【正文】 目的地是ＶＰＮ的所有通信都經(jīng)過路由器上的ＳＡ來定義加密或認(rèn)證的算法和密鑰等參數(shù)，即從ＶＰ。兩個這樣的路由器建立起一個安全通道，通信就可以通過這個通道從一個本地的保護(hù)子網(wǎng)發(fā)送到一個遠(yuǎn)程的保護(hù)子網(wǎng)，這就形成了一個ＶＰＮ。 當(dāng)ＩＰｓｅｃ用于路由器時，就可以建立虛擬專用網(wǎng)。各種應(yīng)用程序可以享用ＩＰ層提供的安全服務(wù)和密鑰管理，而不必設(shè)計和實現(xiàn)自己的安全機(jī)制，因此減少密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。ＩＰＳｅｃ對于ＩＰｖ４是可選的，對于ＩＰｖ６是強(qiáng)制性的。 ＩＰＳｅｃＶＰＮ就是在ＩＰ傳輸上通過加密隧道的方式，用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容，傳輸時保證內(nèi)部數(shù)據(jù)的安全性。 圖 1 設(shè)置瑞星個人防火墻 圖 2 選擇連通網(wǎng)絡(luò)的網(wǎng)卡 圖 3 添加 IP 篩選器 寬帶上網(wǎng)應(yīng)用之 IPsec 專用網(wǎng)絡(luò) 隨著許多企業(yè)業(yè)務(wù)的擴(kuò)展，企業(yè)分支也在不斷擴(kuò)展，從同一個城市到遍布全國各地，甚至向全球發(fā)展。其中 ICMP 類型為 ―8‖、 ICMP 代碼為 ―0‖的報文就是 Ping命令所使用的 ―Echo Request‖報文，最后點擊 ―確定 ‖按鈕，完成 ―防 Ping‖設(shè) 置。在 Windows Server 2020 網(wǎng)關(guān)服務(wù)器中，進(jìn)入到 ―控制面板 → 管理工具 ‖窗口，運行 ―路由和遠(yuǎn)程訪問 ‖工具，在 ―路由和遠(yuǎn)程訪問 ‖主窗口中，右鍵點擊 ―本地 ‖服務(wù)器，在彈出的菜單中選擇 ―配置并啟用路由及遠(yuǎn)程訪問 ‖選項，接著在 ―路由及遠(yuǎn)程訪問服務(wù)器安裝向?qū)?‖對話框中點擊 ―下一步 ‖按鈕，選擇 ―自定義配置 ‖選項，然后點擊 ―下一步 ‖，在接下來的窗口中選擇 ―LAN路由器 ‖選項，最后點擊 ―完成 ‖按鈕。 下面筆者以 Windows Server 2020 系統(tǒng)為例，介紹如何利用 ―路由和遠(yuǎn)程訪問 ‖組件 ―防 Ping‖。完成以上設(shè)置后，就實現(xiàn)了利用個人網(wǎng)絡(luò)防火墻有效 ―防 Ping‖的目的。這里要注意 ICMP 報文類型的選擇，切換到 ―ICMP類 型 ‖標(biāo)簽頁中，在 ―類型 ‖下拉列表框中一定要選擇 ―Echo Request‖項，最后點擊 ―修改 ‖按鈕，保存設(shè)置。個人網(wǎng)絡(luò)防火墻的種類較多，幾乎都可以有效實現(xiàn) ―防 Ping‖，如天網(wǎng)個人防火墻、瑞星個人網(wǎng)絡(luò)防火墻、 Windows防火墻 (或 ICF)等，下面筆者以瑞星個人 網(wǎng)絡(luò)防火墻為例，介紹如何配置防火墻實現(xiàn) ―防 Ping‖目的。 對于一般的上網(wǎng)用戶來說，使用個人網(wǎng)絡(luò)防火墻 ―防 Ping‖是最簡單的一種方法。因此在某些有特殊應(yīng)用的局域網(wǎng)環(huán)境中，容易出現(xiàn)數(shù)據(jù)包丟失的現(xiàn)象，影響用戶正常辦公，因此筆者建議大家還是要慎用 IPSec 安全策略 ―防 Ping‖。 因為 Ping命令和 ICMP 協(xié)議 (Inter Control and Message Protocal)有著密切的關(guān)系，在 ICMP 協(xié)議的應(yīng)用中包含有 11種報文格式，其中 Ping命令就是利用 ICMP 協(xié)議中的 ―Echo Request‖報文進(jìn)行工作的。 