【正文】 r當(dāng)防火墻的準(zhǔn)備工作： 由于 IP Filter 屬于 IPSec 的一部分，所以在使用及配置 IP Filter 前需要保證 IPSEC 服務(wù)的正常運(yùn)行。對于不在 domain 中的個(gè)人用戶， IPSec 的數(shù)據(jù)加密是用不到的。 這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。工作原理很簡單，當(dāng)接收到一個(gè) IP 數(shù)據(jù)包時(shí)， ip filter 使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。 一、 IPSEC 基本概念： IPSEC 在建立 VPN 過程中使用頻率比較高，然而很多人都忽略了其包含的一個(gè)小組件——IP FILTER。而今天筆者要為各位 IT168 讀者介紹的也是 windows 系統(tǒng)中存在的可提供給我們免費(fèi)使用的 防火墻，他不同于往常我們所說的那個(gè)內(nèi)置防火墻，但是他卻可以提供更好的安全策略。如何選擇一款適合自己的防火墻變成一件困難的事。確實(shí)如此，這兩個(gè)措施是最有 效提高安全的方法，對于更新補(bǔ)丁我們只需要把 windows 操作系統(tǒng)自帶的自動(dòng)更新功能啟用即可，相應(yīng)的在本地計(jì)算機(jī)安裝防火墻并配置合適的安全策略則變得有些難度。 3）觀察 HOST A、 HOST B 間的安全協(xié)商過程。 （ 3）激活雙方的 IPSec 進(jìn)行測試 1）在 HOST A執(zhí)行命令 PING t ，注意觀察屏幕提示。 2）在 HOST A執(zhí)行命令 PING ，注意觀察屏幕提示。 3）在 HOST B 執(zhí)行命令 PING ，注意觀察屏幕提示。 1）確保不激活 HOST A、 HOST B 的 IPSec。 3．配置 HOST B 的 IPSec 仿照前面對 HOST A的配置對 HOST B 的 IPSec 進(jìn)行配置。 3）單擊 確定 按鈕回到 新 IP 安全策略屬性 對話框。 （ 7）設(shè)置 連接類型 1）單擊 新規(guī)則屬性 對話框中的 連接類型 標(biāo)簽。 （ 6）設(shè)置 隧道設(shè)置 1）單擊 新規(guī)則屬性 對話框中的 隧道設(shè)置 標(biāo)簽。 4）單擊 確定 按鈕回到 身份驗(yàn)證方法 標(biāo)簽。 2）單擊 添加 按鈕，出現(xiàn) 新身份驗(yàn)證方法屬性 對話框。 8）通過單擊新添加的篩選器操作旁邊的單選按鈕激活新設(shè)置的篩選器操作。 6）單擊 關(guān)閉 回到 新規(guī)則屬性 對話框。 4）單擊 添加 按鈕選擇安全方法。出現(xiàn) 新 篩選器操作屬性 對話框。添加向?qū)?39。 （ 4）規(guī)定過濾器動(dòng)作 1）單擊 新規(guī)則屬性 對話框中的 篩選器操作 標(biāo)簽。 6）單擊 關(guān)閉 回到 新規(guī)則屬性 對話框。 5）單擊 確定 回到 IP 篩選器列表 對話框。保留默認(rèn)選擇 鏡像 復(fù)選框。 3）單擊 尋址 標(biāo)簽，將 源地址 改為 一個(gè)特定的 IP 地址 并輸入 HOST A的 IP 地址。的情況下單擊 添加 按鈕。 2）為新的 IP 篩選器列表命名并填寫描述，在不選擇 使用 39。出現(xiàn) 新規(guī)則屬性 對話框。添加向?qū)?39。 6）保留 編輯屬性 的選擇，單擊 完成 按鈕完成 IPSec 的初步配置。 4）通過選擇 激活默認(rèn)響應(yīng)規(guī)則 復(fù)選框接受默認(rèn)值，單擊 下一步 繼續(xù)。 