计算机网络安全技术（第7版）（微课版） 实验手册---Windows防火墙IPsec配置的.pdf

Windows防火墙IPsec配置

IPSec(Internet协议安全)是一个工业标准网络安全协议，为IP网络通

信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络

攻击。IPSec有两个基本目标：一是保护IP数据包安全；二是为抵御网络攻击

提供防护措施。

IPSec结合密码保护服务、安全协议组和动态密钥管理三者来实现上述两

个目标，不仅能为企业局域网与拨号用户、域、网站、远程站点以及Extranet

之间的通信提供强有力且灵活的保护，而且还能用来筛选特定数据流。IPSec

是基于一种端-对-端的安全模式。这种模式有一个基本前提假设，就是假定数据

通信的传输媒介是不安全的，因此通信数据必须经过加密，而掌握加解密方法的

只有数据流的发送端和接收端，两者各自负责相应的数据加解密处理，而网络中

其他只负责转发数据的路由器或主机无须支持IPSec。

下面我们来创建一个基于Windows防火墙的IPSec隧道的安全连接规则。

Windows防火墙将防火墙规则和IPSec规则的设置已经进行了完善的集成，方

便IT管理人员进行设置。我们进入Windows防火墙的设置页面，点击左侧“高

级设置”按钮，进入高级防火墙设置页面后点击“连接安全规则”，然后点击右

上方的新建规则。

在新建连接安全规则向导页面选择“隧道”选项，然后点击“下一步”，我

们选择自定义配置选项，点击“下一步”；我们选择“不进行身份验证”，点击

下一步。在这里我们点击“添加”按钮，我们可以添加IP地址或IP地址范围，

也可以选择添加预定义计算机集。这里我们选择添加一台计算机，我们填写IP

地址，然后我们点击确定。我们在列表里可以进行编辑更改或删除的操作。然后

我们进行下一步，我们可以选择或者自定义相应的协议及端口，我们选择TCP

协议，终结点1端口选择特定端口445，然后点击下一步，我们选择该IPSec

隧道规则应用到哪个网络，然后点击下一步。最后我们给这个隧道起个名字叫

IPSec。完成后我们就可以在列表中看到我们刚才创建的隧道了。我们在这条规

则上点击右键查看属性信息，在界面中我们可以看到并且可以修改相应的名称，

远程计算机，协议和端口，身份验证以及其他信息。

我们刚才创建了一条简单的IPSec隧道，下面我们来讲解一下IPSec隧道

高级设置的相关内容。我们进入Windows防火墙的设置页面，点击左侧“高级设

置”按钮，进入高级防火墙设置页面后，点击右侧“属性”按钮，这时就弹出了

高级安全Windows防火墙设置页面。我们点击上面的IPSec标签按钮进入IPSec

设置。在这个页面中我们可以看到有三个配置选项，IPSec默认值、IPSec免

除和IPSec隧道授权。

我们先来讲解IPSec默认值的配置内容，我们点击“自定义”按钮，在默

认值配置页面中主要配置的是当使用IPSec进行活动连接时的一些加密及身份

验证的相关内容。我们依次点击“密钥交换”，“高级”选项中的“自定义”按

钮，我们可以选择相应的完整性算法、加密算法以及密钥交换算法。我们也可以

根据实际情况添加新的安全方法，我们点击“添加”按钮，在新的界面中依次选

择相关算法的内容。在一般情况下我们默认选择列表中较高位置的方法就可以

了。我们还可以定义密钥生存时间和会话数量来控制密钥的使用范围。

我们接下来介绍一下数据保护，我们依次点击数据保护设置的“高级”和“自

定义”按钮，我们在界面中可以看到数据保护的设置主要是防止数据在传输过程

中的完整性与数据的加密。我们可以选择列表中的数据完整性算法和加密算法，

原则上优先选择列表中最上方的相应算法。有时我们根据实际情况也可以添加新

的算法。我们点击数据完整性和加密算法列表下的“添加”按钮，在新的页面中

可以选择相应的协议，算法和密钥生存时间等相应选项。在选择或添加完成后我

们要在自定义数据保护设置页面中勾选“要求所有使用这些设置的连接安全规则

使用加密”的选项。

我们再来介绍一下IPSec身份验证的相关设置，在身份验证方法中系统提

供了除默认值外的三个KerberosV5身份验证方法，KerberosV5协议可验证请

求身份验证的用户标识以及提供请求的身份验证的服务器。这种双重验证也称为

相互身份验证。KerberosV5身份验证机制颁发用于访问网络服务的票证。这些

票证包含能够向请求的服务确认