為什么這么說呢？首先我們看看 IPSec 安全策略是如何 ―防 Ping‖的，其原理是通過新建一個 IPSec 策略來過濾掉本機(jī)所有的 ICMP 數(shù)據(jù)包實現(xiàn)的。該方法配 置比較簡單，并且 IPSec 安全策略是 Windows 系統(tǒng)內(nèi)置的一個功能組件，不需要額外安裝，因此得到不少用戶的喜愛。但同時它也是把 ―雙刃劍 ‖，特別是在網(wǎng)絡(luò)高速發(fā)展的今天，一些 ―不懷好意 ‖的人在互聯(lián)網(wǎng)中使用它來探測別人的機(jī)器 ，以此來達(dá)到不可告人的目的。 ESP 用 SPI、目的地址和協(xié)議號來查找 IPsec 分組所屬的 SA，因為 IPsec網(wǎng)關(guān)只是通過NAPT 地址來確定 IPsec 客戶端，它必須使用這個地址進(jìn)行協(xié)商； 3．許多 IKE 鑒定是通過IP 地址相關(guān)的預(yù)先設(shè)定或者與密碼來進(jìn)行處理的，因此必須設(shè)置 IPsec 網(wǎng)關(guān)與 NAPT IP 地址之間的協(xié)商。 IPsec 客戶端選擇的 SPI 要映射到一個內(nèi)部 IP 地址，因為 NAPT 設(shè)備要通過它來確定將流入的流量傳送到哪里。每個 SA 都有 SPI，在 VPN 安裝過程中進(jìn)行 IKE 協(xié)商時，它們互相交換 SPI。因此，我們可以使用 IKE來進(jìn)行協(xié)商， IKE 采用 UDP 的 500 端口，所以不需要任何的 特殊處理?？蛻舳丝梢砸婚_始通過端口號 500傳送數(shù)據(jù)進(jìn)行協(xié)商，將所有進(jìn)入到 NAPT 設(shè)備的 IPsec 分組傳送到指定的主機(jī)，同時使 NAPT 設(shè)備將所需的 IPsec 數(shù)據(jù)送回到客戶端。 解決爭端，和平共處 為了解 決 ESP IPsec 和 NAPT 共用的問題，設(shè)備生產(chǎn)商提出了多種解決方法。當(dāng)兩個 IPsec 邊界點之間采用了 NAPT 功能但沒有設(shè)置IPsec 流量處理的時候， IPsec 和 NAT 同樣無法協(xié)同工作；另外，在傳輸模式下， ESP IPsec不能和 NAPT 一起工作，因為在這種傳輸模式下，端口號受到 ESP 的保護(hù)，端口號的任何改變都會被認(rèn)為是破壞。現(xiàn)在，可選擇算法包括 Triple－ DES、 RC IDEA、 CAST、 BLOWFISH 和RC4。 ESP協(xié)議非常靈活，可以在兩種加密算法下工作。注意兩種可選擇的 IP 信頭，段到段信頭在每個段被路由器等立即系統(tǒng)處理，而終端信頭只被接收端處理。集成保證了數(shù)據(jù)沒有被惡意網(wǎng)客破壞，可靠性保證使用密碼技術(shù)的安全。通過這種方式 AH 就為數(shù)據(jù)的完整性和原始性提供了鑒定。 鑒定報頭 AH 可與很多各不相同的算法一起工作。隧道主要應(yīng)用于主機(jī)到網(wǎng)關(guān)的遠(yuǎn)程接入的情況。傳輸模式只對 IP 分組應(yīng)用 IPsec 協(xié)議，對 IP 報頭不進(jìn)行任何修改，它只能應(yīng)用于主機(jī)對主機(jī)的 IPsec 虛擬專用網(wǎng) VPN 中。最重要的是， IPsec允許不同的網(wǎng)絡(luò)設(shè)備、 PC 機(jī)和其他計算系統(tǒng)之間實現(xiàn)互通。此套協(xié)議是用作對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的純軟 件升級。對需要在很多設(shè)備之間安全連接的大型網(wǎng)絡(luò)中確保數(shù)據(jù)安全， IPsec是一個理想的方法。 