|
導讀網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體����,實現資源的全面共享和有機協作�,使人們能夠透明地使用資源的整體能力并按需獲取信息�。資源包括高性能計算機���、存儲資源���、數據... 網絡技術是從1990年代中期發展起來的新技術�,它把互聯網上分散的資源融為有機整體�,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源�、數據資源���、信息資源����、知識資源���、專家資源����、大型數據庫、網絡����、傳感器等����。 當前的互聯網只限于信息共享���,網絡則被認為是互聯網發展的第三階段。
IPSec 術語
在執行以下指導步驟之前�,確保您知道以下術語的含義:
身份驗證:確定計算機的身份是否合法的過程���。Windows 2000 IPSec 支持三種身份驗證:Kerberos�、證書和預共享密鑰�。只有當兩個終結點(計算機)都位于同一個 Windows 2000 域時,Kerberos 身份驗證才有效���。這種類型的身份驗證是首選方法���。如果計算機位于不同的域中����,或者至少有一臺計算機不在某個域中,則必須使用證書或預共享密鑰。只有當每個終結點中包含一個由另一個終結點信任的頒發機構簽署的證書時����,證書才有效���。預共享密鑰與密碼有著相同的問題����。它們不會在很長的時間段內保持機密性���。如果終結點不在同一個域中���,并且無法獲得證書���,則預共享密鑰是唯一的身份驗證選擇���。
加密:使準備在兩個終結點之間傳輸的數據難以辨認的過程�。通過使用充分測試的算法,每個終結點都創建和交換密鑰。該過程確保只有這些終結點知道密鑰,而且如果任何密鑰交換序列被攔截�,攔截者不會得到任何有價值的內容����。
篩選器:對 Internet 協議 (IP) 地址和協議的描述�,可觸發 IPSec 安全關聯的建立。
篩選器操作:安全要求,可在通信與篩選器列表中的篩選器相匹配時啟用。
篩選器列表:篩選器的集合。
Internet 協議安全策略:規則集合����,描述計算機之間的通訊是如何得到保護的。
規則:篩選器列表和篩選器操作之間的鏈接�。當通信與篩選器列表匹配時���,可觸發相應的篩選器操作���。IPSec 策略可包含多個規則�。
安全關聯:終結點為建立安全會話而協商的身份驗證與加密方法的集合����。
在 Microsoft 管理控制臺中查找 IPSec
通過使用 Microsoft 管理控制臺 (MMC) 配置 IPSec。Windows 2000 在安裝過程中創建一個帶有 IPSec 管理單元的 MMC�。若要查找 IPSec����,請單擊開始����,指向程序,單擊管理工具���,然后單擊本地安全策略。在打開的 MMC 中的左窗格中�,單擊本地計算機上的 IP 安全策略����。MMC 將在右窗格中顯示現有的默認策略����。
更改 IP 地址、計算機名和用戶名
為了此示例的目的����,假設 Alice 是一個計算機用戶���,該計算機名為"Alicepc"���、IP 地址為 172.16.98.231���,Bob 的計算機名為"Bobslap"���,IP 地址為 172.31.67.244����。他們使用 Abczz 程序連接他們的計算機���。
通過使用 Abczz 程序互相連接時����,Alice 和 Bob 必須確保通信是被加密的。當 Abczz 建立其連接時���,啟動程序使用其本身上的隨機高端口并連接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目標(其中,TCP 是"傳輸控制協議"的縮寫)���。通常,這些端口用作 Internet 多線交談 (IRC)���。因為 Alice 或 Bob 均可發起連接,所以該策略必須存在于兩端����。
創建篩選器列表
