要配置IPSec的安全策略,首先要了解IP筛选器,IP筛选器里可以定义一系列的操作,对数据进行控制。我们以下面的例子进行说明:新建一个名为“拒绝WEB服务”的安全策略,阻止IP地址为192.168.0.2的客户端对本机的WEB页面进行访问。说明:本实验在windowssever2003环境下完成。一、新建IP筛选器。打开控制面板——管理工具——本地安全策略——选中“IP安全策略,在本地计算机”。可以看到,默认已经有三个安全策略了,这是系统自定义的,可以右键点击它们进行编辑并指派。注意,没有指派的策略是不工作的,而且有且只有一个策略可以被指派。言归正传,我们现在在右边空白处点右键,选择“管理IP筛选器表和筛选器操作”。添加一个IP筛选器,命名为“拒绝WEB服务”。到此,筛选器的创建已经完成了。二、IPSec策略的创建。同样,在空白处点击右键,选择“创建IP安全策略”。“指定IP安全规则的隧道终结点”各选项的含义如下。如果想要禁用该规则的隧道,则选择“此规则不指定IPSec隧道”单选按钮。如果想对特定隧道终结点使用隧道通信,则选择“隧道终点由下列IP地址指定”单选按钮,并输入隧道终点的IP地址。【说明】因为无法为隧道通信镜像筛选器,所以必须配置两个规则,一个规则用于出站通信,另一个规则用于进站通信。对于出站通信规则,隧道终点是在隧道另一端的计算机的IP地址。对于进站通信规则,隧道终点是本地计算机上所配置的IP地址。“选择网络类型”选项各项含义如下。选择“所有网络连接”单选按钮,可以将此规则应用到在该计算机中创建的所有网络连接。选择“局域网(LAN)”单选按钮,可以将此规则应用到在该计算机中创建的所有LAN连接。选择“远程访问”单选按钮,可以将此规则应用到在该计算机中创建的所有远程或拨号连接。上图中的筛选器,都是可以编辑的,可以在选中之后,点击“编辑”对其属性进行查看或者更改,也可以点击“添加”新建自己需要筛选器。许可:允许以纯文本方式接收或发送数据包,不要求对这些数据包提供安全措施。阻止:丢弃数据包,不要求对这些数据包提供安全措施。协商安全:可使用“安全措施首选顺序”中的安全措施列表为数据包提供安全性,这些数据包的安全请求将被接受。点击“确定”后,IPSec策略就设置完成了。我们需要到“本地安全策略”里面指派它,它就能工作了。这里我们对常规选项卡进行一下研究,这里不是实验内容,但是了解一下对于IPSec的学习是很有必要的。IKE是密钥交换技术,可以点击“方法”选择期望的方法。三、指派策略。四、实验调试。为了看看我们的实验成果,我们来调试一下。首先,我在服务器端的IIS里新建了一个网站,并且利用DNS对齐进行了主机绑定,域名为地址配置。服务器端客户端首先,我们不指派策略,然后在客户端的IE浏览器里,输入回车,看看能不能打开网站。实验证明,是可以的:现在指派策略,再看一次。已经打不开了,说明我们实验成功了。以上实验已经完成了,大家可以自己参考了做一些自己想做的实验,争取到达自己预期的效果。我也是在摸索中完成的该实验,有什么不对的地方,请大家指证和包含,谢谢!