论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2003-07-18 11:03 |只看该作者 |倒序浏览

如何使用IPSec保护我的网络

A:
IPSec 术语
在执行以下指导步骤之前，确保您知道以下术语的含义：
身份验证：确定计算机的身份是否合法的过程。Windows 2000 IPSec 支持三种身份验证：K
erberos、证书和预共享密钥。只有当两个终结点（计算机）都位于同一个 Windows 2000 域
时，Kerberos 身份验证才有效。这种类型的身份验证是首选方法。如果计算机位于不同的域
中，或者至少有一台计算机不在某个域中，则必须使用证书或预共享密钥。只有当每个终结
点中包含一个由另一个终结点信任的颁发机构签署的证书时，证书才有效。预共享密钥与密
码有着相同的问题。它们不会在很长的时间段内保持机密性。如果终结点不在同一个域中，
并且无法获得证书，则预共享密钥是唯一的身份验证选择。

加密：使准备在两个终结点之间传输的数据难以辨认的过程。通过使用充分测试的算法，每
个终结点都创建和交换密钥。该过程确保只有这些终结点知道密钥，而且如果任何密钥交换
序列被拦截，拦截者不会得到任何有价值的内容。

筛选器：对 Internet 协议 (IP) 地址和协议的描述，可触发 IPSec 安全关联的建立。

筛选器操作：安全要求，可在通信与筛选器列表中的筛选器相匹配时启用。

筛选器列表：筛选器的集合。

Internet 协议安全策略：规则集合，描述计算机之间的通讯是如何得到保护的。

规则：筛选器列表和筛选器操作之间的链接。当通信与筛选器列表匹配时，可触发相应的筛
选器操作。IPSec 策略可包含多个规则。

安全关联：终结点为建立安全会话而协商的身份验证与加密方法的集合。

在 Microsoft 管理控制台中查找 IPSec
通过使用 Microsoft 管理控制台 (MMC) 配置 IPSec。Windows 2000 在安装过程中创建一个
带有 IPSec 管理单元的 MMC。若要查找 IPSec，请单击开始，指向程序，单击管理工具，然
后单击本地安全策略。在打开的 MMC 中的左窗格中，单击本地计算机上的 IP 安全策略。M
MC 将在右窗格中显示现有的默认策略。

更改 IP 地址、计算机名和用户名
为了此示例的目的，假设 Alice 是一个计算机用户，该计算机名为"Alicepc"、IP 地址为
172.16.98.231，Bob 的计算机名为"Bobslap"，IP 地址为 172.31.67.244。他们使用 Abcz
z 程序连接他们的计算机。

通过使用 Abczz 程序互相连接时，Alice 和 Bob 必须确保通信是被加密的。当 Abczz 建立
其连接时，启动程序使用其本身上的随机高端口并连接（出于本示例中的目的）到 6667/TC
P 或 6668/TCP 端口上的目标（其中，TCP 是"传输控制协议"的缩写）。通常，这些端口用
作 Internet 多线交谈 (IRC)。因为 Alice 或 Bob 均可发起连接，所以该策略必须存在于
两端。

创建筛选器列表
通过在 MMC 控制台中右键单击 IP 安全策略，可访问用于创建 IPSec 策略的菜单。第一个
菜单项是"创建 IP 安全策略"。尽管此菜单似乎是要开始的位置，但却不应从此位置开始。
在可创建策略及其相关规则之前，您需要定义筛选器列表和筛选器操作，它们是任何 IPSec
策略的必需组件。单击管理 IP 筛选器表和筛选器操作开始工作。

将显示带有两个选项卡的对话框：一个用于筛选器列表，另一个用于筛选器操作。首先，打
开管理 IP 筛选器列表选项卡。已经有两个预先定义的筛选器列表，您不会使用它们。相反
，您可以创建一个特定的筛选器列表，使其与要连接到的其他计算机对应。

假设您在 Alice 的计算机上创建策略：
单击添加创建新的筛选器列表。将该列表命名为"Abczz to Bob's PC"。

单击添加添加新筛选器。将启动一个向导。

单击我的 IP 地址作为源地址。

单击一个特定的 IP 地址作为目标地址，然后输入 Bob 的计算机的 IP 地址 (172.31.67.2
44)。或者，如果 Bob 的计算机已在域名系统 (DNS) 或 Windows Internet 名称服务 (WIN
S) 中注册，则可选择特定的 DNS 名，然后输入 Bob 的计算机名，Bobslap。

