實(shí)訓(xùn)指導(dǎo)242基于Windows實(shí)現(xiàn)VPN連接(本地安全策略for3389)課件

1、國(guó)家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)教學(xué)資源庫(kù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施學(xué)習(xí)情境2：實(shí)訓(xùn)任務(wù)2.4基于Windows實(shí)現(xiàn)VPN連接通過(guò)本地安全策略配置點(diǎn)對(duì)點(diǎn)隧道內(nèi)容介紹任務(wù)場(chǎng)景及描述1任務(wù)相關(guān)工具軟件介紹2任務(wù)設(shè)計(jì)、規(guī)劃3任務(wù)實(shí)施及方法技巧4任務(wù)檢查與評(píng)價(jià)5任務(wù)總結(jié)6任務(wù)場(chǎng)景及描述任務(wù)相關(guān)工具軟件介紹基于WINDOWS的本地安全策略配置點(diǎn)對(duì)點(diǎn)隧道：任務(wù)設(shè)計(jì)、規(guī)劃任務(wù)設(shè)計(jì)、規(guī)劃點(diǎn)對(duì)點(diǎn)通信結(jié)構(gòu)VPN的規(guī)劃與設(shè)計(jì)為了實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)的兩臺(tái)主機(jī)之間的安全通信，即單機(jī)到單機(jī)結(jié)構(gòu)中都采用WINDOWS系統(tǒng)時(shí)的VPN連接。規(guī)劃如下圖所示，配置A主機(jī)與B主機(jī)之間的數(shù)據(jù)采用安全的VPN進(jìn)行連接（IPSec的VPN）?；ヂ?lián)網(wǎng)

2、ISP總公司BA任務(wù)實(shí)施及方法技巧二、 點(diǎn)對(duì)點(diǎn)通信結(jié)構(gòu)VPN連接的配置 下面以?xún)膳_(tái)WINDOWS2003計(jì)算機(jī)為例進(jìn)行IPSec實(shí)驗(yàn)，在局域網(wǎng)中實(shí)現(xiàn)安全的通信，即采用加密等措施實(shí)現(xiàn)。兩臺(tái)處于同一局網(wǎng)中的計(jì)算機(jī)A和B（正常的VPN基于IPSec主要用于公網(wǎng)中安全通信，即保護(hù)數(shù)據(jù)在公共網(wǎng)絡(luò)上的傳輸），根據(jù)實(shí)驗(yàn)環(huán)境等條件，這里兩臺(tái)計(jì)算機(jī)處于同一網(wǎng)段，A的IP地址為10.1.34.201，B的IP地址為10.1.34.100。實(shí)驗(yàn)配置實(shí)現(xiàn)A與B的安全的ICMP通信，那對(duì)ICMP協(xié)議進(jìn)行VPN加密傳輸。配置如下：1創(chuàng)建 IPSec 策略 通常，Windows Server 2003 網(wǎng)關(guān)不是域成員，因此

3、需要?jiǎng)?chuàng)建本地 IPSec 策略。如果 Windows Server 2003 網(wǎng)關(guān)是域成員，該域默認(rèn)會(huì)將 IPSec 策略應(yīng)用到域內(nèi)的所有成員，這樣，Windows Server 2003 網(wǎng)關(guān)就不能有本地 IPSec 策略。在此情況下，可以在 Active Directory 中創(chuàng)建一個(gè)組織單位，使 Windows Server 2003 網(wǎng)關(guān)成為該組織單位的成員，并將 IPSec 策略指派到該組織單位的“組策略對(duì)象”(GPO)。（1）單擊“開(kāi)始”，“運(yùn)行”，然后鍵入 secpol.msc 以啟動(dòng)“IP 安全策略管理”管理單元。 （2）右鍵單擊“本地計(jì)算機(jī)上的 IP 安全策略”，然后單擊“創(chuàng)

4、建 IP 安全策略”。 （3）單擊“下一步”，然后鍵入策略的名稱(chēng)（例如 IPSec Tunnel with non-Microsoft Gateway）。單擊“下一步”。注意：您也可以在“說(shuō)明”框中鍵入信息。 （4）單擊清除“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選框，然后單擊“下一步”。 （5）單擊“完成”（讓“編輯”復(fù)選框保持選中狀態(tài)）。任務(wù)實(shí)施及方法技巧注意：IPSec 策略是使用 IKE 主模式的默認(rèn)設(shè)置創(chuàng)建的。IPSec 隧道由兩個(gè)規(guī)則組成。每個(gè)規(guī)則指定一個(gè)隧道終結(jié)點(diǎn)。因?yàn)橛袃蓚€(gè)隧道終結(jié)點(diǎn)，所以就有兩個(gè)規(guī)則。每個(gè)規(guī)則中的篩選器必須代表發(fā)送到此規(guī)則的隧道終結(jié)點(diǎn)的 IP 數(shù)據(jù)包中的源和目標(biāo) IP 地址。任

