ipsec协议精讲

ipsec协议精讲内容摘要：

全措施首选的顺序 图 19 确保选中新添加的筛选器操作项 在 安全措施 标签页还有三个选项： ●接受不安全的通信，但总是用 IPSec 响应 ：接受由其它计算机初始化的不受保护的通信，但在本机应答或初始化时总是使用安全的通信。 ●允许和不支持 IPSec 的计算机进行不安全的通信 ：允许来自或到其它计算机的不受保护的通信。 ●会话密钥完全向前保密 ： 确保会话密钥和密钥材料不被重复使用。 需要注意的是，当以上内容设置结束回到 筛选器操作 标签页后，必须选中刚才添加的新筛选器操作项，如图 19 所示。 3）身份验证方法 身份验证方法定义向每一位用户保证其他的计算机或用户的身份的方法。 如图 20 所示。 每一种身份验证方法提供必要的手段来保证身份。 WINDOWS2020 支持三种身份验证方法：Kerberos 协议、使用证书和使用预共享的密钥。 如图 21 所示。 图 20 身份验证方法标签页 图 21 身份验证方法属性对话框 4）隧道设置 如图 22 所示，当只与特定的计算机交 换通信并且知道该计算机的 IP 地址时，选择 隧道终点由此 IP 地址指定 并输入目标计算机的 IP 地址。 图 22 隧道设置标签页 图 23 连接类型标签页 5）连接类型 为每一个规则指定的连接类型可以决定计算机的连接（网卡或调制解调器）是否接受 IPSec 策略的影响。 每一个规则拥有一种连接类型，此类型指定规则是否应用到 LAN 连接、远程访问连接或所有的网络连接上。 如图 23 所示。 （ 9）新创建的 IP 安全策略的属性对话框还有一个 常规 标签页，如图 24 所示。 这里可以输入新 IP 安全策略的名称和描述，更改 检查策略更改时间 （输入因该策略的 变化而对 Active Directory 进行轮询的频率）。 图 24 IP 安全策略属性 的 常规 标签页 图 25 密钥交换设置 对话框 此外还可单击 高级 按钮，在 密钥交换设置 对话框中对密钥交换进行高级设置，如图25 所示。 其中： ●主密钥完全前向保密 ：选择保证没有重用以前使用的密钥材料或密钥来生成其它主密钥。 ●身份验证和生成新密钥间隔（ A） ：确定在其后将生成新密钥的时间间隔。 ●身份验证和生成新密钥间隔（ U） ：限制主密钥可以被当作会话密钥的密钥材料来重新使用的次数。 （如果已经启用了 主密钥 完全前向保密 ，则会忽略该参数。 ） ●保护身份的方法：单击 方法 按钮，在弹出的 密钥交换安全措施 对话框中安全措施首选顺序以及 IKE 安全算法细节作出选择，如图 26 所示。 其中包括： ■完整性算法： MD5 或 SHA1。 ■加密算法： 3DES 或 DES。 ■DiffieHellman 小组：选择作为将来密钥基础的 DiffieHellman 小组 ： ◆ 使用 低 （ DiffieHellman 小组 1）来为 96 位的密钥提供密钥材料。 ◆ 使用 中 （ DiffieHellman 小组 2）来为 128 位的密钥（更强）提供密钥材料。 图 26 密钥交换安全措施 对话框 图 27 指派一种策略 （ 10）最后，需要在新建立的 IP 安全策略上单击鼠标右键并选择 指派 使改 IP 安全策略启用。 如图 27 所示。 注意：一次只能指派一种策略。 2 IP 安全策略管理 通过右击 IP 安全策略，在本地机器 ，选择 管理 IP 筛选器表和筛选器操作 可以对已制定的 IP 安全策略进行修改。 如图 28 所示，其中各种选项前面都已经介绍，在此不再赘述。 图 28 管理 IP 筛选器表和筛选器操作 对话框 IPSec 原理与实践 3－ IPSec 配置实践 (图 ) 在前文的叙述中，我们介绍了 IPSec 的原理以及工作步骤。 