配置IPSec安全策略

要配置IPSec的安全策略，首先要了解IP筛选器，IP筛选器里可以定义一系列的操作，对数据进行控制。我们以下面的例子进行说明：新建一个名为“拒绝WEB服务”的安全策略，阻止IP地址为192.168.0.2的客户端对本机的WEB页面进行访问。

说明：本实验在windows sever2003环境下完成。

一、新建IP筛选器。

打开控制面板——管理工具——本地安全策略——选中“IP安全策略，在本地计算机”。

可以看到，默认已经有三个安全策略了，这是系统自定义的，可以右键点击它们进行编辑并指派。注意，没有指派的策略是不工作的，而且有且只有一个策略可以被指派。

言归正传，我们现在在右边空白处点右键，选择“管理IP筛选器表和筛选器操作”。

添加一个IP筛选器，命名为“拒绝WEB服务”。

到此，筛选器的创建已经完成了。

二、IPSec策略的创建。

同样，在空白处点击右键，选择“创建IP安全策略”。

“指定IP安全规则的隧道终结点”各选项的含义如下。

如果想要禁用该规则的隧道，则选择“此规则不指定IPSec隧道”单选按钮。

如果想对特定隧道终结点使用隧道通信，则选择“隧道终点由下列IP地址指定”单选按钮，并输入隧道终点的IP地址。

【说明】因为无法为隧道通信镜像筛选器，所以必须配置两个规则，一个规则用于出站通信，另一个规则用于进站通信。对于出站通信规则，隧道终点是在隧道另一端的计算机的IP地址。对于进站通信规则，隧道终点是本地计算机上所配置的IP地址。

“选择网络类型”选项各项含义如下。

选择“所有网络连接”单选按钮，可以将此规则应用到在该计算机中创建的所有网络连接。

选择“局域网（LAN）”单选按钮，可以将此规则应用到在该计算机中创建的所有LAN 连接。

选择“远程访问”单选按钮，可以将此规则应用到在该计算机中创建的所有远程或拨号连接。

上图中的筛选器，都是可以编辑的，可以在选中之后，点击“编辑”对其属性进行查看或者更改，也可以点击“添加”新建自己需要筛选器。

许可：允许以纯文本方式接收或发送数据包，不要求对这些数据包提供安全措施。

阻止：丢弃数据包，不要求对这些数据包提供安全措施。

协商安全：可使用“安全措施首选顺序”中的安全措施列表为数据包提供安全性，这些数据包的安全请求将被接受。

点击“确定”后，IPSec策略就设置完成了。我们需要到“本地安全策略”里面指派它，它就能工作了。

这里我们对常规选项卡进行一下研究，这里不是实验内容，但是了解一下对于IPSec的学习是很有必要的。

IKE是密钥交换技术，可以点击“方法”选择期望的方法。

三、指派策略。

四、实验调试。

为了看看我们的实验成果，我们来调试一下。首先，我在服务器端的IIS里新建了一个网站，并且利用DNS对齐进行了主机绑定，域名为https://www.sodocs.net/doc/8013696828.html, 下面是服务器端与客户端的IP地址配置。

服务器端

客户端

首先，我们不指派策略，然后在客户端的IE浏览器里，输入https://www.sodocs.net/doc/8013696828.html, 回车，看看能不能打开网站。实验证明，是可以的：