已指派”属

4、性从“否”转换为“是”。现在，就有一台域成员计算机作为安全服务器，另外一台域成员计算机作为安全客户端。（5）测试下面通过在安全客户端使用ping命令，对前面配置好内置IPSec策略的两台计算机进行测试。在安全客户端计算机的命令行方式下，去ping安全服务器端的IP地址，结果应该是成功的。如果出现不成功的信息，表明IPSec正在被协商安全服务器的IP地址，等一段时间重复前面的ping命令，两台计算机已经建立了IPSec安全协商后，将会接收到成功的回应消息。至此，已经在域成员的两台计算机之间成功设置和使用了IPSec。只有通过成功协商的IPSec客户端才能与安全服务器进行通信，另外，安全服务器也不

5、能与其他系统，如DNS服务器进行会话，除非通信数据利用IPSec进行了保护。这主要是因为安全服务器的默认IP安全策略非常苛刻，对所有进入网络的IP数据包都试图进行加密。所以，在实际中，可能会需要定制安全策略，以适应不同的安全环境、网络拓扑结构和特定的服务器应用。为了准许非IPSec客户端同服务器进行通信，必须在前边指派“服务器”策略，而不是“安全服务器”策略，这样总是要求安全性，但也允许与客户端的非安全通信。取消指派“安全服务器”、“客户端”和“服务器”策略的步骤很简单，只需选中这些选项中的一个，右击，在弹出式菜单中选择“不指派”即可。说明：（1）进行内置IPSec策略测试的两台计算机，最好都

6、要登录到域，而不要只向本地登录。（2）最好不要随意修改内置IPSec策略，如要修改，请先改为“不指派”，然后进行修改，再“指派”，最后，在命令提示符下键入gpupdate，刷新组策略。（3）修改IPSec策略以后，再次通信时，可能要2到3分钟的时间，双方协商才会完成。前面使用了内置的IPSec策略来保证域成员之间信息传递的安全性，如果要在两个非域成员之间利用IPSec实现安全通信，需要创建一个定制的安全策略来取代内置的策略。为了创建一个定制的IPSec策略，首先创建一个IPSec策略项，再定义一个安全规则，然后定一个筛选器列表，最后指定筛选器的行为。2. 定制IPSec策略下面以Windows

7、 XP为例进行介绍，Windows Server 2003配置定制IPSec策略的步骤与Windows XP类似，只有个别地方有点区别，这些区别在下面的步骤中会有说明。1创建IPSec策略为了定制一个IPSec策略，必须首先创建一个IPSec策略，并对其进行各种设置。创建一个IPSec策略的步骤如下：（1）在本地组策略控制台面板的左边，右击“IP安全策略，在本地计算机”项，在弹出式菜单中选择“创建IP安全策略”，进入IP安全策略向导。（2）在“欢迎使用IP安全策略向导”对话框中，单击“下一步”按钮，在弹出的“IP安全策略的名称”对话框中输入IP安全策略的名称和描述。（3）单击“下一步”按钮，在

8、弹出的“安全通信请求”对话框中清除“激活默认响应规则”检查框。（4）单击“下一步”按钮，在弹出的“正在完成IP安全策略向导”对话框中选择“编辑属性”检查框，这样可以立即编辑新建立的IP安全策略。（5）单击“完成”按钮，可关闭此向导，并进入“新IP安全策略属性”对话框，选中其中的“使用添加向导”检查框。（6）单击“添加”按钮，进入“欢迎使用创建IP安全规则向导”对话框。IPSec安全规则控制保证通信安全的方式和时间。每个规则均包含筛选器列表和一组安全措施，这些措施与该列表匹配后会激活这些操作。（7）单击“下一步”按钮，弹出“隧道终结点”对话框，用于指定隧道终结点。为了测试简单起见，在此选择“此规

9、则不指定隧道”。（8）单击“下一步”按钮，在弹出“网络类型”的对话框中要求选择安全规则应用的网络类型，在此选择“所有网络连接”，单击“下一步”按钮继续。2设置身份验证方法（1）在接下来弹出的对话框中，要求选择计算机在建立安全连接的时候，以怎样的认证方法来证明自己的身份。在每条安全规则中都定义身份验证方法的列表。每个身份验证方法定义相关规则适用的通信类型，以用于进行身份验证。通信双方都至少有一个通用身份验证方法，否则通信将无法建立。创建多个身份验证方法可以增加在两台计算机之间找到通用方法的机会。不管配置了多少种验证方法，一对计算机之间只能指定一种身份验证方法。如果有适用于同一对计算机的多个规则，

10、则必须在这对计算机中配置使用相同的身份验证方法。例如，如果在一对计算机之间的规则只指定使用Kerberos进行身份验证并只筛选TCP数据，而在其他规则中，只指定使用“证书”进行身份验证并只筛选UDP数据，则身份验证将会失败。Windows提供了三种认证方法，用于在计算机之间建立信任关系： Kerberos V5Kerberos V5身份验证方法由作为Kerberos V5密钥分配中心的Windows域来提供。它可以很容易在Windows域或信任域之间的计算机实现和配置安全通信，它是默认的身份验证机制。公钥证书公钥证书应用于Internet访问、远程访问企业资源、外部商业伙伴或不运行Kerber

11、os V5安全协议的计算机。这需要至少已配置一个可信任的证书颁发机构CA。预共享密钥这是事先由两个用户协商的共享密钥，它不需要客户端运行Kerberos V5协议或拥有公钥证书，使用方便快捷。但双方必须手动配置IPSec以使用此预共享密钥。这是验证不以Windows为基础的独立计算机或没有运行Kerberos V5协议客户的简单方法。预共享密钥一般是一个口令，仅仅用于在两台计算机之间建立信任关系。在下面的测试中使用这种方式。选中“此字符串用来保护密钥交换（预共享密钥）”选项，并在下面的编辑框内输入一字符串作为密钥，如“123”等。为了保持相互信任，安全通信的两台计算机都必须知道并都设置上述字符

12、串。该密钥不用于加密应用数据，只是在两台计算机之间协商相互信任时使用。（2）单击“下一步”按钮，进入“IP筛选器列表”对话框。说明：在Windows Server 2003中将“设置身份验证方法”这一步放到了最后。3设置IP筛选器列表当IP包发送或接收的时候将使用IP安全策略，以相应的筛选器进行匹配检查 ，以判断发出或接收的数据包是否需要加密、阻塞，是否允许通过安全系统或者是否以明文形式传输等。目前有两种形式的筛选器：一种用于控制IPSec传输模式安全，另外一种用于控制IPSec隧道安全。IPSec隧道过滤器首先应用于所有数据包，如果没有匹配，则查找IPSec传输模式筛选器。多个独立的筛选器可

13、以组成一个筛选器列表，这样可以管理复杂的IP安全通信。过滤器列表可以在同一个或不同的IPSec策略的安全规则之间共享。为了测试两台计算机之间的IPSec安全通信，必须在两台计算机之间定义相同的筛选器列表。如果想简化设置过程，可以直接选中系统默认的一些选项，如在“IP筛选器列表”对话框中，选中“所有IP通信量”选项，再单击“下一步”按钮，可直接转到设置筛选器操作。4设置IP筛选器操作前面设置了匹配TCP/IP包输入和输出的筛选器，下面设置这些筛选器对数据包所采取的操作，包括准许、阻塞或安全处理与筛选器匹配的数据包。如果想要在两台计算机之间进行安全传输，必须设置兼容的协商策略。可创建一个新的筛选器操作。如果想简化设置过程，可以直接选中系统默认的一些选项，如在“筛选