实训指导242基于Windows实现VPN连接(本地安全策略for3389)课件

1、国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施学习情境2：实训任务2.4基于Windows实现VPN连接通过本地安全策略配置点对点隧道内容介绍任务场景及描述1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6任务场景及描述任务相关工具软件介绍基于WINDOWS的本地安全策略配置点对点隧道：任务设计、规划任务设计、规划点对点通信结构VPN的规划与设计为了实现企业内部网的两台主机之间的安全通信，即单机到单机结构中都采用WINDOWS系统时的VPN连接。规划如下图所示，配置A主机与B主机之间的数据采用安全的VPN进行连接（IPSec的VPN）。互联网

2、ISP总公司BA任务实施及方法技巧二、 点对点通信结构VPN连接的配置 下面以两台WINDOWS2003计算机为例进行IPSec实验，在局域网中实现安全的通信，即采用加密等措施实现。两台处于同一局网中的计算机A和B（正常的VPN基于IPSec主要用于公网中安全通信，即保护数据在公共网络上的传输），根据实验环境等条件，这里两台计算机处于同一网段，A的IP地址为10.1.34.201，B的IP地址为10.1.34.100。实验配置实现A与B的安全的ICMP通信，那对ICMP协议进行VPN加密传输。配置如下：1创建 IPSec 策略 通常，Windows Server 2003 网关不是域成员，因此

3、需要创建本地 IPSec 策略。如果 Windows Server 2003 网关是域成员，该域默认会将 IPSec 策略应用到域内的所有成员，这样，Windows Server 2003 网关就不能有本地 IPSec 策略。在此情况下，可以在 Active Directory 中创建一个组织单位，使 Windows Server 2003 网关成为该组织单位的成员，并将 IPSec 策略指派到该组织单位的“组策略对象”(GPO)。（1）单击“开始”，“运行”，然后键入 secpol.msc 以启动“IP 安全策略管理”管理单元。 （2）右键单击“本地计算机上的 IP 安全策略”，然后单击“创

4、建 IP 安全策略”。 （3）单击“下一步”，然后键入策略的名称（例如 IPSec Tunnel with non-Microsoft Gateway）。单击“下一步”。注意：您也可以在“说明”框中键入信息。 （4）单击清除“激活默认响应规则”复选框，然后单击“下一步”。 （5）单击“完成”（让“编辑”复选框保持选中状态）。任务实施及方法技巧注意：IPSec 策略是使用 IKE 主模式的默认设置创建的。IPSec 隧道由两个规则组成。每个规则指定一个隧道终结点。因为有两个隧道终结点，所以就有两个规则。每个规则中的筛选器必须代表发送到此规则的隧道终结点的 IP 数据包中的源和目标 IP 地址。任

5、务实施及方法技巧2建立从 A 到 B 的筛选器列表（1）在新策略属性中，单击“使用添加向导”复选框，将其清除，然后单击“添加”以创建新规则。 （2）单击“IP 筛选器列表”选项卡，然后单击“添加”。如图所示。 （3）为筛选器列表键入相应的名称，单击“使用添加向导”复选框，将其清除，然后单击“添加”。 （4）在“源地址”框中，单击“一个特定的 IP 子网”，然后键入 A 的“IP 地址”和“子网掩码”。 （5）在“目标地址”框中，单击“一个特定的 IP 子网”，然后键入 B 的“IP 地址”和“子网掩码”。 （6）单击“镜像”复选框，将其清除。 （7）单击“协议”选项卡。一定要将“协议类型”设置

6、为“任何”，因为 IPSec 隧道不支持协议或端口特定的筛选器。 （8）如果要为筛选器键入说明，请单击“说明”选项卡。通常，为筛选器和筛选器列表指定相同的名称不失为一个良策。当隧道为活动状态时，筛选器名称显示在 IPSec 监视器中。 （9）单击“确定”。 任务实施及方法技巧3建立从 B 到 A 的筛选器列表（1）单击“IP 筛选器列表”选项卡，然后单击“添加”。 （2）为筛选器列表键入相应的名称，单击“使用添加向导”复选框，将其清除，然后单击“添加”。 （3）在“源地址”框中，单击“一个特定的 IP 子网”，然后键入 B 的“IP 地址”和“子网掩码”。 （4）在“目标地址”框中，单击“一个

