【文章內(nèi)容簡介】 全措施首選的順序 圖 19 確保選中新添加的篩選器操作項 在 安全措施 標簽頁還有三個選項： ●接受不安全的通信，但總是用 IPSec 響應 ：接受由其它計算機初始化的不受保護的通信，但在本機應答或初始化時總是使用安全的通信。 ●允許和不支持 IPSec 的計算機進行不安全的通信 ：允許來自或到其它計算機的不受保護的通信。 ●會話密鑰完全向前保密 ： 確保會話密鑰和密鑰材料不被重復使用。 需要注意的是，當以上內(nèi)容設置結束回到 篩選器操作 標簽頁后，必須選中剛才添加的新篩選器操作項，如圖 19 所示。 3）身份驗證方法 身份驗證方法定義向每一位用戶保證其他的計算機或用戶的身份的方法。如圖 20 所示。每一種身份驗證方法提供必要的手段來保證身份。 WINDOWS2020 支持三種身份驗證方法：Kerberos 協(xié)議、使用證書和使用預共享的密鑰。如圖 21 所示。 圖 20 身份驗證方法標簽頁 圖 21 身份驗證方法屬性對話框 4）隧道設置 如圖 22 所示，當只與特定的計算機交 換通信并且知道該計算機的 IP 地址時，選擇 隧道終點由此 IP 地址指定 并輸入目標計算機的 IP 地址。 圖 22 隧道設置標簽頁 圖 23 連接類型標簽頁 5）連接類型 為每一個規(guī)則指定的連接類型可以決定計算機的連接（網(wǎng)卡或調(diào)制解調(diào)器）是否接受 IPSec 策略的影響。每一個規(guī)則擁有一種連接類型，此類型指定規(guī)則是否應用到 LAN 連接、遠程訪問連接或所有的網(wǎng)絡連接上。如圖 23 所示。 （ 9）新創(chuàng)建的 IP 安全策略的屬性對話框還有一個 常規(guī) 標簽頁，如圖 24 所示。這里可以輸入新 IP 安全策略的名稱和描述，更改 檢查策略更改時間 （輸入因該策略的 變化而對 Active Directory 進行輪詢的頻率）。 圖 24 IP 安全策略屬性 的 常規(guī) 標簽頁 圖 25 密鑰交換設置 對話框 此外還可單擊 高級 按鈕，在 密鑰交換設置 對話框中對密鑰交換進行高級設置，如圖25 所示。其中： ●主密鑰完全前向保密 ：選擇保證沒有重用以前使用的密鑰材料或密鑰來生成其它主密鑰。 ●身份驗證和生成新密鑰間隔（ A） ：確定在其后將生成新密鑰的時間間隔。 ●身份驗證和生成新密鑰間隔（ U） ：限制主密鑰可以被當作會話密鑰的密鑰材料來重新使用的次數(shù)。（如果已經(jīng)啟用了 主密鑰 完全前向保密 ，則會忽略該參數(shù)。） ●保護身份的方法：單擊 方法 按鈕，在彈出的 密鑰交換安全措施 對話框中安全措施首選順序以及 IKE 安全算法細節(jié)作出選擇，如圖 26 所示。其中包括： ■完整性算法： MD5 或 SHA1。 ■加密算法： 3DES 或 DES。 ■DiffieHellman 小組：選擇作為將來密鑰基礎的 DiffieHellman 小組 ： ◆ 使用 低 （ DiffieHellman 小組 1）來為 96 位的密鑰提供密鑰材料。 ◆ 使用 中 （ DiffieHellman 小組 2）來為 128 位的密鑰（更強）提供密鑰材料。 圖 26 密鑰交換安全措施 對話框 圖 27 指派一種策略 （ 10）最后，需要在新建立的 IP 安全策略上單擊鼠標右鍵并選擇 指派 使改 IP 安全策略啟用。如圖 27 所示。注意：一次只能指派一種策略。 2 IP 安全策略管理 通過右擊 IP 安全策略，在本地機器 ，選擇 管理 IP 篩選器表和篩選器操作 可以對已制定的 IP 安全策略進行修改。如圖 28 所示，其中各種選項前面都已經(jīng)介紹，在此不再贅述。 圖 28 管理 IP 篩選器表和篩選器操作 對話框 IPSec 原理與實踐 3－ IPSec 配置實踐 (圖 ) 在前文的敘述中，我們介紹了 IPSec 的原理以及工作步驟。下面，我們以實驗的形式對其前面的 IPSec 理論進行檢驗。