【文章內(nèi)容簡(jiǎn)介】 全措施首選的順序 圖 19 確保選中新添加的篩選器操作項(xiàng) 在 安全措施 標(biāo)簽頁還有三個(gè)選項(xiàng)： ●接受不安全的通信，但總是用 IPSec 響應(yīng) ：接受由其它計(jì)算機(jī)初始化的不受保護(hù)的通信，但在本機(jī)應(yīng)答或初始化時(shí)總是使用安全的通信。 ●允許和不支持 IPSec 的計(jì)算機(jī)進(jìn)行不安全的通信 ：允許來自或到其它計(jì)算機(jī)的不受保護(hù)的通信。 ●會(huì)話密鑰完全向前保密 ： 確保會(huì)話密鑰和密鑰材料不被重復(fù)使用。 需要注意的是，當(dāng)以上內(nèi)容設(shè)置結(jié)束回到 篩選器操作 標(biāo)簽頁后，必須選中剛才添加的新篩選器操作項(xiàng)，如圖 19 所示。 3）身份驗(yàn)證方法 身份驗(yàn)證方法定義向每一位用戶保證其他的計(jì)算機(jī)或用戶的身份的方法。如圖 20 所示。每一種身份驗(yàn)證方法提供必要的手段來保證身份。 WINDOWS2020 支持三種身份驗(yàn)證方法：Kerberos 協(xié)議、使用證書和使用預(yù)共享的密鑰。如圖 21 所示。 圖 20 身份驗(yàn)證方法標(biāo)簽頁 圖 21 身份驗(yàn)證方法屬性對(duì)話框 4）隧道設(shè)置 如圖 22 所示，當(dāng)只與特定的計(jì)算機(jī)交 換通信并且知道該計(jì)算機(jī)的 IP 地址時(shí)，選擇 隧道終點(diǎn)由此 IP 地址指定 并輸入目標(biāo)計(jì)算機(jī)的 IP 地址。 圖 22 隧道設(shè)置標(biāo)簽頁 圖 23 連接類型標(biāo)簽頁 5）連接類型 為每一個(gè)規(guī)則指定的連接類型可以決定計(jì)算機(jī)的連接（網(wǎng)卡或調(diào)制解調(diào)器）是否接受 IPSec 策略的影響。每一個(gè)規(guī)則擁有一種連接類型，此類型指定規(guī)則是否應(yīng)用到 LAN 連接、遠(yuǎn)程訪問連接或所有的網(wǎng)絡(luò)連接上。如圖 23 所示。 （ 9）新創(chuàng)建的 IP 安全策略的屬性對(duì)話框還有一個(gè) 常規(guī) 標(biāo)簽頁，如圖 24 所示。這里可以輸入新 IP 安全策略的名稱和描述，更改 檢查策略更改時(shí)間 （輸入因該策略的 變化而對(duì) Active Directory 進(jìn)行輪詢的頻率）。 圖 24 IP 安全策略屬性 的 常規(guī) 標(biāo)簽頁 圖 25 密鑰交換設(shè)置 對(duì)話框 此外還可單擊 高級(jí) 按鈕，在 密鑰交換設(shè)置 對(duì)話框中對(duì)密鑰交換進(jìn)行高級(jí)設(shè)置，如圖25 所示。其中： ●主密鑰完全前向保密 ：選擇保證沒有重用以前使用的密鑰材料或密鑰來生成其它主密鑰。 ●身份驗(yàn)證和生成新密鑰間隔（ A） ：確定在其后將生成新密鑰的時(shí)間間隔。 ●身份驗(yàn)證和生成新密鑰間隔（ U） ：限制主密鑰可以被當(dāng)作會(huì)話密鑰的密鑰材料來重新使用的次數(shù)。（如果已經(jīng)啟用了 主密鑰 完全前向保密 ，則會(huì)忽略該參數(shù)。） ●保護(hù)身份的方法：?jiǎn)螕?方法 按鈕，在彈出的 密鑰交換安全措施 對(duì)話框中安全措施首選順序以及 IKE 安全算法細(xì)節(jié)作出選擇，如圖 26 所示。其中包括： ■完整性算法： MD5 或 SHA1。 ■加密算法： 3DES 或 DES。 ■DiffieHellman 小組：選擇作為將來密鑰基礎(chǔ)的 DiffieHellman 小組 ： ◆ 使用 低 （ DiffieHellman 小組 1）來為 96 位的密鑰提供密鑰材料。 ◆ 使用 中 （ DiffieHellman 小組 2）來為 128 位的密鑰（更強(qiáng)）提供密鑰材料。 圖 26 密鑰交換安全措施 對(duì)話框 圖 27 指派一種策略 （ 10）最后，需要在新建立的 IP 安全策略上單擊鼠標(biāo)右鍵并選擇 指派 使改 IP 安全策略啟用。如圖 27 所示。注意：一次只能指派一種策略。 2 IP 安全策略管理 通過右擊 IP 安全策略，在本地機(jī)器 ，選擇 管理 IP 篩選器表和篩選器操作 可以對(duì)已制定的 IP 安全策略進(jìn)行修改。如圖 28 所示，其中各種選項(xiàng)前面都已經(jīng)介紹，在此不再贅述。 圖 28 管理 IP 篩選器表和篩選器操作 對(duì)話框 IPSec 原理與實(shí)踐 3－ IPSec 配置實(shí)踐 (圖 ) 在前文的敘述中，我們介紹了 IPSec 的原理以及工作步驟。下面，我們以實(shí)驗(yàn)的形式對(duì)其前面的 IPSec 理論進(jìn)行檢驗(yàn)。通過下面的實(shí)驗(yàn)，我們可以：深入理解 IPSec 的實(shí)現(xiàn)原理、驗(yàn)證IPSec 相關(guān)理論、掌握 IPSec 的配置及診斷技巧和方法。 1．準(zhǔn)備 工作 準(zhǔn)備兩臺(tái)運(yùn)行 Windows 2020 Server操作系統(tǒng)的服務(wù)器，并按圖 1所示進(jìn)行連接、配置相應(yīng) IP 地址。 圖 1 實(shí)踐拓?fù)浣Y(jié)構(gòu)圖 2．配置 HOST A 的 IPSec （ 1）建立新的 IPSec 策略 1）選擇 開始 |程序 | 管理 工具 |本地安全策略 菜單，打開 本地安全設(shè)置 對(duì)話框。 2）右擊 IP 安全策略，在本地機(jī)器 ，選擇 創(chuàng)建 IP 安全策略 ，當(dāng)出現(xiàn)向?qū)r(shí)單擊 下一步 繼續(xù)。 3）為新的 IP 安全策略命名并填寫策略描述，單擊 下一步 繼續(xù)。 4）通過選擇 激活默認(rèn)響應(yīng)規(guī)則 復(fù)選框接受默認(rèn)值，單擊 下一步 繼續(xù)。 5）接受默認(rèn)的選項(xiàng) Windows 2020 默認(rèn)值 Kerberos V5作為默認(rèn)響應(yīng)規(guī)則身份驗(yàn)證方法，單擊 下一步 繼續(xù)。 6）保留 編輯屬性 的選擇，單擊 完成 按鈕完成 IPSec 的初步配置。 （ 2）添加新規(guī)則 在不選擇 使用 39。添加向?qū)?39。的情況下單擊 添加 按鈕。出現(xiàn) 新規(guī)則屬性 對(duì)話框。 （ 3）添加新過濾器 1）單擊 添加 按鈕，出現(xiàn) IP 篩選器列表 對(duì)話框。 2）為新的 IP 篩選器列表命名并填寫描述，在不選擇 使用 39。添加向?qū)?39。的情況下單擊 添加 按鈕。出現(xiàn) 篩選器屬性 對(duì)話框。 3）單擊 尋址 標(biāo)簽，將 源地址 改為 一個(gè)特定的 IP 地址 并輸入 HOST A的 IP 地址。將 目標(biāo)地址 改為 一個(gè)特定的 IP 地址 并輸入 HOST B 的 IP 地址。保留默認(rèn)選擇 鏡像 復(fù)選框。 4）單擊 協(xié)議 標(biāo)簽，選擇 協(xié)議類型 為 ICMP。 