經(jīng)常利用 IPsec 來確保數(shù)據(jù)網(wǎng)絡(luò)的安全。通過 IPsec 的安 全隧道，在數(shù)據(jù)包可以傳送的網(wǎng)絡(luò)中生成像電路那樣的連接。 IPSec 能使網(wǎng)絡(luò)用戶和開發(fā)商采用各自不同的加密算法和關(guān)鍵字長，從而解決令跨國機(jī)構(gòu)頭痛的安全問題。（如圖示） IPsec 的工作模式 IPsec 是一個能在 Inter上保證通道安全的開放標(biāo)準(zhǔn)。實際上，許多 SOHO 遠(yuǎn)程訪問設(shè)備支持基于 PPP 的動態(tài) IP 地址。 在 Inter 中使用 NAPT 時，所有不同的 TCP 和 UDP 信息流看起來好像來源于同一個 IP 地址。 NAPT 普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的 IP 地址后面。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后，動態(tài)地址 NAT 就會分配給他一個 IP 地址，用戶斷開時，這個 IP 地址就會被釋放而留待以后使用。根據(jù)不同的需要，三種 NAT 方案各有利弊。而動態(tài)地址 NAT 則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的 方法映射到內(nèi)部網(wǎng)絡(luò)。 NAT 有三種類型：靜態(tài) NAT、動態(tài)地址 NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換 NAPT。每個包在 NAT 設(shè)備中都被翻譯成正確的 IP 地址，發(fā)往下一級，這意味著給處理器帶來了一定的負(fù)擔(dān)。 NAT 功能通 常被集成到路由器、防火墻、 ISDN 路由器或者單獨的 NAT 設(shè)備中。 NAT的基本原理和類型 NAT 能解決令人頭痛的 IP 地址緊缺的問題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。解決這些問題最簡單的辦法，就是再增加一個路由器來運行 NAT 和虛擬專用網(wǎng) VPN。與 NAT 類似， IPsec也是一種好工具，它使用戶可以安全地通過 Inter 聯(lián)接到遠(yuǎn)程終端。 網(wǎng)絡(luò)安全 IPsec(IP Security)和網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT（ Net Address Translation）應(yīng)用已經(jīng) 十分廣泛了，但是要使它們運行在一起，卻不是一件容易的事。單就其中任何一種技術(shù)來說，都是很不錯的。Remote Access 來處理（該組件在 Server以上版本才有）。但是這里的過濾處理感覺比較簡單，適合純粹的服務(wù)器應(yīng)用，而且不能屏蔽 IP 地址，功能不如前面所述。這樣我們設(shè)置的所有策略都將被清空。我們完全可以通過 IP Filter 中的 ―恢復(fù)默認(rèn)設(shè)置 ‖來完成。（如圖 22） 圖 22 （ 3）快速還原初始設(shè)置： IP Filter 有一個默認(rèn)設(shè)置，當(dāng)我們?yōu)?IP Filter 添加了這樣或那樣的過濾規(guī)則后發(fā)現(xiàn)網(wǎng)絡(luò)無法使用了，這說明我們添加規(guī)則的時候出現(xiàn)了問題。 方法很簡單我們按照上面說的步驟在 ―IP篩選器列表 ‖中建立多個篩選器即可，依次起名―公司 IPSEC 設(shè)置 ‖與 ―家里 IPSEC 設(shè)置 ‖。當(dāng)我們到其他計算機(jī)上使用 ―所有任務(wù) ‖下的 ―導(dǎo)入策略 ‖可以實現(xiàn)多臺計算機(jī)快速使用同一個策略的功能。