【正文】 在這個ＶＰＮ中，每一個具有ＩＰｓｅｃ的路由器都是一個網絡聚合點，試圖對ＶＰＮ進行通信分析將會失敗。ＩＰＳｅｃ可連續(xù)或遞歸應用，在路由器、防火墻、主機和通信鏈路上配置，實現端到端安全、虛擬專用網絡（ＶＰＮ）和安全隧道技術。 ＩＰＳｅｃ 是ＩＥＴＦ（因特網工程任務組）于１９９８年１１月公布的ＩＰ安全標準，目標是為ＩＰｖ４和ＩＰｖ６提供具有較強的互操作能力、高質量和基于密碼的安全。 以上筆者介紹了幾種不同的 ―防 Ping‖方法，分別適用于不同的網絡環(huán)境，如果你感興趣的話，不妨試試。大家都知道， ―路由和遠程訪問 ‖組件內置了路由表管理、 VPN 服務、 IP 報文過濾等功能，默認情況下， Windows Server 2020系統(tǒng)并沒有啟用路由和遠程訪問服務，所以要 首先手工啟用它。這樣瑞星個人網絡防火墻就可以過濾掉， Ping命令所使用的名為 ―Echo Request‖的 ICMP 報文了，而別的有用的 ICMP 報文則可以安全通過。應用此方法 ―防 Ping‖不需要進行復雜的設置，只要你正確配置好防火墻內置的 ―防 Ping‖規(guī)則，就可以輕松實現 ―防 Ping‖的目的。但 IPSec 安全策略防 Ping時采用格殺勿論的方法，把所有的 ICMP 報文全部過濾掉，特別是很多有用的其它格式的報文也同時被過濾掉了。但這里筆者還是要提醒大家，使用 IPSec 安全策略 ―防 Ping‖，還是要慎用。 IPSec 安全策略 防 Ping 還是要慎用 眾所周知， Ping命令是一個非常有用的網絡命令，大家常用它來測試網絡連通情況。 NAPT 設備將這一對 SPI 數字映射到 NAT 內的相關的 VPN終端。為了使 NAPT 正常工作，必須保證內部網絡和外部網絡之間轉換的源端口號是惟一的。在隧道模式的 ESP 情況下， TCP/UDP 報頭是不可見的，因此不能被用于進行內外地址的轉換，而此時靜態(tài) NAT 和 ESP IPsec可以一起工作，因為只有 IP 地址要進行轉換，對高層協(xié)議沒有影響。建立 IPSec 的兩個或者更多系統(tǒng)之間可以使用其他轉換方式。對 IPv4 和 IPv6， ESP 信頭都列在其它 IP 信頭后面。 AH 應用得很少，它要校驗源地址和目的地址這些標明發(fā)送設備的字段是否在路由過程中被改變過，如果校驗沒通過，分組就會被拋棄。隧道模式中 IPsec將原有的 IP 分組封裝成帶有新的 IP 報頭的 IPsec 分組，這樣原有的 IP 分組就被有效地隱藏起來了。這既允許實現安全性，又沒有花什么錢對每臺計算機進行改造。通過使用數字證明和自動認證設備，來驗證兩個來回發(fā)送信息的用戶身份。 IPsec 生成一個標準平臺，來開發(fā)安全網絡和兩臺機器之間的電子隧道。這樣， ISP 甚至不需要支持 NAPT，就可以做到多個內部 IP 地址共用一個外部 IP 地址上Inter，雖然這樣會導致信道的一定擁塞，但考慮到節(jié)省的 ISP 上網費用和易管理的特點，用 NAPT 還是很值得的。NAPT 與動態(tài)地址 NAT 不同，它將內部連接映射到外部網絡中的一個單獨的 IP 地址上，同時在該地址上加上一個由 NAT 設備選定的 TCP 端口號。 動態(tài)地址 NAT 只是轉換 IP 地址，它為每一個內部的 IP 地址分配一個臨時的外部 IP 地址，主要應用于撥號，對于頻繁的遠程聯(lián)接也可以采用動態(tài) NAT。其中靜態(tài) NAT 設置起來最為簡單，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。 NAT 設備維護一個狀態(tài)表，用來把非法的 IP 地址映射到合法的 IP 地址上去?？墒?，對于多數情況來說并沒有多余的路由器來執(zhí)行這一功能，因此，要解決兩者共存的問題，就必須對 IPsec 和 NAT 有一定的了解。從 IP 的角度來看， NAT 對 IP 的低層進行了修改，對 IP 是一種背叛；而從應用的角度來看，網絡管理人員必須要處理網絡地址的問題， NAT 使用戶可以采取多種方式把自己的網絡和主機對外部公共網絡隱藏起來，是一種好的工具，現在，無論是大企業(yè)還是中小企業(yè)都在使用它。 