5）單擊 確定 回到 IP 篩選器列表 對(duì)話框。觀察新添加的篩選器列表。 6）單擊 關(guān)閉 回到 新規(guī)則屬性 對(duì)話框。 7）通過單擊新添加的過濾器旁邊的單選按鈕激活新設(shè)置的過濾器。 （ 4）規(guī)定過濾器動(dòng)作 1）單擊 新規(guī)則屬性 對(duì)話框中的 篩選器操作 標(biāo)簽。 2）在不選擇 使用 39。添加向?qū)?39。的情況下單擊 添加 按鈕。出現(xiàn) 新 篩選器操作屬性 對(duì)話框。 3）選擇 協(xié)商安全 單選框。 4）單擊 添加 按鈕選擇安全方法。 5）選擇 中（ AH） ，單擊 確定 回到 新篩選器操作屬性 對(duì)話框。 6）單擊 關(guān)閉 回到 新規(guī)則屬性 對(duì)話框。 7）確保不選擇 允許和不支持 IPSec 的計(jì)算機(jī)進(jìn)行不安全的通信 ，單擊 確定 回到 篩選器操作 對(duì)話框。 8）通過單擊新添加的篩選器操作旁邊的單選按鈕激活新設(shè)置的篩選器操作。 （ 5）設(shè)置身份驗(yàn)證方法 1）單擊 新規(guī)則屬性 對(duì)話 框中的 身份驗(yàn)證方法 標(biāo)簽。 2）單擊 添加 按鈕，出現(xiàn) 新身份驗(yàn)證方法屬性 對(duì)話框。 3）選擇 此字串用來保護(hù)密鑰交換（預(yù)共享密鑰） 單選框，并輸入預(yù)共享密鑰子串ABC。 4）單擊 確定 按鈕回到 身份驗(yàn)證方法 標(biāo)簽。 5）單擊 上移 按鈕使 預(yù)先共享的密鑰 成為首選。 （ 6）設(shè)置 隧道設(shè)置 1）單擊 新規(guī)則屬性 對(duì)話框中的 隧道設(shè)置 標(biāo)簽。 2）選擇 此規(guī)則不指定 IPSec 隧道 。 （ 7）設(shè)置 連接類型 1）單擊 新規(guī)則屬性 對(duì)話框中的 連接類型 標(biāo)簽。 2）選擇 所有網(wǎng)絡(luò)連接 。 3）單擊 確定 按鈕回到 新 IP 安全策略屬性 對(duì)話框。 4）單擊 關(guān)閉 按鈕關(guān)閉 新 IP 安全策略屬性 對(duì)話框回到 本地安全策略 設(shè)置。 3．配置 HOST B 的 IPSec 仿照前面對(duì) HOST A的配置對(duì) HOST B 的 IPSec 進(jìn)行配置。 4．測(cè)試 IPSec （ 1）不激活 HOST A、 HOST B 的 IPSec 進(jìn)行測(cè)試。 1）確保不激活 HOST A、 HOST B 的 IPSec。 2）在 HOST A執(zhí)行命令 PING ，注意觀察屏幕提示。 3）在 HOST B 執(zhí)行命令 PING ，注意觀察屏幕提示。 （ 2）激活一方的 IPSec 進(jìn)行測(cè)試 1）在 HOST A新建立的 IP 安全策略上單擊鼠標(biāo)右鍵并選擇 指派 ， 激活該 IP 安全策略。 2）在 HOST A執(zhí)行命令 PING ，注意觀察屏幕提示。 3）在 HOST B 執(zhí)行命令 PING ，注意 觀察屏幕提示。 （ 3）激活雙方的 IPSec 進(jìn)行測(cè)試 1）在 HOST A執(zhí)行命令 PING t ，注意觀察屏幕提示。 2）在 HOST B新建立的 IP 安全策略上單擊鼠標(biāo)右鍵并選擇 指派 ， 激活該 IP 安全策略。 3）觀察 HOST A、 HOST B 間的安全協(xié)商過程。 