當(dāng)然本次只是介紹簡單過濾規(guī)則的建立方法，在實際使用中明確過濾的源地址，目的地址，使用協(xié)議后都可以使用此方法結(jié)合 IPSEC 中的 IP Filter 達(dá)到防火墻過濾非法數(shù)據(jù)包的功能。選中 Mirror，則防火墻對AB 的雙向流量都進(jìn)行處理（相當(dāng)于一次添加了兩條規(guī)則 ）。（如圖 19） 圖 19 第十八步：點 ―添加 ‖和 ―關(guān)閉 ‖按鈕保存之前的設(shè)置，我們會在 ―IP篩選器列表 ‖中看到新建立的名為 ―新 IP 篩選器列表 ‖的篩選器。（如圖 18） 圖 18 第十七步：我們 會在剛剛見過的 IP 篩選器列表窗口中看到添加的規(guī)則。（如圖 16） 圖 16 第十五步：選擇通訊協(xié)議類型，包括我們常用的 TCP 和 UDP，還可以設(shè)置為任意。（如圖 15） 圖 15 第十四步：由于 對應(yīng)的是很多的 IP 地址，而且是動態(tài)的 IP 地址。（如圖 14） 圖 14 第十三步：當(dāng)我們想對某個域名進(jìn)行過濾的時候，可以在目的地址處選擇 ―一個特定的DNS 名稱 ‖，然后在主機(jī)名處輸入對應(yīng)的域名?？晒?我們選擇的有 ―一個特定的 IP 子網(wǎng)絡(luò) ‖（一個區(qū)域包括網(wǎng)絡(luò)號和子網(wǎng)掩碼）， ―一個特定的 IP 地址 ‖（一個地址）， ―一個特定的 DNS 名稱 ‖（對域名進(jìn)行過濾，即使他的 IP 是變化的）， ―任何 IP 地址 ‖（所有 IP 地址）， ―我的 IP 地址 ‖（本機(jī) IP 地址）。設(shè)置完后點 ―下一步 ‖繼續(xù)。（如圖 12） 圖 12 服務(wù)器安全之 IPSEC：易忽視的防火墻二 第十一步：首先我們指定 IP 通訊的源地址，類似于規(guī)則中的源地址。（如圖 10） 圖 10 點擊看大圖 第九步：系統(tǒng)會自動生成一個名為 ―新 IP 篩選器列表 ‖的規(guī) 則，我們在該窗口中點 ―添加 ‖按鈕繼續(xù)加一個具體的過濾項。 第八步：在彈出的 ―管理 IP 篩選器表和篩選器操作 ‖設(shè)置窗口中默認(rèn)情況下有兩項，一個是對所有 ICMP 通訊量進(jìn)行過濾的，另一個是對所有 IP 通訊量進(jìn)行過濾的。（如圖 9） 圖 9 點擊看大圖 小提示：實際上我們不僅可以通過 MMC 加載根節(jié)點控制臺的方法使用 IPSEC 模塊，在任務(wù)欄的 ―開始 運行 ‖輸入 ，在打開的窗口中可以直接選擇 ―管理 IP 篩選器表和篩選器操作 ‖。（如圖 7） 圖 7 第六步：添加后我們會在控制臺窗 口的 ―控制臺根節(jié)點 ‖下看到 ―IP安全策略，在本地計算機(jī) ‖的項目。（如圖 6） 圖 6 第五步：系統(tǒng)會要求你選擇的這個管理單元要管理的計算機(jī)是哪個或者域是哪個。（如圖 4） 圖 4 第三步：在出現(xiàn)的添加 /刪除管理單元窗口中我們點 ―添加 ‖按鈕。（如圖 3） 圖 3 點擊看大圖 第二步：默認(rèn)情況下只有 ―控制臺根節(jié)點 ‖一個選項。我們通過 MMC 加載 IPSEC 模塊來實施此功能。 三、配置 IP Filter： 有過配置防火墻或者過濾策略的讀者在配置 IP FILTER 上也是非常容易上手的。（如圖 2） 圖 1 點擊看大圖 圖 2 小提示：如果你在服務(wù)名稱中沒有找到 ipsec services 服務(wù)也不要著急，該項服務(wù)可以在 Windows 2020 全系列 /XP Pro/.Net Server中找到，而在 XP HOME中是不支持該功能的。在服務(wù)設(shè)置窗口中找到名為 ipsec services 的服務(wù)，保證他是 ―啟動 ‖的。 二、用 IP Filte