IPSec原理与实践2－配置步骤上(一组图)

上文我们介绍了IPSec的工作原理及其相关的基本概念和术语，在接下来的叙述中，我们将集中讨论IPSec的配置步骤。

1 IPSec基本配置步骤

前文中提到的AH和ESP报头中值得注意的一点是没有指明用来产生认证数据和负载数据的算法。可以使用一些不同的算法。这意味着，如果出现了一个新的算法，它可以不作明显改动地合成进IPSec标准中。目前，MD5和SHA是用来产生认证数据的两种算法。ESP加密算法包括DES，3DES，RC5和IDEA。下面讨论IPSec配置的步骤以及如何选取不同的算法。

（1）打开IPSec配置对话框

选择"开始"|"程序"| "管理工具"|"本地安全策略"菜单，打开"本地安全设置"对话框。单击以选择"IP安全策略：在本地机器"，如图1所示。

图1　 "本地安全设置"对话框

最初的窗口显示三种预定义的策略项：客户端、服务器、安全服务器。在每个预定义的策略的描述中详细解释了该策略的操作原则。如果想要修改系统预定义的策略细节，可以右击相应的策略并选择"属性"进行修改。

下面，我们将通过新建一个策略对各种策略的属性进行介绍。

（2）右击"IP安全策略，在本地机器"，选择"创建IP安全策略"，打开"安全策略向导"。单击"下一步"继续。如图2、3所示。

图2　 创建IP安全策略

图3　 安全策略向导

（3）在弹出的对话框中为新的IP安全策略命名并填写策略描述。如图4所示。

（4）单击"下一步"，接受对话框中"默认的响应"复选项，之后单击"下一步"。如图5所示。

图4　" 安全策略名称"对话框

图5　 "安全通讯请求"对话框

（5）接受默认的选项"Windows 2000 默认值Kerberos V5"作为默认响应规则身份验证方法，单击"下一步"继续。如图6所示。

（6）保留"编辑属性"的选择并单击"完成"按钮完成IPSec的初步配置。如图7所示。

图6　 设置身份验证方法

图7　完成IP安全策略向导

（7）完成初步配置后，将弹出新IP安全策略属性对话框。如图8所示。

图8　 IP安全策略属性对话框

图9　 "新规则属性"对话框

（8）接下来需要添加用户自己定义的"IP安全规则"。这里，我们在不选择"使用'添加向导'"情况下单击"添加"按钮。出现如图9所示的"新规则属性"对话框。在这里我们可以对新规则的各项属性进行设置。其中包括：

1）IP筛选列表

在"IP筛选列表"标签页上单击"添加"按钮打开"IP筛选器列表"对话框。如图10所示。

输入新IP筛选器列表的名称、描述信息并在不选择"使用'添加向导'"情况下单击"添加"按钮。新弹出的"筛选器属性"对话框如图11所示，包含三个标签页：

●"寻址"：可以对IP数据流的源地址、目标地址进行规定，如图11所示。

●"协议"：可以对数据流所使用的协议进行规定，如果选择了"TCP"或"UDP"协议还可以对源端和目的端使用的端口号作出规定，如图12所示。

●"描述"：对新筛选器作出简单描述。

图10　 "IP筛选器列表"对话框

　　图11　 "筛选器属性"对话框

图12　 "筛选器属性"-"协议" 标签页

图13　 确保选中新设置的"IP筛选器"

在完成对"筛选器属性"的设置后，要确保选中新设置的"IP筛选器"，如图13所示。

2）筛选器操作

"筛选器操作"标签页是整个IPSec设计的关键。它将对符合"IP筛选器"的数据流进行相应处理。如图14所示。这里，我们在不选择"使用'添加向导'"情况下单击"添加"按钮。出现如图15所示的"新筛选器操作 属性"对话框。