下面，我们以实验的形式对其前面的 IPSec 理论进行检验。 通过下面的实验，我们可以：深入理解 IPSec 的实现原理、验证IPSec 相关理论、掌握 IPSec 的配置及诊断技巧和方法。 1．准备 工作 准备两台运行 Windows 2020 Server操作系统的服务器，并按图 1所示进行连接、配置相应 IP 地址。 图 1 实践拓扑结构图 2．配置 HOST A 的 IPSec （ 1）建立新的 IPSec 策略 1）选择 开始 |程序 | 管理 工具 |本地安全策略 菜单，打开 本地安全设置 对话框。 2）右击 IP 安全策略，在本地机器 ，选择 创建 IP 安全策略 ，当出现向导时单击 下一步 继续。 3）为新的 IP 安全策略命名并填写策略描述，单击 下一步 继续。 4）通过选择 激活默认响应规则 复选框接受默认值，单击 下一步 继续。 5）接受默认的选项 Windows 2020 默认值 Kerberos V5作为默认响应规则身份验证方法，单击 下一步 继续。 6）保留 编辑属性 的选择，单击 完成 按钮完成 IPSec 的初步配置。 （ 2）添加新规则 在不选择 使用 39。 添加向导 39。 的情况下单击 添加 按钮。 出现 新规则属性 对话框。 （ 3）添加新过滤器 1）单击 添加 按钮，出现 IP 筛选器列表 对话框。 2）为新的 IP 筛选器列表命名并填写描述，在不选择 使用 39。 添加向导 39。 的情况下单击 添加 按钮。 出现 筛选器属性 对话框。 3）单击 寻址 标签，将 源地址 改为 一个特定的 IP 地址 并输入 HOST A的 IP 地址。 将 目标地址 改为 一个特定的 IP 地址 并输入 HOST B 的 IP 地址。 保留默认选择 镜像 复选框。 4）单击 协议 标签，选择 协议类型 为 ICMP。 5）单击 确定 回到 IP 筛选器列表 对话框。 观察新添加的筛选器列表。 6）单击 关闭 回到 新规则属性 对话框。 7）通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。 （ 4）规定过滤器动作 1）单击 新规则属性 对话框中的 筛选器操作 标签。 2）在不选择 使用 39。 添加向导 39。 的情况下单击 添加 按钮。 出现 新 筛选器操作属性 对话框。 3）选择 协商安全 单选框。 4）单击 添加 按钮选择安全方法。 5）选择 中（ AH） ，单击 确定 回到 新筛选器操作属性 对话框。 6）单击 关闭 回到 新规则属性 对话框。 7）确保不选择 允许和不支持 IPSec 的计算机进行不安全的通信 ，单击 确定 回到 筛选器操作 对话框。 8）通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。 （ 5）设置身份验证方法 1）单击 新规则属性 对话 框中的 身份验证方法 标签。 2）单击 添加 按钮，出现 新身份验证方法属性 对话框。 3）选择 此字串用来保护密钥交换（预共享密钥） 单选框，并输入预共享密钥子串ABC。 4）单击 确定 按钮回到 身份验证方法 标签。 5）单击 上移 按钮使 预先共享的密钥 成为首选。 （ 6）设置 隧道设置 1）单击 新规则属性 对话框中的 隧道设置 标签。 2）选择 此规则不指定 IPSec 隧道。 （ 7）设置 连接类型 1）单击 新规则属性 对话框中的 连接类型 标签。 2）选择 所有网络连接。 3）单击 确定 按钮回到 新 IP 安全策略属性 对话框。 4）单击 关闭 按钮关闭 新 IP 安全策略属性 对话框回到 本地安全策略 设置。 3．配置 HOST B 的 IPSec 仿照前面对 HOST A的配置对 HOST B 的 IPSec 进行配置。 4．