.配置IPsec协议 准备工作 准备两台运行Windows 2000 Server操作系统的服务器,进行连接、配置相应IP地址。 配置HOST A的IPSec (1)建立新的IPSec策略 1)选择"开始"|"程序"| "管理工具"|"本地
安全策略"菜单,打开"本地安全设置"
对话框。 2)右击"IP安全策略,在本地机器",选择"创建IP安全策略",当出现向导时
单击"下一步"继续。 3)为新的IP安全策略命名并填写策略描述,单击"下一步"继续。 4)通过选择"激活默认响应规则"复选框接受默认值,单击"下一步"继续。 5)接受默认的选项"Windows 2000 默认值Kerberos V5"作为默认响应规则身份验证方法,单击"下一步"继续。 6)保留"编辑属性"的选择,单击"完成"按钮完成IPSec的初步配置。 (2)添加新规则 在不选择"使用'添加向导'"的情况下单击"添加"按钮。出现"新规则属性"对话框。 3)添加新过滤器 1)单击"添加"按钮,出现 "IP筛选器列表"对话框。 2)为新的IP筛选器列表命名并填写描述,在不选择"使用'添加向导'"的情况下单击"添加"按钮。出现"筛选器属性"对话框。 3)单击"寻址"标签,将"源地址"改为"一个特定的IP地址"并输入HOST A的IP地址。将"目标地址"改为"一个特定的IP地址"并输入HOST B的IP地址。保留默认选择"镜像"复选框。 4)单击"协议" 标签,选择"协议类型"为ICMP。 5)单击"确定"回到"IP筛选器列表"对话框。观察新添加的筛选器列表。 6)单击"关闭"回到"新规则属性"对话框。 7)通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。 (4)规定过滤器动作 1)单击"新规则属性"对话框中的"筛选器操作"标签。 2)在不选择"使用'添加向导'"的情况下单击"添加"按钮。出现"新筛选器操作属性"对话框。 3)选择"协商安全"单选框。 4)单击"添加"按钮选择安全方法。 5)选择"中(AH)",单击"确定"回到"新筛选器操作属性"对话框。 6)单击"关闭"回到"新规则属性"对话框。 7)确保不选择"允许和不支持IPSec的计算机进行不安全的通信",单击"确定"回到"筛选器操作"对话框。 8)通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。 (5)设置身份验证方法 1)单击"新规则属性"对话框中的"身份验证方法"标签。 2)单击"添加"按钮,出现"新身份验证方法属性"对话框。 3)选择"此字串用来保护密钥交换(预共享密钥)"单选框,并输入预共享密钥子串"ABC"。 4)单击"确定"按钮回到"身份验证方法"标签。 5)单击"上移"按钮使"预先共享的密钥"成为首选。 (6)设置"隧道设置" 1)单击"新规则属性"对话框中的"隧道设置"标签。 2)选择"此规则不指定IPSec隧道"。 (7)设置"连接类型" 1)单击"新规则属性"对话框中的"连接类型"标签。 2)选择"所有网络连接"。 3)单击"确定"按钮回到"新IP安全策略属性"对话框。 4)单击"关闭"按钮关闭"新IP安全策略属性"对话框回到"本地安全策略"设置。 配置HOST B的IPSec 仿照前面对HOST A的配置对HOST B的IPSec进行配置。 测试IPSec (1)不激活HOST A、HOST B的IPSec进行测试。 1)确保不激活HOST A、HOST B的IPSec。 2)在HOST A执行命令PING 192.168.0.2,注意观察屏幕提示。 3)在HOST B执行命令PING 192.168.0.1,注意观察屏幕提示。 (2)激活一方的IPSec进行测试 1)在HOST A新建立的IP安全策略上单击鼠标右键并选择"指派", 激活该IP安全策略。 2)在HOST A执行命令PING 192.168.0.2,注意观察屏幕提示。 3)在HOST B执行命令PING 192.168.0.1,注意观察屏幕提示。 (3)激活双方的IPSec进行测试 1)在HOST A执行命令PING 192.168.0.2 -t ,注意观察屏幕提示。 2)在HOST B新建立的IP安全策略上单击鼠标右键并选择"指派", 激活该IP安全策略。 3)观察HOST A、HOST B间的安全协商过程。IPSec 基于端对端的安全模式,在源 IP 和目标 IP 地址之间建立信任和安全性。考虑认为 IP 地址本身没有必要具有标识,但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全,因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换,否则仅从源向目标路由数据的计算机不要求支持 IPSec。该模式允许为下列企业方案成功部署 IPSec:
局域网 (LAN):客户端/服务器和对等网络
广域网 (WAN):路由器到路由器和网关到网关
远程访问:拨号客户机和从专用网络访问 Internet
通常,两端都需要 IPSec 配置(称为 IPSec 策略)来设置选项与安全设置,以允许两个系统对如何保护它们之间的通讯达成协议。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的业界标准。IPSec 相关服务部分是由 Microsoft 与 Cisco Systems, Inc. 共同开发的。
IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
Active Directory® 目录服务概念,包括 Active Directory 结构和工具操纵用户、组和其他 Active Directory 对象以及组策略的使用。
身份验证概念,包括使用 Kerberos V5 协议和公钥基础结构 (PKI)。
Microsoft Windows® 系统安全安全概念,如用户、组、审核和访问控制表 (ACL)使用安全模板相互身份验证概念标准名称解析方法和概念,如域名系统 (DNS) 和 Windows Internet 命名服务 (WINS)标准 Windows 诊断工具和故障排除概念以及使用组策略或命令行工具应用安全模板。
了解 TCP/IP 概念,包括子网布局、网络屏蔽和路由。 还需了解一些低级别的功能、协议和术语,如 Internet 控制消息协议 (ICMP)、地址解析协议 (ARP) 和最大传输单位 (MTU)。
了解安全风险管理规则。
注:Windows Server 2003 部署工具包的第 6 章“部署 IPsec”中所讨论的 IPsec 传输模式的某些方案当时未建议采用。 但是,Microsoft 本身已在其内部部署 IPsec 并同时提供了附加的指导,这意味着现在可以使用这些方案。
多播和广播通信流仍然无法使用 IPsec,但使用 IPsec 应该可以确保所有类型的单播 IP 通信流的安全。 每个客户都必须将在域或服务器隔离方案中部署 IPsec 的好处与成本、影响和其他权衡进行对照评估。 但 Microsoft 现在建议并支持按照本指南在客户网络上广泛使用 IPsec。
组织先决条件
规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见,他们可能需要参与隔离规划,包括扮演下列角色的人:
公司所有者
用户组代表
安全和审核人员
风险管理组
Active Directory 工程、管理和操作人员
DNS、Web 服务器以及网络工程、管理和操作人员
注:根据 IT 组织结构的不同,这些角色可能由几个不同的人担当,或有较少的人跨越几个角色。
服务器和域隔离项目的范围要求整个组都了解业务需求、技术问题、对用户的影响和整个项目过程。需要进行广泛输入时,有可担当此项目的主要联系人的资深人士是很有益的,如支持人员或在部署中会受影响的用户。在复杂项目中出现问题的两个主要原因是规划不好和通信差。
评论列表(0条)