5、務(wù)實(shí)施及方法技巧2建立從 A 到 B 的篩選器列表（1）在新策略屬性中，單擊“使用添加向?qū)А睆?fù)選框，將其清除，然后單擊“添加”以創(chuàng)建新規(guī)則。 （2）單擊“IP 篩選器列表”選項(xiàng)卡，然后單擊“添加”。如圖所示。 （3）為篩選器列表鍵入相應(yīng)的名稱(chēng)，單擊“使用添加向?qū)А睆?fù)選框，將其清除，然后單擊“添加”。 （4）在“源地址”框中，單擊“一個(gè)特定的 IP 子網(wǎng)”，然后鍵入 A 的“IP 地址”和“子網(wǎng)掩碼”。 （5）在“目標(biāo)地址”框中，單擊“一個(gè)特定的 IP 子網(wǎng)”，然后鍵入 B 的“IP 地址”和“子網(wǎng)掩碼”。 （6）單擊“鏡像”復(fù)選框，將其清除。 （7）單擊“協(xié)議”選項(xiàng)卡。一定要將“協(xié)議類(lèi)型”設(shè)置

6、為“任何”，因?yàn)?IPSec 隧道不支持協(xié)議或端口特定的篩選器。 （8）如果要為篩選器鍵入說(shuō)明，請(qǐng)單擊“說(shuō)明”選項(xiàng)卡。通常，為篩選器和篩選器列表指定相同的名稱(chēng)不失為一個(gè)良策。當(dāng)隧道為活動(dòng)狀態(tài)時(shí)，篩選器名稱(chēng)顯示在 IPSec 監(jiān)視器中。 （9）單擊“確定”。 任務(wù)實(shí)施及方法技巧3建立從 B 到 A 的篩選器列表（1）單擊“IP 篩選器列表”選項(xiàng)卡，然后單擊“添加”。 （2）為篩選器列表鍵入相應(yīng)的名稱(chēng)，單擊“使用添加向?qū)А睆?fù)選框，將其清除，然后單擊“添加”。 （3）在“源地址”框中，單擊“一個(gè)特定的 IP 子網(wǎng)”，然后鍵入 B 的“IP 地址”和“子網(wǎng)掩碼”。 （4）在“目標(biāo)地址”框中，單擊“一個(gè)

7、特定的 IP 子網(wǎng)”，然后鍵入 A 的“IP 地址”和“子網(wǎng)掩碼”。 （5）單擊“鏡像”復(fù)選框，將其清除。 （6）如果要為篩選器鍵入說(shuō)明，請(qǐng)單擊“說(shuō)明”選項(xiàng)卡。 最后單擊“確定”。 4為 A 到 B 隧道配置規(guī)則（1）單擊“IP 篩選器列表”選項(xiàng)卡，然后單擊創(chuàng)建的篩選器列表，將其選中。 （2）單擊“隧道設(shè)置”選項(xiàng)卡，單擊“隧道終結(jié)點(diǎn)由此 IP 地址指定”框，然后鍵入ip（此處的ip是分配給非 Microsoft 網(wǎng)關(guān)外部網(wǎng)絡(luò)適配器的 IP 地址）。 （3）單擊“連接類(lèi)型”選項(xiàng)卡，單擊“所有網(wǎng)絡(luò)連接”（如果不是 ISDN、PPP 或直連串行連接，則單擊“局域網(wǎng) (LAN)”）。 （4）單擊“篩選

8、器操作”選項(xiàng)卡，單擊“使用添加向?qū)А睆?fù)選框，將其清除，然后單擊“添加”以創(chuàng)建新的篩選器操作，因?yàn)槟J(rèn)操作允許明文形式的傳入通信流。（5）保持“協(xié)商安全”選項(xiàng)為啟用狀態(tài)，單擊“接受不安全的通訊，但總是用 IPSec 響應(yīng)”復(fù)選框，將其清除。只有這樣做才能確保安全操作。任務(wù)實(shí)施及方法技巧注意：不應(yīng)選中“篩選器操作”對(duì)話(huà)框底部的任何復(fù)選框作為應(yīng)用到隧道規(guī)則的篩選器操作的初始配置。如果隧道的另一端也配置為使用“完全向前保密”(PFS)，則只有“使用會(huì)話(huà)密鑰完全向前保密 (PFS)”復(fù)選框是有效的隧道設(shè)置。 （6）單擊“添加”，保持“完整性和加密”選項(xiàng)為選中狀態(tài)（或者，如果要定義特定的算法和會(huì)話(huà)密鑰壽命