2）右擊 IP 安全策略，在本地機(jī)器 ，選擇 創(chuàng)建 IP 安全策略 ，當(dāng)出現(xiàn)向?qū)r(shí)單擊 下一步 繼續(xù)。 1．準(zhǔn)備 工作 準(zhǔn)備兩臺運(yùn)行 Windows 2020 Server操作系統(tǒng)的服務(wù)器，并按圖 1所示進(jìn)行連接、配置相應(yīng) IP 地址。下面，我們以實(shí)驗(yàn)的形式對其前面的 IPSec 理論進(jìn)行檢驗(yàn)。如圖 28 所示，其中各種選項(xiàng)前面都已經(jīng)介紹，在此不再贅述。注意：一次只能指派一種策略。 圖 26 密鑰交換安全措施 對話框 圖 27 指派一種策略 （ 10）最后，需要在新建立的 IP 安全策略上單擊鼠標(biāo)右鍵并選擇 指派 使改 IP 安全策略啟用。 ■DiffieHellman 小組：選擇作為將來密鑰基礎(chǔ)的 DiffieHellman 小組 ： ◆ 使用 低 （ DiffieHellman 小組 1）來為 96 位的密鑰提供密鑰材料。其中包括： ■完整性算法： MD5 或 SHA1。（如果已經(jīng)啟用了 主密鑰 完全前向保密 ，則會忽略該參數(shù)。 ●身份驗(yàn)證和生成新密鑰間隔（ A） ：確定在其后將生成新密鑰的時(shí)間間隔。 圖 24 IP 安全策略屬性 的 常規(guī) 標(biāo)簽頁 圖 25 密鑰交換設(shè)置 對話框 此外還可單擊 高級 按鈕，在 密鑰交換設(shè)置 對話框中對密鑰交換進(jìn)行高級設(shè)置，如圖25 所示。 （ 9）新創(chuàng)建的 IP 安全策略的屬性對話框還有一個(gè) 常規(guī) 標(biāo)簽頁，如圖 24 所示。每一個(gè)規(guī)則擁有一種連接類型，此類型指定規(guī)則是否應(yīng)用到 LAN 連接、遠(yuǎn)程訪問連接或所有的網(wǎng)絡(luò)連接上。 圖 20 身份驗(yàn)證方法標(biāo)簽頁 圖 21 身份驗(yàn)證方法屬性對話框 4）隧道設(shè)置 如圖 22 所示，當(dāng)只與特定的計(jì)算機(jī)交 換通信并且知道該計(jì)算機(jī)的 IP 地址時(shí)，選擇 隧道終點(diǎn)由此 IP 地址指定 并輸入目標(biāo)計(jì)算機(jī)的 IP 地址。 WINDOWS2020 支持三種身份驗(yàn)證方法：Kerberos 協(xié)議、使用證書和使用預(yù)共享的密鑰。如圖 20 所示。 需要注意的是，當(dāng)以上內(nèi)容設(shè)置結(jié)束回到 篩選器操作 標(biāo)簽頁后，必須選中剛才添加的新篩選器操作項(xiàng)，如圖 19 所示。 ●允許和不支持 IPSec 的計(jì)算機(jī)進(jìn)行不安全的通信 ：允許來自或到其它計(jì)算機(jī)的不受保護(hù)的通信。如圖 18 所示。這樣可以確保即使攻擊者獲得了部分 通訊，也無法獲得整個(gè)通訊。 ■密鑰生存期 ：密鑰生存期決定新密鑰的產(chǎn)生時(shí)間，可以用千字節(jié)數(shù)或 /和秒數(shù)指定密鑰生存期。 ■數(shù)據(jù)加密算法： ◆ 3DES 是最安全的 DES 組合， 3DES 每個(gè)數(shù)據(jù)塊處理三次，因此會降低系統(tǒng)性能。密鑰越長越安全，所以應(yīng)首要考慮 SHA1。如圖 17 所示，其中包括： ■數(shù)據(jù)和地址不加密的完整性（ AH）算法： ◆ 消息摘要 5 (MD5)，產(chǎn)生 128 位的密鑰。 AH 提供 IP 報(bào)頭和數(shù)據(jù)的完整性，但是不加密數(shù)據(jù)。 ●中 ：使用驗(yàn)證報(bào)頭（ AH）協(xié)議來提供完整性、防止重發(fā)和身份驗(yàn)證。