【正文】 本上運行算法來獲得固定長度的Hash 值，但不能從 Hash 過程中獲得最初的文本。（例如，質(zhì)詢握手身份驗證協(xié)議 （ CHAP）通過使用 MD5來協(xié)商一種加密身份驗證的安全形式。它可以像正常簽名一樣用于認證，但它也可以用做與簽名相關(guān)的信息完整性的認證。它提供了一個記錄用戶和設(shè)備公開密鑰的集中存放點。 IKE 是一種在 ISAKMP 框架下運行的協(xié)議。使用 Kerberos V5，通過網(wǎng)絡(luò)線路所發(fā)送的密碼將經(jīng)過加密而不作為純文本進行發(fā)送。使 用 IPSec，可以確信在 IP 報文上沒有發(fā)生任何變化。 IPSec 建立在終端到終端的模式上，這意味著只有識別 IPSec 的計算機才能作為發(fā)送和接收計算機。如果配置為只封裝 IP 數(shù)據(jù)報中上層協(xié)議信息，那么它就工作在傳輸模式（ Transportation Mode）。 例如，使用 計算機 A的 Alice 將數(shù)據(jù)發(fā)送給使用計算機 B 的 Bob。因為 ESP 提供機密性，所以數(shù)據(jù)被加密。 表 1 IPSec 安全報頭的特征 IPSec 中的安全關(guān)聯(lián) 除了 IPSec 報頭之外，在安全的數(shù)據(jù)被交換之前，兩臺計 算機之間必須先建立一個契約。例如：可以在兩臺主機之間為 TCP 建立獨立的 SA，并在同樣兩臺機器之間建立另一條支持 UDP 的 SA。 ISAKMP 集中了安全關(guān)聯(lián)管理，減少了連接時間。 ●DiffieHellman 組。 （ 1）打開 IPSec 配置對話框 選擇 開始 |程序 | 管理工具 |本地安全策略 菜單，打開 本地安全設(shè)置 對話框。如圖 3 所示。如圖 7 所示。在這里我們可以對新規(guī)則的各項屬性進行設(shè)置。 ●描述 ：對新篩選器作出簡單描述。出現(xiàn)如圖 15 所示的 新篩選器操作 屬性 對話框。 ESP 不提供 IP 報頭（地址）的完整性。 ◆ 安全散列算法 (SHA1)，產(chǎn)生 160 位的密鑰。 可以添加多個安全措施，并通過 上移 、 下移 按鈕指定和另一計算機協(xié)商時采取的安全措施首選的順序。每一種身份驗證方法提供必要的手段來保證身份。這里可以輸入新 IP 安全策略的名稱和描述，更改 檢查策略更改時間 （輸入因該策略的 變化而對 Active Directory 進行輪詢的頻率）。 ■加密算法： 3DES 或 DES。 圖 28 管理 IP 篩選器表和篩選器操作 對話框 IPSec 原理與實踐 3－ IPSec 配置實踐 (圖 ) 在前文的敘述中，我們介紹了 IPSec 的原理以及工作步驟。 5）接受默認的選項 Windows 2020 默認值 Kerberos V5作為默認響應(yīng)規(guī)則身份驗證方法，單擊 下一步 繼續(xù)。添加向?qū)?39。觀察新添加的篩選器列表。 3）選擇 協(xié)商安全 單選框。 3）選擇 此字串用來保護密鑰交換（預(yù)共享密鑰） 單選框，并輸入預(yù)共享密鑰子串ABC。 4）單擊 關(guān)閉 按鈕關(guān)閉 新 IP 安全策略屬性 對話框回到 本地安全策略 設(shè)置。 3）在 HOST B 執(zhí)行命令 PING ，注意 觀察屏幕提示。 也許有人聽說過 windows 系統(tǒng)在 XP SP2 和 WINDOWS 2020中內(nèi)置了一個防火墻，但是該防火墻功能略顯不足。 如上所說， ip filter 只是 IPSec的一部分功能而已。所以說沒有找到該服務(wù)是因為你的系統(tǒng)不合乎要求，只能放棄了。（如圖 5） 圖 5 第四步：在添加獨立管理單元選項中找到 ―IP 安全策略管理 ‖，點 ―添加 ‖按鈕進行添加。我們可以通過 ―添加 ‖按鈕加新的規(guī)則。設(shè)置完后點 ―下一步 ‖繼續(xù)。由于這些規(guī)則都是在同一個篩選器中，所以規(guī)則可以同時生效。（如圖 21） 圖 21 點擊看大圖 （ 2）單防火墻也要多策略： 可能有的讀者使用的是筆記本，經(jīng)常在家中和公司場合交替使用，如何讓 IP Filter 單過濾系統(tǒng)擁有多策略呢？也就是說在家中使用一套過濾方案，在公司使用另一套過濾方案。（如圖 23） 圖 23 點擊看大圖 總結(jié)： 可能有的讀者會問到 IPSec中的 IP Filter 有什么優(yōu)勢呢？實際上還有一個利用 IP Filter的方法，桌面上右擊網(wǎng)上鄰居 屬性 右擊任意一塊網(wǎng)卡 屬性 TCP/IP高級 選項TCP/IP 過濾，這里有三個過濾器，分別為： TCP 端口、 UDP 端口和 IP 協(xié)議。