通過在 MMC 控制臺中右鍵單擊 IP 安全策略����,可訪問用于創建 IPSec 策略的菜單����。第一個菜單項是"創建 IP 安全策略"����。盡管此菜單似乎是要開始的位置,但卻不應從此位置開始����。在可創建策略及其相關規則之前���,您需要定義篩選器列表和篩選器操作����,它們是任何 IPSec 策略的必需組件���。單擊管理 IP 篩選器表和篩選器操作開始工作���。
將顯示帶有兩個選項卡的對話框:一個用于篩選器列表���,另一個用于篩選器操作����。首先,打開管理 IP 篩選器列表選項卡。已經有兩個預先定義的篩選器列表���,您不會使用它們。相反���,您可以創建一個特定的篩選器列表����,使其與要連接到的其他計算機對應。
假設您在 Alice 的計算機上創建策略:
單擊添加創建新的篩選器列表����。將該列表命名為"Abczz to Bob's PC"���。
單擊添加添加新篩選器����。將啟動一個向導。
單擊我的 IP 地址作為源地址。
單擊一個特定的 IP 地址作為目標地址�,然后輸入 Bob 的計算機的 IP 地址 (172.31.67.244)��������;蛘撸绻 Bob 的計算機已在域名系統 (DNS) 或 Windows Internet 名稱服務 (WINS) 中注冊,則可選擇特定的 DNS 名,然后輸入 Bob 的計算機名����,Bobslap����。
Abczz 使用 TCP 進行通訊�,因此單擊 TCP 作為協議類型。
對于 IP 協議端口,單擊從任意端口�。單擊到此端口���,鍵入:6667�,然后單擊完成完成該向導�。
重復上述步驟�,但這次鍵入:6668作為端口號,然后單擊關閉���。
您的篩選器列表中包含兩個篩選器:一個在端口 6667 (屬于 Bob)上用于從 Alice 到 Bob 的通訊,另一個在端口 6668 (屬于 Bob)上�。(Bob 在自己的計算機上設置了 6667 和 6668 兩個端口:一個端口用于傳出的通訊����,另一個用于傳入的通訊���。)這些篩選器是鏡像的�,每次創建 IPSec 篩選器時通常都需要如此。對于已鏡像的每個篩選器�,該列表可包含(但不顯示)與其正好相反的篩選器(即目標和源地址與其相反的篩選器)�。如果沒有鏡像篩選器����,IPSec 通訊通常不成功。
創建篩選器操作
您已經定義了必須受到保護的通信的種類�,F在�,您必須指定安全機制����。單擊管理篩選器操作選項卡。列出三個默認操作�。不要使用要求安全操作���,您必須創建一個更嚴格的新操作����。
若要創建新操作���,請:
單擊添加創建新篩選器操作����。啟動一個向導���。將該操作命名為"Encrypt Abczz"����。
對于常規選項,單擊協商安全���,然后單擊不和不支持 IPsec 的計算機通訊。
單擊 IP 通信安全性為高選項,然后單擊完成以關閉該向導���。
雙擊新的篩選器操作(前面命名的"Encrypt Abczz")�。
單擊清除接受不安全的通訊�,但總是用 IPSec 響應復選框。這一步驟確保計算機在發送 Abczz 數據包之前必須協商 IPSec����。
單擊會話密鑰完全向前保密以確保不重新使用密鑰資料�,單擊確定����,然后單擊關閉。
創建 IPSec 策略
您已經獲得了策略元素����,F在����,您可以創建策略本身了���。右鍵單擊 MMC 的右窗格�,然后單擊創建 IP 安全策略。當向導啟動時:
將該策略命名為"Alice's IPSec"����。
單擊清除激活默認響應規則復選框。
單擊編輯屬性(如果未選中的話),然后完成該向導。該策略的屬性對話框將打開。
為使 IPSec 策略有效���,它必須至少包含一個將篩選器列表鏈接到篩選器操作的規則。
若要在屬性對話框中指定規則,請:
單擊添加以創建新規則����。啟動向導后����,單擊此規則不指定隧道�。
單擊局域網 (LAN) 作為網絡類型。
如果 Alice 和 Bob 的計算機位于同一個 Windows 2000 域中,單擊 Windows 2000 默認值(Kerberos V5 協議)作為身份驗證方法。如果不在一個域中���,則單擊使用此字串來保護密鑰交換(預共享密鑰),然后輸入字符串(使用您可記住的長字符串,不要有任何鍵入錯誤)���。