IPSec 和 NAT 工作模式的沖突和解決辦法 現在，網絡安全和網絡地址轉換的應用已經十分廣泛。（如圖 23） 圖 23 點擊看大圖 總結： 可能有的讀者會問到 IPSec中的 IP Filter 有什么優(yōu)勢呢？實際上還有一個利用 IP Filter的方法，桌面上右擊網上鄰居 屬性 右擊任意一塊網卡 屬性 TCP/IP高級 選項TCP/IP 過濾，這里有三個過濾器，分別為： TCP 端口、 UDP 端口和 IP 協(xié)議。如何快速解決此問題呢？一個一個的刪除過濾規(guī)則是可以的，但是太麻煩了。（如圖 21） 圖 21 點擊看大圖 （ 2）單防火墻也要多策略： 可能有的讀者使用的是筆記本，經常在家中和公司場合交替使用，如何讓 IP Filter 單過濾系統(tǒng)擁有多策略呢？也就是說在家中使用一套過濾方案，在公司使用另一套過濾方案。 這時我們在通過本機訪問 網站時就會收到失敗的回應消息。由于這些規(guī)則都是在同一個篩選器中，所以規(guī)則可以同時生效。因此系統(tǒng)會首先查看本地 DNS 緩存，讀取緩存中對應的 IP 地址進行過濾。設置完后點 ―下一步 ‖繼續(xù)?？晒┪覀冞x擇的有 ―一個特定的 IP 子網絡 ‖（一個區(qū)域包括網絡號和子網掩碼）， ―一個特定的 IP 地 址 ‖（一個地址）， ―一個特定的 DNS 名稱 ‖（對域名進行過濾，即使他的 IP 是變化的）， ―任何 IP 地址 ‖（所有 IP 地址）， ―我的 IP 地址 ‖（本機 IP 地址）。我們可以通過 ―添加 ‖按鈕加新的規(guī)則。（如圖 8） 圖 8 點擊看 大圖 第七步：在 ―IP 安全策略，在本地計算機 ‖上點鼠標右鍵選擇 ―管理 IP 篩選器表和篩選器操作 ‖開始配置我們的防火墻策略。（如圖 5） 圖 5 第四步：在添加獨立管理單元選項中找到 ―IP 安全策略管理 ‖，點 ―添加 ‖按鈕進行添加。 第一步：通過任務欄的 ―開始 運行 ‖輸入 MMC，啟動管理單元控制臺窗口。所以說沒有找到該服務是因為你的系統(tǒng)不合乎要求，只能放棄了。我們可以通過任務欄 的 ―開始 運行 ‖，輸入 。 如上所說， ip filter 只是 IPSec的一部分功能而已。 IP Filter，是包含于 IP Security(IPSec)中的，是 Windows 2K 以后新加入的技術。 也許有人聽說過 windows 系統(tǒng)在 XP SP2 和 WINDOWS 2020中內置了一個防火墻，但是該防火墻功能略顯不足。 服務器安全之 IPSEC：易忽視的防火墻一 如果問網絡管理員如何有效的保障服務器和網絡安全的話，恐怕有百分之九十的人會回答 ——更新補丁，在本地計算機安裝防火墻。 3）在 HOST B 執(zhí)行命令 PING ，注意 觀察屏幕提示。 2）在 HOST A執(zhí)行命令 PING ，注意觀察屏幕提示。 4）單擊 關閉 按鈕關閉 新 IP 安全策略屬性 對話框回到 本地安全策略 設置。 2）選擇 此規(guī)則不指定 IPSec 隧道 。 3）選擇 此字串用來保護密鑰交換（預共享密鑰） 單選框，并輸入預共享密鑰子串ABC。 7）確保不選擇 允許和不支持 IPSec 的計算機進行不安全的通信 ，單擊 確定 回到 篩選器操作 對話框。 3）選擇 協(xié)商安全 單選框。 2）在不選擇 使用 39。觀察新添加的篩選器列表。將 目標地址 改為 一個特定的 IP 地址 并輸入 HOST B 的 IP 地址。添加向導 39。的情況下單擊 添加 按鈕。 5）接受默認的選項 Windows 2020 默認值 Kerberos V5作為默認響應規(guī)則身份驗證方法，單擊 下一步 繼續(xù)。 圖 1 實踐拓撲結構圖 2．配置 HOST A 的 IPSec （ 1）建立新的 IPSec 策略 1）選擇 開始 |程序 | 管理 工具 |本地安全策略 菜單，打開 本地安全設置 對話框。 