從 IP 的角度來看， NAT 對 IP 的低層進行了修改，對 IP 是一種背叛；而從應(yīng)用的角度來看，網(wǎng)絡(luò)管理人員必須要處理網(wǎng)絡(luò)地址的問題， NAT 使用戶可以采取多種方式把自己的網(wǎng)絡(luò)和主機對外部公共網(wǎng)絡(luò)隱藏起來，是一種好的工具，現(xiàn)在，無論是大企業(yè)還是中小企業(yè)都在使用它。 NAT 設(shè)備維護一個狀態(tài)表，用來把非法的 IP 地址映射到合法的 IP 地址上去。 動態(tài)地址 NAT 只是轉(zhuǎn)換 IP 地址，它為每一個內(nèi)部的 IP 地址分配一個臨時的外部 IP 地址，主要應(yīng)用于撥號，對于頻繁的遠程聯(lián)接也可以采用動態(tài) NAT。這樣， ISP 甚至不需要支持 NAPT，就可以做到多個內(nèi)部 IP 地址共用一個外部 IP 地址上Inter，雖然這樣會導致信道的一定擁塞，但考慮到節(jié)省的 ISP 上網(wǎng)費用和易管理的特點，用 NAPT 還是很值得的。通過使用數(shù)字證明和自動認證設(shè)備，來驗證兩個來回發(fā)送信息的用戶身份。隧道模式中 IPsec將原有的 IP 分組封裝成帶有新的 IP 報頭的 IPsec 分組，這樣原有的 IP 分組就被有效地隱藏起來了。對 IPv4 和 IPv6， ESP 信頭都列在其它 IP 信頭后面。在隧道模式的 ESP 情況下， TCP/UDP 報頭是不可見的，因此不能被用于進行內(nèi)外地址的轉(zhuǎn)換，而此時靜態(tài) NAT 和 ESP IPsec可以一起工作，因為只有 IP 地址要進行轉(zhuǎn)換，對高層協(xié)議沒有影響。 NAPT 設(shè)備將這一對 SPI 數(shù)字映射到 NAT 內(nèi)的相關(guān)的 VPN終端。但這里筆者還是要提醒大家，使用 IPSec 安全策略 ―防 Ping‖，還是要慎用。應(yīng)用此方法 ―防 Ping‖不需要進行復(fù)雜的設(shè)置，只要你正確配置好防火墻內(nèi)置的 ―防 Ping‖規(guī)則，就可以輕松實現(xiàn) ―防 Ping‖的目的。大家都知道， ―路由和遠程訪問 ‖組件內(nèi)置了路由表管理、 VPN 服務(wù)、 IP 報文過濾等功能，默認情況下， Windows Server 2020系統(tǒng)并沒有啟用路由和遠程訪問服務(wù)，所以要 首先手工啟用它。 ＩＰＳｅｃ 是ＩＥＴＦ（因特網(wǎng)工程任務(wù)組）于１９９８年１１月公布的ＩＰ安全標準，目標是為ＩＰｖ４和ＩＰｖ６提供具有較強的互操作能力、高質(zhì)量和基于密碼的安全。 在這個ＶＰＮ中，每一個具有ＩＰｓｅｃ的路由器都是一個網(wǎng)絡(luò)聚合點，試圖對ＶＰＮ進行通信分析將會失敗。ＩＰＳｅｃ可連續(xù)或遞歸應(yīng)用，在路由器、防火墻、主機和通信鏈路上配置，實現(xiàn)端到端安全、虛擬專用網(wǎng)絡(luò)（ＶＰＮ）和安全隧道技術(shù)。 以上筆者介紹了幾種不同的 ―防 Ping‖方法，分別適用于不同的網(wǎng)絡(luò)環(huán)境，如果你感興趣的話，不妨試試。這樣瑞星個人網(wǎng)絡(luò)防火墻就可以過濾掉， Ping命令所使用的名為 ―Echo Request‖的 ICMP 報文了，而別的有用的 ICMP 報文則可以安全通過。但 IPSec 安全策略防 Ping時采用格殺勿論的方法，把所有的 ICMP 報文全部過濾掉，特別是很多有用的其它格式的報文也同時被過濾掉了。 IPSec 安全策略 防 Ping 還是要慎用 眾所周知， Ping命令是一個非常有用的網(wǎng)絡(luò)命令，大家常用它來測試網(wǎng)絡(luò)連通情況。為了使 NAPT 正常工作，必須保證內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間轉(zhuǎn)換的源端口號是惟一的。建立 IPSec 的兩個或者更多系統(tǒng)之間可以使用其他轉(zhuǎn)換方式。 AH 應(yīng)用得很少，它要校驗源地址和目的地址這些標明發(fā)送設(shè)備的字段是否在路由過程中被改變過，如果校驗沒通過，分組就會被拋棄。這既允許實現(xiàn)安全性，又沒有花什么錢對每臺計算機進行改造。 IPsec 生成一個標準平臺，來開發(fā)安全網(wǎng)絡(luò)和兩臺機器之間的電子隧道。