通過下面的實驗，我們可以：深入理解 IPSec 的實現(xiàn)原理、驗證IPSec 相關理論、掌握 IPSec 的配置及診斷技巧和方法。 1．準備 工作 準備兩臺運行 Windows 2020 Server操作系統(tǒng)的服務器，并按圖 1所示進行連接、配置相應 IP 地址。 圖 1 實踐拓撲結構圖 2．配置 HOST A 的 IPSec （ 1）建立新的 IPSec 策略 1）選擇 開始 |程序 | 管理 工具 |本地安全策略 菜單，打開 本地安全設置 對話框。 2）右擊 IP 安全策略，在本地機器 ，選擇 創(chuàng)建 IP 安全策略 ，當出現(xiàn)向導時單擊 下一步 繼續(xù)。 3）為新的 IP 安全策略命名并填寫策略描述，單擊 下一步 繼續(xù)。 4）通過選擇 激活默認響應規(guī)則 復選框接受默認值，單擊 下一步 繼續(xù)。 5）接受默認的選項 Windows 2020 默認值 Kerberos V5作為默認響應規(guī)則身份驗證方法，單擊 下一步 繼續(xù)。 6）保留 編輯屬性 的選擇，單擊 完成 按鈕完成 IPSec 的初步配置。 （ 2）添加新規(guī)則 在不選擇 使用 39。添加向導 39。的情況下單擊 添加 按鈕。出現(xiàn) 新規(guī)則屬性 對話框。 （ 3）添加新過濾器 1）單擊 添加 按鈕，出現(xiàn) IP 篩選器列表 對話框。 2）為新的 IP 篩選器列表命名并填寫描述，在不選擇 使用 39。添加向導 39。的情況下單擊 添加 按鈕。出現(xiàn) 篩選器屬性 對話框。 3）單擊 尋址 標簽，將 源地址 改為 一個特定的 IP 地址 并輸入 HOST A的 IP 地址。將 目標地址 改為 一個特定的 IP 地址 并輸入 HOST B 的 IP 地址。保留默認選擇 鏡像 復選框。 4）單擊 協(xié)議 標簽，選擇 協(xié)議類型 為 ICMP。 5）單擊 確定 回到 IP 篩選器列表 對話框。觀察新添加的篩選器列表。 6）單擊 關閉 回到 新規(guī)則屬性 對話框。 7）通過單擊新添加的過濾器旁邊的單選按鈕激活新設置的過濾器。 （ 4）規(guī)定過濾器動作 1）單擊 新規(guī)則屬性 對話框中的 篩選器操作 標簽。 2）在不選擇 使用 39。添加向導 39。的情況下單擊 添加 按鈕。出現(xiàn) 新 篩選器操作屬性 對話框。 3）選擇 協(xié)商安全 單選框。 4）單擊 添加 按鈕選擇安全方法。 5）選擇 中（ AH） ，單擊 確定 回到 新篩選器操作屬性 對話框。 6）單擊 關閉 回到 新規(guī)則屬性 對話框。 7）確保不選擇 允許和不支持 IPSec 的計算機進行不安全的通信 ，單擊 確定 回到 篩選器操作 對話框。 8）通過單擊新添加的篩選器操作旁邊的單選按鈕激活新設置的篩選器操作。 （ 5）設置身份驗證方法 1）單擊 新規(guī)則屬性 對話 框中的 身份驗證方法 標簽。 2）單擊 添加 按鈕，出現(xiàn) 新身份驗證方法屬性 對話框。 3）選擇 此字串用來保護密鑰交換（預共享密鑰） 單選框，并輸入預共享密鑰子串ABC。 4）單擊 確定 按鈕回到 身份驗證方法 標簽。 5）單擊 上移 按鈕使 預先共享的密鑰 成為首選。 （ 6）設置 隧道設置 1）單擊 新規(guī)則屬性 對話框中的 隧道設置 標簽。 2）選擇 此規(guī)則不指定 IPSec 隧道 。 （ 7）設置 連接類型 1）單擊 新規(guī)則屬性 對話框中的 連接類型 標簽。 2）選擇 所有網(wǎng)絡連接 。 3）單擊 確定 按鈕回到 新 IP 安全策略屬性 對話框。 4）單擊 關閉 按鈕關閉 新 IP 安全策略屬性 對話框回到 本地安全策略 設置。 3．配置 HOST B 的 IPSec 仿照前面對 HOST A的配置對 HOST B 的 IPSec 進行配置。 4．測試 IPSec （ 1）不激活 HOST A、 HOST B 的 IPSec 進行測試。 