如果數(shù)據(jù)和地址均需要保護(hù)，可以創(chuàng)建自定義安全方法。使用 封裝安全措施負(fù)載量 (ESP) 來提供機(jī)密性（數(shù)據(jù)加密）、身份驗(yàn)證、防止重發(fā)和完整性，使其適合于高的安全級別?？梢詥螕?添加 按鈕，添加相應(yīng)的安全措施，如圖 16 所示?？梢园l(fā)現(xiàn)，實(shí)際上這就可以很簡單的實(shí) 現(xiàn)一個(gè)普通防火墻的功能。 圖 14 篩選器操作 標(biāo)簽頁 IPSec 原理與實(shí)踐 2－配置步驟下 (組圖 ) 圖 15 新篩選器操作 屬性 對話框 在這里我們可以對新篩選器操作的細(xì)節(jié)進(jìn)行設(shè)置。情況下單擊 添加 按鈕。這里，我們在不選擇 使用 39。它將對符合 IP 篩選器 的數(shù)據(jù)流進(jìn)行相應(yīng)處理。 圖 10 IP 篩選器列表 對話框 圖 11 篩選器屬性 對話框 圖 12 篩選器屬性 協(xié)議 標(biāo)簽頁 圖 13 確保選中新設(shè)置的 IP 篩選器 在完成對 篩選器屬性 的設(shè)置后，要確保選中新設(shè)置的 IP 篩選器 ，如 圖 13 所示。 ●協(xié)議 ：可以對數(shù)據(jù)流所使用的協(xié)議進(jìn)行規(guī)定，如果選擇了 TCP或 UDP協(xié)議還可以對源端和目的端使用的端口號作出規(guī)定，如圖 12 所示。情況下單擊 添加 按鈕。 輸入新 IP 篩選器列表的名稱、描述信息并在不選擇 使用 39。其中包括： 1） IP 篩選列表 在 IP 篩選列表 標(biāo)簽頁上單擊 添加 按鈕打開 IP 篩選器列表 對話框。出現(xiàn)如圖 9 所示的 新規(guī)則屬性 對話框。添加向?qū)?39。 圖 8 IP 安全策略屬性對話框 圖 9 新規(guī)則屬性 對話框 （ 8）接下來需要添加用戶自己定義的 IP 安全規(guī)則 。 圖 6 設(shè)置身份驗(yàn)證方法 圖 7 完成 IP 安全策略向?qū)? （ 7）完成初步配置后，將彈出新 IP 安全策略屬性對話框。 （ 6）保留 編輯屬性 的選擇并單擊 完成 按鈕完成 IPSec 的初步配置 。 圖 4 安全 策略名稱 對話框 圖 5 安全通訊請求 對話框 （ 5）接受默認(rèn)的選項(xiàng) Windows 2020 默認(rèn)值 Kerberos V5作為默認(rèn)響應(yīng)規(guī)則身份驗(yàn)證方法，單擊 下一步 繼續(xù)。 （ 4）單擊 下一步 ，接受對話框中 默認(rèn)的響應(yīng) 復(fù)選項(xiàng)，之后單擊 下一步 。 圖 2 創(chuàng)建 IP 安全策略 圖 3 安全策略向?qū)? （ 3）在彈出的對話框中為新的 IP 安全策略命名并填寫策略描述。單擊 下一步 繼續(xù)。 下面，我們將通過新建一個(gè)策略對各種策略的屬性進(jìn)行介紹。在每個(gè)預(yù)定義的策略的描述中詳細(xì)解釋了該策略的操作原則。單擊以選擇 IP 安全策略：在本地機(jī)器 ，如圖 1 所示。下面討論 IPSec 配置的步驟以及如何選取不同的算法。目前， MD5 和 SHA是用來產(chǎn)生認(rèn)證數(shù)據(jù)的兩種算法?？梢允褂靡恍┎煌?算法。 IPSec 原理與實(shí)踐 2－配置步驟上 (組圖 ) 上文 我們介紹了 IPSec 的工作原理及其相關(guān)的基本概念和術(shù)語，在接下來的敘述中，我們將集中討論 IPSec 的配置步驟。 ●身份驗(yàn)證方式：公鑰證書、預(yù)共享密鑰或 Kerberos V5（ Windows 2020 默認(rèn)）。 ●加密算法： DES、 3DES、 40 位 DES 或無。它通過使用在兩臺計(jì)算機(jī)上協(xié)商從而達(dá)成一致的加密和身份驗(yàn)證算法保證機(jī)密性和身份驗(yàn)證。 Oakley 生 成并管理用來保護(hù)信息的身份驗(yàn)證密鑰。 為在兩臺計(jì)算機(jī)之間建立該契約， IETF 已經(jīng)建立了一個(gè)安全關(guān)聯(lián)和密鑰交換方案的標(biāo)準(zhǔn)方法，它將 Inter 安全關(guān)聯(lián)和密鑰管理協(xié)議 (ISAKMP)以及 Oakley 密鑰生成協(xié)議進(jìn)行合并?？梢栽趦蓚€(gè) IPSec 對等端之間只進(jìn)行使用 AH報(bào)頭的認(rèn)證，或是只進(jìn)行加密。 SPI 是一個(gè)分配給每個(gè) SA的字串，用于區(qū)分多個(gè)存在于接收端計(jì)算機(jī)上的安全關(guān)聯(lián)。甚至可以為每個(gè) TCP 或 UDP 端口建立分離的 SA。一 臺計(jì)算機(jī)也可以與另一臺計(jì)算機(jī)有多個(gè) SA。例如，當(dāng)一臺計(jì)算機(jī)與多臺計(jì)算機(jī)同時(shí)進(jìn)行安全性通訊時(shí)可能存在多種關(guān)聯(lián)。 安全關(guān)聯(lián) (SA)是策略和密鑰的結(jié)合，它定義用來保護(hù)端對端通訊的常規(guī)安全服務(wù)、機(jī)制以及密鑰。該契約稱為安全關(guān)聯(lián)（ Security Association， SA）。 下面，我們通過對比的方法總結(jié)一下 AH、 ESP 的功能特性，見表 1。 簽名 區(qū)指示數(shù)據(jù)包在這 些地方進(jìn)行完整性保護(hù)。 安全性通過在 IP 報(bào)頭和傳輸協(xié)議報(bào)頭（ TCP 或 UDP）之間放置 ESP 報(bào)頭來提供，如圖5 所示。對于接收，在驗(yàn)證過程完成后，數(shù)據(jù)包的數(shù)據(jù)部分將被解密。 例如，使用計(jì)算機(jī) A的 Alice 將數(shù)據(jù)發(fā)送給使用計(jì)算機(jī) B 的 Bob。除非使用隧道，否則 ESP 通常不簽署整個(gè)數(shù)據(jù)包，即通常只保護(hù)數(shù)據(jù)，而不保護(hù) IP 報(bào)頭。 完整性和身份驗(yàn)證通過在 IP 報(bào)頭和傳輸協(xié)議報(bào)頭（ TCP 或 UDP）之間放置 AH 報(bào)頭來提供，如圖 4 所示。 IP 報(bào)頭、 AH 報(bào)頭和數(shù)據(jù)通過簽名來防止修改。 AH 使用 HMAC 算法來簽署數(shù)據(jù)包。因?yàn)椴患用軘?shù)據(jù)，所以不提供機(jī)密性。 ●封裝安全負(fù)載：可以像認(rèn)證報(bào)頭那樣對原始 IP 報(bào)文實(shí)現(xiàn)認(rèn)證，并可以實(shí)現(xiàn)加密。如圖 3 所示。如果配置為封裝整個(gè) IP 數(shù)據(jù)報(bào)，那么它就工作在隧道模式（ Tunnel Mode）。新的 IPSec 報(bào)文包含 IP 報(bào)文認(rèn)證的信息，原始 IP報(bào)文的內(nèi)容，可以根據(jù)特定應(yīng)用的需求選擇加密與否。上層不需要知道在 IP 層實(shí)現(xiàn)的安全，所以在 IP 層不需要做任何修改。 IPSec并不是一個(gè)單一的協(xié)議或算法，它是一系列加密實(shí)現(xiàn)中使用的加密標(biāo)準(zhǔn)定義的集合。這一特性稱為反重傳（ antireplay）。