NAPT 與動態(tài)地址 NAT 不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的 IP 地址上，同時在該地址上加上一個由 NAT 設(shè)備選定的 TCP 端口號。其中靜態(tài) NAT 設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址?？墒牵瑢τ诙鄶?shù)情況來說并沒有多余的路由器來執(zhí)行這一功能，因此，要解決兩者共存的問題，就必須對 IPsec 和 NAT 有一定的了解。 IPSec 和 NAT 工作模式的沖突和解決辦法 現(xiàn)在，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)地址轉(zhuǎn)換的應(yīng)用已經(jīng)十分廣泛。如何快速解決此問題呢？一個一個的刪除過濾規(guī)則是可以的，但是太麻煩了。 這時我們在通過本機訪問 網(wǎng)站時就會收到失敗的回應(yīng)消息。因此系統(tǒng)會首先查看本地 DNS 緩存，讀取緩存中對應(yīng)的 IP 地址進行過濾。可供我們選擇的有 ―一個特定的 IP 子網(wǎng)絡(luò) ‖（一個區(qū)域包括網(wǎng)絡(luò)號和子網(wǎng)掩碼）， ―一個特定的 IP 地 址 ‖（一個地址）， ―一個特定的 DNS 名稱 ‖（對域名進行過濾，即使他的 IP 是變化的）， ―任何 IP 地址 ‖（所有 IP 地址）， ―我的 IP 地址 ‖（本機 IP 地址）。（如圖 8） 圖 8 點擊看 大圖 第七步：在 ―IP 安全策略，在本地計算機 ‖上點鼠標右鍵選擇 ―管理 IP 篩選器表和篩選器操作 ‖開始配置我們的防火墻策略。 第一步：通過任務(wù)欄的 ―開始 運行 ‖輸入 MMC，啟動管理單元控制臺窗口。我們可以通過任務(wù)欄 的 ―開始 運行 ‖，輸入 。 IP Filter，是包含于 IP Security(IPSec)中的，是 Windows 2K 以后新加入的技術(shù)。 服務(wù)器安全之 IPSEC：易忽視的防火墻一 如果問網(wǎng)絡(luò)管理員如何有效的保障服務(wù)器和網(wǎng)絡(luò)安全的話，恐怕有百分之九十的人會回答 ——更新補丁，在本地計算機安裝防火墻。 2）在 HOST A執(zhí)行命令 PING ，注意觀察屏幕提示。 2）選擇 此規(guī)則不指定 IPSec 隧道 。 7）確保不選擇 允許和不支持 IPSec 的計算機進行不安全的通信 ，單擊 確定 回到 篩選器操作 對話框。 2）在不選擇 使用 39。將 目標地址 改為 一個特定的 IP 地址 并輸入 HOST B 的 IP 地址。的情況下單擊 添加 按鈕。 圖 1 實踐拓撲結(jié)構(gòu)圖 2．配置 HOST A 的 IPSec （ 1）建立新的 IPSec 策略 1）選擇 開始 |程序 | 管理 工具 |本地安全策略 菜單，打開 本地安全設(shè)置 對話框。如圖 27 所示。 ●身份驗證和生成新密鑰間隔（ U） ：限制主密鑰可以被當作會話密鑰的密鑰材料來重新使用的次數(shù)。 圖 22 隧道設(shè)置標簽頁 圖 23 連接類型標簽頁 5）連接類型 為每一個規(guī)則指定的連接類型可以決定計算機的連接（網(wǎng)卡或調(diào)制解調(diào)器）是否接受 IPSec 策略的影響。 ●會話密鑰完全向前保密 ： 確保會話密鑰和密鑰材料不被重復(fù)使用。 ◆ DES 只使用 56位密鑰，用于不需要很高的安全性和 3DES 開銷的情況下，或者出于互通性考慮。這適合于安全計劃需要標準的安全級別時。除此之外，如果選擇 協(xié)商安全 還可以對允許的通信進行進一步的安全設(shè)置。如圖 14 所示。添加向?qū)?39。這里，我們在不選擇 使用 39。如圖 5所示。如果想要修改系統(tǒng)預(yù)定義的策略細節(jié)，可以右擊相應(yīng)的策略并選擇 屬性 進行修改。這意味著，如果出現(xiàn)了一個新的算法，它可以不作明顯改動地合成進 IPSec 標準中。這包括： ●IPSec協(xié)議： AH、 ESP。 圖 6 安全關(guān)聯(lián)（ SA） 注意每個 SA 可以使用不同的安全協(xié)議。 SA可以看成是兩個 IPSec 對等端之間的一條安全隧道，可以為不同類型的流量創(chuàng)建獨立的 SA。 圖 5 ESP 報文格式 在上圖中， IP 和 ESP 報頭封裝了最終的源和目的間的數(shù)據(jù)包。 圖 4 AH 報文格式 封裝安全負載 封裝安全負載（ Encapaulating Security Payload， ESP）除了身份驗證、完整性和防止重發(fā)外，還提供機密性。 認證報頭 認證報頭（ Authenticatio