网络安全—IPSec安全策略

使用Windows Server 2003系统

网络拓扑

• client1
  IP = 192.168.17.105
• client2
  IP = 192.168.17.106

只要保证两个主机在同一网段接口，即互相ping通即可完成策略的实现

---

下面的所有通讯都只是互相ping地址观察数据包是否实现了安全策略。

---

添加策略

ESP

添加筛选器

• 点击本地安全策略
  

• 双击安全服务器
  

• 添加
  

• 点击下一步来到这里，依旧是默认第一个，然后点击下一步
  

• 下一步
  

• 点击添加IP筛选器
  

• 写好名称和描述方便辨认（然后点击添加）

• 下一步即可
  
  

• 由于上面说过我使用client2来ping另一部，所以我这里目的IP地址就是对方的105
  

• 下一步，选择ICMP，因为我们是通过ping的方式进行传输数据包。
  
  完成
  

• 点击确定
  

• 选中我们添加好的新的IP筛选
  

添加筛选器的操作

• 依旧选择添加新的筛选器操作
  
  继续下一步，写上名称和描述信息方便辨认
  

• 下一步
  
  

• 选择完整性和加密，加密的就是ESP协议，AH是仅保证完整性
  

• 一直下一步完成即可，然后勾选上我刚刚添加的筛选器操作即可下一步
  

• 这里选择共享密码，设置一个双方都知道的密码，也就是说我们待会设置另一个主机的时候，来到这里的密码要设置一样的
  

• 记得将其他默认勾选的都去掉，只剩下我们自己的就行，点击应用即可
  

• 然后指派安全服务器策略
  

另一台主机设置

一样的设置，一定要一样，名称和描述可以不同，还有密码一定要设置一样的。不同的就是写目的IP地址是不同的。

---

另一台主机设置完成后，回到client主机，打开抓包软件，然后ping通client1，发现全是ESP协议包，分析可知道ESP协议号是50，完美！

AH

添加过程同理
下面将会介绍一些不同的细节，在ESP部分也讲过。
选择仅数据完整性，因为AH不提供加密服务

完成后，双方仅仅指派AH协议的筛选器

• 排错：假设你没有ping通，那么很可能就是你没有选AH的仅仅保证完整性而是选择了加密。

  • 选择你刚刚添加的AH，点击编辑选项
    
  • 选择筛选器操作，然后选择你的AH操作，然后编辑
    
  • 点击AH然后编辑
    
  • 为了保险起见，我们自己定义AH，取消ESP，记住现在是选择了MD5算法，待会另一台设置的时候也是要这样设置回来MD5，然后其他就没问题了，直接指派即可。
    

• 如果还错误就是密码不一样，来到身份验证，然后选择编辑即可
  

  • 全部搞定后记得选择AH，然后应用，最后指派任务。

• 成功ping通，找到数据包的协议号为51，就是AH协议号，完美！