1）確保不激活 HOST A、 HOST B 的 IPSec。 2）在 HOST A執(zhí)行命令 PING ，注意觀察屏幕提示。 3）在 HOST B 執(zhí)行命令 PING ，注意觀察屏幕提示。 （ 2）激活一方的 IPSec 進行測試 1）在 HOST A新建立的 IP 安全策略上單擊鼠標右鍵并選擇 指派 ， 激活該 IP 安全策略。 2）在 HOST A執(zhí)行命令 PING ，注意觀察屏幕提示。 3）在 HOST B 執(zhí)行命令 PING ，注意 觀察屏幕提示。 （ 3）激活雙方的 IPSec 進行測試 1）在 HOST A執(zhí)行命令 PING t ，注意觀察屏幕提示。 2）在 HOST B新建立的 IP 安全策略上單擊鼠標右鍵并選擇 指派 ， 激活該 IP 安全策略。 3）觀察 HOST A、 HOST B 間的安全協(xié)商過程。 服務器安全之 IPSEC：易忽視的防火墻一 如果問網(wǎng)絡管理員如何有效的保障服務器和網(wǎng)絡安全的話，恐怕有百分之九十的人會回答 ——更新補丁，在本地計算機安裝防火墻。確實如此，這兩個措施是最有 效提高安全的方法，對于更新補丁我們只需要把 windows 操作系統(tǒng)自帶的自動更新功能啟用即可，相應的在本地計算機安裝防火墻并配置合適的安全策略則變得有些難度。瑞星，江民等國內(nèi)防火墻防護效果欠佳，而國外的 norton 和卡巴斯基等又占用過多的系統(tǒng)資源。如何選擇一款適合自己的防火墻變成一件困難的事。 也許有人聽說過 windows 系統(tǒng)在 XP SP2 和 WINDOWS 2020中內(nèi)置了一個防火墻，但是該防火墻功能略顯不足。而今天筆者要為各位 IT168 讀者介紹的也是 windows 系統(tǒng)中存在的可提供給我們免費使用的 防火墻，他不同于往常我們所說的那個內(nèi)置防火墻，但是他卻可以提供更好的安全策略。他就是本文介紹的主角 ——ipsec。 一、 IPSEC 基本概念： IPSEC 在建立 VPN 過程中使用頻率比較高，然而很多人都忽略了其包含的一個小組件——IP FILTER。 IP Filter，是包含于 IP Security(IPSec)中的，是 Windows 2K 以后新加入的技術。工作原理很簡單，當接收到一個 IP 數(shù)據(jù)包時， ip filter 使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時， ip filter 就按照該規(guī)則制定的方法對接收到的 IP 數(shù)據(jù)包進行處理。 這里的處理工作只有兩種：丟棄或轉發(fā)。 如上所說， ip filter 只是 IPSec的一部分功能而已。對于不在 domain 中的個人用戶， IPSec 的數(shù)據(jù)加密是用不到的。所以本文主要是介紹如何用 IP Filter 構建防火墻，實現(xiàn)常用防火墻的部分功能。 二、用 IP Filter當防火墻的準備工作： 由于 IP Filter 屬于 IPSec 的一部分，所以在使用及配置 IP Filter 前需要保證 IPSEC 服務的正常運行。我們可以通過任務欄 的 ―開始 運行 ‖，輸入 。在服務設置窗口中找到名為 ipsec services 的服務，保證他是 ―啟動 ‖的。（如圖 1）如果該服務沒有啟動，我們需要雙擊其名稱，點 ―啟動 ‖按鈕手動啟動該服務，然后還需要把其啟動方式設置為 ―自動 ‖，這樣才能保證下面設置好的 IP Filter 防火墻過濾信息可以隨系統(tǒng)啟動而啟動，從而保證對數(shù)據(jù)包的過濾功能生效。（如圖 2） 圖 1 點擊看大圖 圖 2 小提示：如果你在服務名稱中沒有找到 ipsec services 服務也不要著急，該項服務可以在 Windows 2020 全系列 /XP Pro/.Net Server中找到，而在 XP HOME中是不