9、，則可選擇“自定義（專(zhuān)家用戶(hù)）”選項(xiàng)）?！胺庋b式安全措施負(fù)載”(ESP) 是兩個(gè) IPSec 協(xié)議之一。 （7）單擊“確定”。單擊“常規(guī)”選項(xiàng)卡，鍵入新篩選器操作的名稱(chēng)（例如 IPSec tunnel:ESP DES/MD5），然后單擊“確定”。 （8）單擊剛創(chuàng)建的篩選器操作，將其選中。 （9）單擊“身份驗(yàn)證方法”選項(xiàng)卡，配置所需的身份驗(yàn)證方法（如果為了進(jìn)行測(cè)試，則使用“預(yù)共享密鑰”，否則使用“證書(shū)”）。如果隧道的兩個(gè)終結(jié)點(diǎn)都在受信任域中，并且在隧道的 IKE 協(xié)商期間（在建立隧道前），隧道的兩個(gè)終結(jié)點(diǎn)都可以訪(fǎng)問(wèn)網(wǎng)絡(luò)上每個(gè)受信任域的 IP 地址（域控制器的 IP 地址），那么從技術(shù)上說(shuō)，Ker

10、beros 是可行的。不過(guò)這種情況很少見(jiàn)。最后單擊“關(guān)閉”。任務(wù)實(shí)施及方法技巧5為 B 到 A 隧道配置規(guī)則（1）在 IPSec 策略屬性中，單擊“添加”以創(chuàng)建新規(guī)則。 （2）單擊“IP 篩選器列表”選項(xiàng)卡，單擊您創(chuàng)建的篩選器列表（從 B 到 A），將其選中。 （3）單擊“隧道設(shè)置”選項(xiàng)卡，單擊“隧道終結(jié)點(diǎn)由此 IP 地址指定”框，然后鍵入 IP（此處的IP是分配給 Windows Server 2003 網(wǎng)關(guān)外部網(wǎng)絡(luò)適配器的 IP 地址）。 （4）單擊“連接類(lèi)型”選項(xiàng)卡，單擊“所有網(wǎng)絡(luò)連接”（如果不是 ISDN、PPP 或直連串行連接，則單擊“局域網(wǎng) (LAN)”）。與篩選器匹配的接口類(lèi)型上

11、的所有出站通信流都將嘗試通過(guò)隧道傳輸?shù)皆谝?guī)則中指定的隧道終結(jié)點(diǎn)。與篩選器匹配的入站通信流將被丟棄，因?yàn)樗慕邮諔?yīng)受到 IPSec 隧道的安全保護(hù)。 （5）單擊“篩選器操作”選項(xiàng)卡，然后單擊創(chuàng)建的篩選器操作，將其選中。 （6）單擊“身份驗(yàn)證方法”選項(xiàng)卡，然后配置在第一個(gè)規(guī)則中使用的同一種方法（兩個(gè)規(guī)則中必須使用相同的方法）。 （7）單擊“確定”，確保您創(chuàng)建的這兩個(gè)規(guī)則在策略中都已啟用，然后再次單擊“確定”。 6將新的 IPSec 策略指派 在“本地計(jì)算機(jī) MMC”管理單元上的“IP 安全策略”中，右鍵單擊新策略，然后單擊“指定”。該策略旁邊的文件夾圖標(biāo)中將出現(xiàn)一個(gè)綠色箭頭。任務(wù)檢查與評(píng)價(jià)點(diǎn)對(duì)點(diǎn)通

12、信結(jié)構(gòu)VPN連接的測(cè)試 可以這樣來(lái)啟動(dòng)隧道：從 A 上的計(jì)算機(jī)向 B 上的計(jì)算機(jī)（或從 B 向 A）發(fā)出 ping 命令。如果正確地創(chuàng)建了篩選器并指派了正確的策略，這兩個(gè)網(wǎng)關(guān)將建立一條 IPSec 隧道，以便通過(guò) ping 命令以加密格式發(fā)送 ICMP 通信流。即使 ping 命令能夠執(zhí)行，也應(yīng)當(dāng)確認(rèn) ICMP 通信流在這兩個(gè)網(wǎng)關(guān)之間是否以加密格式發(fā)送?？梢允褂靡韵鹿ぞ邔?shí)現(xiàn)這一點(diǎn)。如利用Sniffer軟件對(duì)數(shù)據(jù)包進(jìn)行分析。任務(wù)檢查與評(píng)價(jià)理解VPN技術(shù)原理、優(yōu)勢(shì)及分類(lèi)，以及常用的隧道協(xié)議（上網(wǎng)進(jìn)行查詢(xún)更多關(guān)于隧道協(xié)議及VPN技術(shù)），這個(gè)工作任務(wù)建議是由課內(nèi)完成的，要求達(dá)到的目標(biāo)是：能夠理解VPN及隧道技術(shù)，并能在WINDOWS下進(jìn)行VPN連接的配置，并能進(jìn)行正確的檢查。任務(wù)2.4-知識(shí)技能要點(diǎn)測(cè)評(píng)表序號(hào)測(cè)評(píng)要點(diǎn)具體目標(biāo)測(cè)評(píng)權(quán)重1知識(shí)理解理解VPN及隧道技術(shù)，知道隧道技術(shù)的應(yīng)用，熟悉常用VPN技術(shù)。202工具及軟件使用能正確配置WINDOWS