测试 IPSec （ 1）不激活 HOST A、 HOST B 的 IPSec 进行测试。 1）确保不激活 HOST A、 HOST B 的 IPSec。 2）在 HOST A执行命令 PING ，注意观察屏幕提示。 3）在 HOST B 执行命令 PING ，注意观察屏幕提示。 （ 2）激活一方的 IPSec 进行测试 1）在 HOST A新建立的 IP 安全策略上单击鼠标右键并选择 指派 ， 激活该 IP 安全策略。 2）在 HOST A执行命令 PING ，注意观察屏幕提示。 3）在 HOST B 执行命令 PING ，注意 观察屏幕提示。 （ 3）激活双方的 IPSec 进行测试 1）在 HOST A执行命令 PING t ，注意观察屏幕提示。 2）在 HOST B新建立的 IP 安全策略上单击鼠标右键并选择 指派 ， 激活该 IP 安全策略。 3）观察 HOST A、 HOST B 间的安全协商过程。 服务器安全之 IPSEC：易忽视的防火墙一 如果问网络管理员如何有效的保障服务器和网络安全的话，恐怕有百分之九十的人会回答 ——更新补丁，在本地计算机安装防火墙。 确实如此，这两个措施是最有 效提高安全的方法，对于更新补丁我们只需要把 windows 操作系统自带的自动更新功能启用即可，相应的在本地计算机安装防火墙并配置合适的安全策略则变得有些难度。 瑞星，江民等国内防火墙防护效果欠佳，而国外的 norton 和卡巴斯基等又占用过多的系统资源。 如何选择一款适合自己的防火墙变成一件困难的事。 也许有人听说过 windows 系统在 XP SP2 和 WINDOWS 2020中内置了一个防火墙，但是该防火墙功能略显不足。 而今天笔者要为各位 IT168 读者介绍的也是 windows 系统中存在的可提供给我们免费使用的 防火墙，他不同于往常我们所说的那个内置防火墙，但是他却可以提供更好的安全策略。 他就是本文介绍的主角 ——ipsec。 一、 IPSEC 基本概念： IPSEC 在建立 VPN 过程中使用频率比较高，然而很多人都忽略了其包含的一个小组件——IP FILTER。 IP Filter，是包含于 IP Security(IPSec)中的，是 Windows 2K 以后新加入的技术。 工作原理很简单，当接收到一个 IP 数据包时， ip filter 使用其头部在一个规则表中进行匹配。 当找到一个相匹配的规则时， ip filter 就按照该规则制定的方法对接收到的 IP 数据包进行处理。 这里的处理工作只有两种：丢弃或转发。 如上所说， ip filter 只是 IPSec的一部分功能而已。 对于不在 domain 中的个人用户， IPSec 的数据加密是用不到的。 所以本文主要是介绍如何用 IP Filter 构建防火墙，实现常用防火墙的部分功能。 二、用 IP Filter当防火墙的准备工作： 由于 IP Filter 属于 IPSec 的一部分，所以在使用及配置 IP Filter 前需要保证 IPSEC 服务的正常运行。 我们可以通过任务栏 的 ―开始 运行 ‖，输入。 在服务设置窗口中找到名为 ipsec services 的服务，保证他是 ―启动 ‖的。 （如图 1）如果该服务没有启动，我们需要双击其名称，点 ―启动 ‖按钮手动启动该服务，然后还需要把其启动方式设置为 ―自动 ‖，这样才能保证下面设置好的 IP Filter 防火墙过滤信息可以随系统启动而启动，从而保证对数据包的过滤功能生效。 （如图 2） 图 1 点击看大图 图 2 小提示：如果你在服务名称中没有找到 ipsec services 服务也不要着急，该项服务可以在 Windows 2020 全系列 /XP Pro/.Net Server中找到，而在 XP HOME中是不。