服務(wù)器安全之 IPSEC：易忽視的防火墻一 如果問網(wǎng)絡(luò)管理員如何有效的保障服務(wù)器和網(wǎng)絡(luò)安全的話，恐怕有百分之九十的人會(huì)回答 ——更新補(bǔ)丁，在本地計(jì)算機(jī)安裝防火墻。確實(shí)如此，這兩個(gè)措施是最有 效提高安全的方法，對(duì)于更新補(bǔ)丁我們只需要把 windows 操作系統(tǒng)自帶的自動(dòng)更新功能啟用即可，相應(yīng)的在本地計(jì)算機(jī)安裝防火墻并配置合適的安全策略則變得有些難度。瑞星，江民等國(guó)內(nèi)防火墻防護(hù)效果欠佳，而國(guó)外的 norton 和卡巴斯基等又占用過多的系統(tǒng)資源。如何選擇一款適合自己的防火墻變成一件困難的事。 也許有人聽說過 windows 系統(tǒng)在 XP SP2 和 WINDOWS 2020中內(nèi)置了一個(gè)防火墻，但是該防火墻功能略顯不足。而今天筆者要為各位 IT168 讀者介紹的也是 windows 系統(tǒng)中存在的可提供給我們免費(fèi)使用的 防火墻，他不同于往常我們所說的那個(gè)內(nèi)置防火墻，但是他卻可以提供更好的安全策略。他就是本文介紹的主角 ——ipsec。 一、 IPSEC 基本概念： IPSEC 在建立 VPN 過程中使用頻率比較高，然而很多人都忽略了其包含的一個(gè)小組件——IP FILTER。 IP Filter，是包含于 IP Security(IPSec)中的，是 Windows 2K 以后新加入的技術(shù)。工作原理很簡(jiǎn)單，當(dāng)接收到一個(gè) IP 數(shù)據(jù)包時(shí)， ip filter 使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)， ip filter 就按照該規(guī)則制定的方法對(duì)接收到的 IP 數(shù)據(jù)包進(jìn)行處理。 這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。 如上所說， ip filter 只是 IPSec的一部分功能而已。對(duì)于不在 domain 中的個(gè)人用戶， IPSec 的數(shù)據(jù)加密是用不到的。所以本文主要是介紹如何用 IP Filter 構(gòu)建防火墻，實(shí)現(xiàn)常用防火墻的部分功能。 二、用 IP Filter當(dāng)防火墻的準(zhǔn)備工作： 由于 IP Filter 屬于 IPSec 的一部分，所以在使用及配置 IP Filter 前需要保證 IPSEC 服務(wù)的正常運(yùn)行。我們可以通過任務(wù)欄 的 ―開始 運(yùn)行 ‖，輸入 。在服務(wù)設(shè)置窗口中找到名為 ipsec services 的服務(wù)，保證他是 ―啟動(dòng) ‖的。（如圖 1）如果該服務(wù)沒有啟動(dòng)，我們需要雙擊其名稱，點(diǎn) ―啟動(dòng) ‖按鈕手動(dòng)啟動(dòng)該服務(wù)，然后還需要把其啟動(dòng)方式設(shè)置為 ―自動(dòng) ‖，這樣才能保證下面設(shè)置好的 IP Filter 防火墻過濾信息可以隨系統(tǒng)啟動(dòng)而啟動(dòng)，從而保證對(duì)數(shù)據(jù)包的過濾功能生效。（如圖 2） 圖 1 點(diǎn)擊看大圖 圖 2 小提示：如果你在服務(wù)名稱中沒有找到 ipsec services 服務(wù)也不要著急，該項(xiàng)服務(wù)可以在 Windows 2020 全系列 /XP Pro/.Net Server中找到，而在 XP HOME中是不