圖 28 管理 IP 篩選器表和篩選器操作 對話框 IPSec 原理與實踐 3－ IPSec 配置實踐 (圖 ) 在前文的敘述中，我們介紹了 IPSec 的原理以及工作步驟。如圖 27 所示。 ■加密算法： 3DES 或 DES。 ●身份驗證和生成新密鑰間隔（ U） ：限制主密鑰可以被當作會話密鑰的密鑰材料來重新使用的次數。這里可以輸入新 IP 安全策略的名稱和描述，更改 檢查策略更改時間 （輸入因該策略的 變化而對 Active Directory 進行輪詢的頻率）。 圖 22 隧道設置標簽頁 圖 23 連接類型標簽頁 5）連接類型 為每一個規(guī)則指定的連接類型可以決定計算機的連接（網卡或調制解調器）是否接受 IPSec 策略的影響。每一種身份驗證方法提供必要的手段來保證身份。 ●會話密鑰完全向前保密 ： 確保會話密鑰和密鑰材料不被重復使用。 可以添加多個安全措施，并通過 上移 、 下移 按鈕指定和另一計算機協(xié)商時采取的安全措施首選的順序。 ◆ DES 只使用 56位密鑰，用于不需要很高的安全性和 3DES 開銷的情況下，或者出于互通性考慮。 ◆ 安全散列算法 (SHA1)，產生 160 位的密鑰。這適合于安全計劃需要標準的安全級別時。 ESP 不提供 IP 報頭（地址）的完整性。除此之外，如果選擇 協(xié)商安全 還可以對允許的通信進行進一步的安全設置。出現如圖 15 所示的 新篩選器操作 屬性 對話框。如圖 14 所示。 ●描述 ：對新篩選器作出簡單描述。添加向導 39。在這里我們可以對新規(guī)則的各項屬性進行設置。這里，我們在不選擇 使用 39。如圖 7 所示。如圖 5所示。如圖 3 所示。如果想要修改系統(tǒng)預定義的策略細節(jié)，可以右擊相應的策略并選擇 屬性 進行修改。 （ 1）打開 IPSec 配置對話框 選擇 開始 |程序 | 管理工具 |本地安全策略 菜單，打開 本地安全設置 對話框。這意味著，如果出現了一個新的算法，它可以不作明顯改動地合成進 IPSec 標準中。 ●DiffieHellman 組。這包括： ●IPSec協(xié)議： AH、 ESP。 ISAKMP 集中了安全關聯(lián)管理，減少了連接時間。 圖 6 安全關聯(lián)（ SA） 注意每個 SA 可以使用不同的安全協(xié)議。例如：可以在兩臺主機之間為 TCP 建立獨立的 SA，并在同樣兩臺機器之間建立另一條支持 UDP 的 SA。 SA可以看成是兩個 IPSec 對等端之間的一條安全隧道，可以為不同類型的流量創(chuàng)建獨立的 SA。 表 1 IPSec 安全報頭的特征 IPSec 中的安全關聯(lián) 除了 IPSec 報頭之外，在安全的數據被交換之前，兩臺計 算機之間必須先建立一個契約。 圖 5 ESP 報文格式 在上圖中， IP 和 ESP 報頭封裝了最終的源和目的間的數據包。因為 ESP 提供機密性，所以數據被加密。 圖 4 AH 報文格式 封裝安全負載 封裝安全負載（ Encapaulating Security Payload， ESP）除了身份驗證、完整性和防止重發(fā)外，還提供機密性。 例如，使用 計算機 A的 Alice 將數據發(fā)送給使用計算機 B 的 Bob。 認證報頭 認證報頭（ Authentication Header， AH）為整個數據包（數據包中攜帶的 IP 報頭和數據）提供身份驗證、完整性和防止重發(fā)， AH 還簽署整個數據包。如果配置為只封裝 IP 數據報中上層協(xié)議信息，那么它就工作在傳輸模式（ Transportation Mode）。 IPSec 工 作模式 IPSec 在 IP 報文中使用一個新的 IPSec報頭來封裝信息，這個過程類似于用一個正常的IP 報文頭封裝上層的 TCP 或 UDP 信息。 IPSec 建立在終端到終端的模式上，這意味著只有識別 IPSec 的計算機才能作為發(fā)送和接收計算機。通過加密報文，可以確保攻擊者不能破解報文的內容，即使他們可以用偵聽程序截獲報文。使 用 IPSec，可以確信在 IP 報文上沒有發(fā)生任何變化。許多攻擊者利用機器間基于 IP 地