7、特定的 IP 子网”，然后键入 A 的“IP 地址”和“子网掩码”。 （5）单击“镜像”复选框，将其清除。 （6）如果要为筛选器键入说明，请单击“说明”选项卡。 最后单击“确定”。 4为 A 到 B 隧道配置规则（1）单击“IP 筛选器列表”选项卡，然后单击创建的筛选器列表，将其选中。 （2）单击“隧道设置”选项卡，单击“隧道终结点由此 IP 地址指定”框，然后键入ip（此处的ip是分配给非 Microsoft 网关外部网络适配器的 IP 地址）。 （3）单击“连接类型”选项卡，单击“所有网络连接”（如果不是 ISDN、PPP 或直连串行连接，则单击“局域网 (LAN)”）。 （4）单击“筛选

8、器操作”选项卡，单击“使用添加向导”复选框，将其清除，然后单击“添加”以创建新的筛选器操作，因为默认操作允许明文形式的传入通信流。（5）保持“协商安全”选项为启用状态，单击“接受不安全的通讯，但总是用 IPSec 响应”复选框，将其清除。只有这样做才能确保安全操作。任务实施及方法技巧注意：不应选中“筛选器操作”对话框底部的任何复选框作为应用到隧道规则的筛选器操作的初始配置。如果隧道的另一端也配置为使用“完全向前保密”(PFS)，则只有“使用会话密钥完全向前保密 (PFS)”复选框是有效的隧道设置。 （6）单击“添加”，保持“完整性和加密”选项为选中状态（或者，如果要定义特定的算法和会话密钥寿命

9、，则可选择“自定义（专家用户）”选项）。“封装式安全措施负载”(ESP) 是两个 IPSec 协议之一。 （7）单击“确定”。单击“常规”选项卡，键入新筛选器操作的名称（例如 IPSec tunnel:ESP DES/MD5），然后单击“确定”。 （8）单击刚创建的筛选器操作，将其选中。 （9）单击“身份验证方法”选项卡，配置所需的身份验证方法（如果为了进行测试，则使用“预共享密钥”，否则使用“证书”）。如果隧道的两个终结点都在受信任域中，并且在隧道的 IKE 协商期间（在建立隧道前），隧道的两个终结点都可以访问网络上每个受信任域的 IP 地址（域控制器的 IP 地址），那么从技术上说，Ker

10、beros 是可行的。不过这种情况很少见。最后单击“关闭”。任务实施及方法技巧5为 B 到 A 隧道配置规则（1）在 IPSec 策略属性中，单击“添加”以创建新规则。 （2）单击“IP 筛选器列表”选项卡，单击您创建的筛选器列表（从 B 到 A），将其选中。 （3）单击“隧道设置”选项卡，单击“隧道终结点由此 IP 地址指定”框，然后键入 IP（此处的IP是分配给 Windows Server 2003 网关外部网络适配器的 IP 地址）。 （4）单击“连接类型”选项卡，单击“所有网络连接”（如果不是 ISDN、PPP 或直连串行连接，则单击“局域网 (LAN)”）。与筛选器匹配的接口类型上

11、的所有出站通信流都将尝试通过隧道传输到在规则中指定的隧道终结点。与筛选器匹配的入站通信流将被丢弃，因为它的接收应受到 IPSec 隧道的安全保护。 （5）单击“筛选器操作”选项卡，然后单击创建的筛选器操作，将其选中。 （6）单击“身份验证方法”选项卡，然后配置在第一个规则中使用的同一种方法（两个规则中必须使用相同的方法）。 （7）单击“确定”，确保您创建的这两个规则在策略中都已启用，然后再次单击“确定”。 6将新的 IPSec 策略指派 在“本地计算机 MMC”管理单元上的“IP 安全策略”中，右键单击新策略，然后单击“指定”。该策略旁边的文件夹图标中将出现一个绿色箭头。任务检查与评价点对点通

12、信结构VPN连接的测试 可以这样来启动隧道：从 A 上的计算机向 B 上的计算机（或从 B 向 A）发出 ping 命令。如果正确地创建了筛选器并指派了正确的策略，这两个网关将建立一条 IPSec 隧道，以便通过 ping 命令以加密格式发送 ICMP 通信流。即使 ping 命令能够执行，也应当确认 ICMP 通信流在这两个网关之间是否以加密格式发送。可以使用以下工具实现这一点。如利用Sniffer软件对数据包进行分析。任务检查与评价理解VPN技术原理、优势及分类，以及常用的隧道协议（上网进行查询更多关于隧道协议及VPN技术），这个工作任务建议是由课内完成的，要求达到的目标是：能够理解VPN及隧道技术，并能在WINDOWS下进行VPN连接的配置，并能进行正确的检查。任务2.4-知识技能要点测评表序号测评要点具体目标测评权重1知识理解理解VPN及隧道技术，知道隧道技术的应用，熟悉常用VPN技术。202工具及软件使用能正确配置WINDOWS