選擇前面創建的篩選器列表。在此示例中,該篩選器列表為"Abczz to Bob's PC"�。然后���,選擇前面創建的篩選器操作���。在此示例中����,該篩選器操作為"Encrypt Abczz"����。
完成該向導,然后單擊關閉。
配置其他終結點
在 Bob 的計算機上重復上述應用于 Alice 的計算機的所有步驟。顯然要進行一些必要的更改,例如�,"Abczz to Bob's PC"必須更改為"Abczz to Alice's PC"�。
指派策略
您已經在兩個端點上定義了策略�,F在,必須指派它們:
在本地安全設置 MMC 中,右鍵單擊策略(在此示例中為 Abczz )�。
單擊指派���。
一次只能指派一個 IPSec 策略,但是一個策略可根據需要擁有多個規則���。例如,如果 Alice 還需要通過使用不同的協議保護與 Eve 的通訊����,則您必須創建相應的篩選器列表和操作����,并向 IPSec (屬于 Alice)添加一個規則����,以便將特定的篩選器列表和篩選器操作鏈接起來。單擊為此規則使用不同的共享密鑰���。Alice 的策略現在有兩個規則:一個用于與 Bob 進行 Abczz 通訊����,另一個用于與 Eve 進行通訊�。因為 Bob 和 Eve 無需安全地互相通訊,所以 Bob 的策略中未添加任何規則,Eve 的策略中包含一個用于與 Alice 進行通訊的規則���。
疑難解答
使用 IPSecMon 測試策略
Windows 2000 包括一個實用程序 (IPSecMon.exe),它可用于測試 IPSec 安全關聯是否已成功建立。若要啟動 IPSecMon,請:
單擊開始�,然后單擊運行�。
鍵入:ipsecmon�,然后按 ENTER 鍵。
單擊選項。
將刷新間隔更改為 1�。
必須在不同終結點之間建立通訊����?赡軙幸粋延遲����,這是由于終結點需要幾秒鐘時間來交換加密信息并完成安全關聯�。可在 IPSecMon 中觀察此行為���。當這兩個終結點都建立了它們的安全關聯,可在 IPSecMon 中觀察到顯示此行為的條目����。
如果期望的安全協商沒有建立���,則返回并檢查每個終結點上的篩選器列表����。在您方便地將源地址和目標地址或端口反向時�,確保已經收到所使用協議的正確定義。您可能要考慮創建一個指定所有通信的新篩選器列表����。同樣�,可向使用此篩選器列表的策略添加一個新規則���,然后禁用現有的規則���。在兩個終結點上執行這些步驟���。然后���,可使用 ping 命令測試連接性���。ping 命令在安全關聯階段可顯示"Negotiating IP security"(正在協商 IP 安全)����,然后顯示建立安全關聯之后的正常結果�。
NAT 與 IPSec 不兼容
如果在兩個終結點之間有任何網絡地址轉換 (NAT),則 IPSec 不起作用。IPSec 將終結點地址作為有效負載的一部分嵌入����。在將數據包發送到電纜上之前進行數據包校驗和計算時���,IPSec 也使用源地址�。NAT 可更改出站數據包的源地址���,目標在計算自己的校驗和時使用頭中的地址�。如果數據包中攜帶的用初始來源計算的校驗和與用目標計算的校驗和不符,則目標可丟棄這些數據包�。不能將 IPSec 用于任何類型的 NAT 設備�。
參考
有關 Windows 2000 中 IPSec 的白皮書和詳細的技術信息�,請參閱以下 Microsoft Web 站點:
http://www.microsoft.com/windows2000/technologies/security/default.asp
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此�,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上�、軟件上�、所用標準上......,各項技術都需要適時應勢���,對應發展,這正是網絡迅速走向進步的催化劑。
|
溫馨提示:喜歡本站的話����,請收藏一下本站�!
