利用IPSec協(xié)議，在兩臺獨(dú)立的主機(jī)之間傳輸數(shù)據(jù)，可以使用預(yù)共享密鑰（Preshared Key）的驗(yàn)證方法。這里使用兩臺Windows Server 2008 R2主機(jī)，其IP分別為192.168.1.10和192.168.1.20。首先需要保證兩者可以正常通信，可以使用PING命令，來相互檢測連通性。如果PING失敗的話，可以在高級安全Windows防火墻窗口左側(cè)選擇“入站規(guī)則”項(xiàng)，在規(guī)則列表中選擇“回顯請求-ICMPv4-In”之類的項(xiàng)目，點(diǎn)擊右側(cè)的“啟用規(guī)則”連接。

圖1 選擇安全規(guī)則類型

在某臺主機(jī)上打開高級安全Windows防火墻窗口，點(diǎn)擊左側(cè)的“連接安全規(guī)則”項(xiàng)，在右側(cè)點(diǎn)擊“新建規(guī)則”連接，在彈出窗口中選擇“隔離”項(xiàng)，點(diǎn)擊下一步按鈕，如果選擇“入站和出站請求身份驗(yàn)證”項(xiàng)（如圖1所示），表示數(shù)據(jù)的進(jìn)出都會請求對方采用IPSec，如果對方?jīng)]有提供IPSec功能導(dǎo)致協(xié)商失敗的話，就采用普通的連接方式。如果選擇“入站連接要求身份驗(yàn)證，出站連接請求身份驗(yàn)證”項(xiàng)，表示接收數(shù)據(jù)必須采用IPSec，否則拒絕連接。出站連接會請求對方采用IPSec，如果與對方協(xié)商失敗，就采用一般的連接方式。選擇“入站和出站要求身份驗(yàn)證”項(xiàng)，表示無論出站和入站連接，都必須才采用IPSec，否則的話拒絕連接。

在下一步窗口中選擇“高級”項(xiàng)，點(diǎn)擊“自定義”按鈕，在彈出窗口中的“第一身份驗(yàn)證”欄中點(diǎn)擊“添加”按鈕，在打開窗口（如圖2所示）中選擇“預(yù)共享密鑰”項(xiàng)，輸入所需的密鑰。

當(dāng)然，在對方主機(jī)上也必須按照同樣的方法，設(shè)置相同的密鑰值。

圖3 防火墻屬性設(shè)置窗口

在上述向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，在配置文件窗口中選擇本機(jī)何時應(yīng)用該規(guī)則。如果選擇“域”項(xiàng)，表示當(dāng)本機(jī)連接到網(wǎng)絡(luò)時，如果能夠與域控制器通信，就應(yīng)用此規(guī)則。如果選擇“專用”項(xiàng)，表示當(dāng)本機(jī)連接到專用網(wǎng)絡(luò)時，如果無法與域控制器通信或者該機(jī)是非域成員，就應(yīng)用此規(guī)則。如果選擇“公用”項(xiàng)，表示本機(jī)連接到公用網(wǎng)絡(luò)時應(yīng)用此規(guī)則。在下一步窗口中輸入本規(guī)則的名稱和描述信息，點(diǎn)擊“完成”按鈕，執(zhí)行該規(guī)則的創(chuàng)建操作。

如果在另外一臺主機(jī)上沒有配置同樣的IPSec規(guī)則，那么當(dāng)其試圖與本機(jī)通訊時，就會遭到本機(jī)的拒絕。因此，需要在另外一臺主機(jī)上執(zhí)行上述操作，創(chuàng)建同樣的連接安全規(guī)則，這樣，就可以在兩臺主機(jī)之間安全傳輸數(shù)據(jù)了。在此期間，在任意主機(jī)上的高級安全Windows防火墻窗口左側(cè)選擇“監(jiān)視”-“安全關(guān)聯(lián)”-“主模式”或者“快速模式”項(xiàng)，就可以在監(jiān)控界面中查看加密傳輸參數(shù)了，包括本機(jī)地址、遠(yuǎn)程地址、本地端口、遠(yuǎn)程端口、協(xié)議、AH完整性、ESP完整性、ESP加密等信息。

如果想更改IPSec默認(rèn)值的話，可以在窗口左側(cè)的“本地計(jì)算機(jī)”節(jié)點(diǎn)右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口（如圖3所示）中的“IPSec 免除”欄中的“從IPSec免除ICMP”列表中選擇“是”項(xiàng)，可以讓PING操作不受IPSec影響直接進(jìn)行探測操作。在“IPSec設(shè)置”面板中的“IPSec默認(rèn)值”欄中點(diǎn)擊“自定義”按鈕，在打開窗口中可以對密鑰交換、數(shù)據(jù)保護(hù)、身份驗(yàn)證方法等欄中點(diǎn)擊對應(yīng)的“自定義”按鈕，對這些參數(shù)進(jìn)行自定義設(shè)置。