在執(zhí)行以下指導(dǎo)步驟之前，確保您知道以下術(shù)語(yǔ)的含義：
身份驗(yàn)證：確定計(jì)算機(jī)的身份是否合法的過(guò)程。Windows 2000 IPSec 支持三種身份驗(yàn)證：Kerberos、證書和預(yù)共享密鑰。只有當(dāng)兩個(gè)終結(jié)點(diǎn)（計(jì)算機(jī)）都位于同一個(gè) Windows 2000 域時(shí)，Kerberos 身份驗(yàn)證才有效。這種類型的身份驗(yàn)證是首選方法。如果計(jì)算機(jī)位于不同的域中，或者至少有一臺(tái)計(jì)算機(jī)不在某個(gè)域中，則必須使用證書或預(yù)共享密鑰。只有當(dāng)每個(gè)終結(jié)點(diǎn)中包含一個(gè)由另一個(gè)終結(jié)點(diǎn)信任的頒發(fā)機(jī)構(gòu)簽署的證書時(shí)，證書才有效。預(yù)共享密鑰與密碼有著相同的問(wèn)題。它們不會(huì)在很長(zhǎng)的時(shí)間段內(nèi)保持機(jī)密性。如果終結(jié)點(diǎn)不在同一個(gè)域中，并且無(wú)法獲得證書，則預(yù)共享密鑰是唯一的身份驗(yàn)證選擇。

加密：使準(zhǔn)備在兩個(gè)終結(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)難以辨認(rèn)的過(guò)程。通過(guò)使用充分測(cè)試的算法，每個(gè)終結(jié)點(diǎn)都創(chuàng)建和交換密鑰。該過(guò)程確保只有這些終結(jié)點(diǎn)知道密鑰，而且如果任何密鑰交換序列被攔截，攔截者不會(huì)得到任何有價(jià)值的內(nèi)容。

篩選器：對(duì) Internet 協(xié)議 (IP) 地址和協(xié)議的描述，可觸發(fā) IPSec 安全關(guān)聯(lián)的建立。

篩選器操作：安全要求，可在通信與篩選器列表中的篩選器相匹配時(shí)啟用。

篩選器列表：篩選器的集合。

Internet 協(xié)議安全策略：規(guī)則集合，描述計(jì)算機(jī)之間的通訊是如何得到保護(hù)的。

規(guī)則：篩選器列表和篩選器操作之間的鏈接。當(dāng)通信與篩選器列表匹配時(shí)，可觸發(fā)相應(yīng)的篩選器操作。IPSec 策略可包含多個(gè)規(guī)則。

安全關(guān)聯(lián)：終結(jié)點(diǎn)為建立安全會(huì)話而協(xié)商的身份驗(yàn)證與加密方法的集合。

在 Microsoft 管理控制臺(tái)中查找 IPSec 通過(guò)使用 Microsoft 管理控制臺(tái) (MMC) 配置 IPSec。Windows 2000 在安裝過(guò)程中創(chuàng)建一個(gè)帶有 IPSec 管理單元的 MMC。若要查找 IPSec，請(qǐng)單擊開始，指向程序，單擊管理工具，然后單擊本地安全策略。在打開的 MMC 中的左窗格中，單擊本地計(jì)算機(jī)上的 IP 安全策略。MMC 將在右窗格中顯示現(xiàn)有的默認(rèn)策略。

更改 IP 地址、計(jì)算機(jī)名和用戶名為了此示例的目的，假設(shè) Alice 是一個(gè)計(jì)算機(jī)用戶，該計(jì)算機(jī)名為"Alicepc"、IP 地址為 172.16.98.231，Bob 的計(jì)算機(jī)名為"Bobslap"，IP 地址為 172.31.67.244。他們使用 Abczz 程序連接他們的計(jì)算機(jī)。

通過(guò)使用 Abczz 程序互相連接時(shí)，Alice 和 Bob 必須確保通信是被加密的。當(dāng) Abczz 建立其連接時(shí)，啟動(dòng)程序使用其本身上的隨機(jī)高端口并連接（出于本示例中的目的）到 6667/TCP 或 6668/TCP 端口上的目標(biāo)（其中，TCP 是"傳輸控制協(xié)議"的縮寫）。通常，這些端口用作 Internet 多線交談 (IRC)。因?yàn)?Alice 或 Bob 均可發(fā)起連接，所以該策略必須存在于兩端。

創(chuàng)建篩選器列表
通過(guò)在 MMC 控制臺(tái)中右鍵單擊 IP 安全策略，可訪問(wèn)用于創(chuàng)建 IPSec 策略的菜單。第一個(gè)菜單項(xiàng)是"創(chuàng)建 IP 安全策略"。盡管此菜單似乎是要開始的位置，但卻不應(yīng)從此位置開始。在可創(chuàng)建策略及其相關(guān)規(guī)則之前，您需要定義篩選器列表和篩選器操作，它們是任何 IPSec策略的必需組件。單擊管理 IP 篩選器表和篩選器操作開始工作。

將顯示帶有兩個(gè)選項(xiàng)卡的對(duì)話框：一個(gè)用于篩選器列表，另一個(gè)用于篩選器操作。首先，打開管理 IP 篩選器列表選項(xiàng)卡。已經(jīng)有兩個(gè)預(yù)先定義的篩選器列表，您不會(huì)使用它們。相反，您可以創(chuàng)建一個(gè)特定的篩選器列表，使其與要連接到的其他計(jì)算機(jī)對(duì)應(yīng)。

假設(shè)您在 Alice 的計(jì)算機(jī)上創(chuàng)建策略：
單擊添加創(chuàng)建新的篩選器列表。將該列表命名為"Abczz to Bob's PC"。

單擊添加添加新篩選器。將啟動(dòng)一個(gè)向?qū)А?

單擊我的 IP 地址作為源地址。

單擊一個(gè)特定的 IP 地址作為目標(biāo)地址，然后輸入 Bob 的計(jì)算機(jī)的 IP 地址 (172.31.67.244)。或者，如果 Bob 的計(jì)算機(jī)已在域名系統(tǒng) (DNS) 或 Windows Internet 名稱服務(wù) (WINS) 中注冊(cè)，則可選擇特定的 DNS 名，然后輸入 Bob 的計(jì)算機(jī)名，Bobslap。

Abczz 使用 TCP 進(jìn)行通訊，因此單擊 TCP 作為協(xié)議類型。

對(duì)于 IP 協(xié)議端口，單擊從任意端口。單擊到此端口，鍵入：6667，然后單擊完成完成該向?qū)А?

重復(fù)上述步驟，但這次鍵入：6668作為端口號(hào)，然后單擊關(guān)閉。

您的篩選器列表中包含兩個(gè)篩選器：一個(gè)在端口 6667 （屬于 Bob）上用于從 Alice 到 Bob 的通訊，另一個(gè)在端口 6668 （屬于 Bob）上。（Bob 在自己的計(jì)算機(jī)上設(shè)置了 6667 和6668 兩個(gè)端口：一個(gè)端口用于傳出的通訊，另一個(gè)用于傳入的通訊。）這些篩選器是鏡像的，每次創(chuàng)建 IPSec 篩選器時(shí)通常都需要如此。對(duì)于已鏡像的每個(gè)篩選器，該列表可包含（但不顯示）與其正好相反的篩選器（即目標(biāo)和源地址與其相反的篩選器）。如果沒(méi)有鏡像篩選器，IPSec 通訊通常不成功。