Abczz 使用 TCP 进行通讯，因此单击 TCP 作为协议类型。

对于 IP 协议端口，单击从任意端口。单击到此端口，键入：6667，然后单击完成完成该向
导。

重复上述步骤，但这次键入：6668作为端口号，然后单击关闭。

您的筛选器列表中包含两个筛选器：一个在端口 6667 （属于 Bob）上用于从 Alice 到 Bo
b 的通讯，另一个在端口 6668 （属于 Bob）上。（Bob 在自己的计算机上设置了 6667 和
6668 两个端口：一个端口用于传出的通讯，另一个用于传入的通讯。）这些筛选器是镜像
的，每次创建 IPSec 筛选器时通常都需要如此。对于已镜像的每个筛选器，该列表可包含（
但不显示）与其正好相反的筛选器（即目标和源地址与其相反的筛选器）。如果没有镜像筛
选器，IPSec 通讯通常不成功。

创建筛选器操作
您已经定义了必须受到保护的通信的种类。现在，您必须指定安全机制。单击管理筛选器操
作选项卡。列出三个默认操作。不要使用要求安全操作，您必须创建一个更严格的新操作。

若要创建新操作，请：
单击添加创建新筛选器操作。启动一个向导。将该操作命名为"Encrypt Abczz"。

对于常规选项，单击协商安全，然后单击不和不支持 IPsec 的计算机通讯。

单击 IP 通信安全性为高选项，然后单击完成以关闭该向导。

双击新的筛选器操作（前面命名的"Encrypt Abczz"）。

单击清除接受不安全的通讯，但总是用 IPSec 响应复选框。这一步骤确保计算机在发送 Ab
czz 数据包之前必须协商 IPSec。

单击会话密钥完全向前保密以确保不重新使用密钥资料，单击确定，然后单击关闭。

创建 IPSec 策略
您已经获得了策略元素。现在，您可以创建策略本身了。右键单击 MMC 的右窗格，然后单击
创建 IP 安全策略。当向导启动时：
将该策略命名为"Alice's IPSec"。

单击清除激活默认响应规则复选框。

单击编辑属性（如果未选中的话），然后完成该向导。该策略的属性对话框将打开。

为使 IPSec 策略有效，它必须至少包含一个将筛选器列表链接到筛选器操作的规则。

若要在属性对话框中指定规则，请：
单击添加以创建新规则。启动向导后，单击此规则不指定隧道。

单击局域网 (LAN) 作为网络类型。

如果 Alice 和 Bob 的计算机位于同一个 Windows 2000 域中，单击 Windows 2000 默认值
（Kerberos V5 协议）作为身份验证方法。如果不在一个域中，则单击使用此字串来保护密
钥交换(预共享密钥)，然后输入字符串（使用您可记住的长字符串，不要有任何键入错误）
。

选择前面创建的筛选器列表。在此示例中，该筛选器列表为"Abczz to Bob's PC"。然后，选
择前面创建的筛选器操作。在此示例中，该筛选器操作为"Encrypt Abczz"。

完成该向导，然后单击关闭。

配置其他终结点
在 Bob 的计算机上重复上述应用于 Alice 的计算机的所有步骤。显然要进行一些必要的更
改，例如，"Abczz to Bob's PC"必须更改为"Abczz to Alice's PC"。

指派策略
您已经在两个端点上定义了策略。现在，必须指派它们：
在本地安全设置 MMC 中，右键单击策略（在此示例中为 Abczz ）。

单击指派。

一次只能指派一个 IPSec 策略，但是一个策略可根据需要拥有多个规则。例如，如果 Alic
e 还需要通过使用不同的协议保护与 Eve 的通讯，则您必须创建相应的筛选器列表和操作，
并向 IPSec （属于 Alice）添加一个规则，以便将特定的筛选器列表和筛选器操作链接起来
。单击为此规则使用不同的共享密钥。Alice 的策略现在有两个规则：一个用于与 Bob 进行
Abczz 通讯，另一个用于与 Eve 进行通讯。因为 Bob 和 Eve 无需安全地互相通讯，所以
Bob 的策略中未添加任何规则，Eve 的策略中包含一个用于与 Alice 进行通讯的规则。

疑难解答
使用 IPSecMon 测试策略
Windows 2000 包括一个实用程序 (IPSecMon.exe)，它可用于测试 IPSec 安全关联是否已成
功建立。若要启动 IPSecMon，请：
单击开始，然后单击运行。

键入：ipsecmon，然后按 ENTER 键。

单击选项。

将刷新间隔更改为 1。

必须在不同终结点之间建立通讯。可能会有一个延迟，这是由于终结点需要几秒钟时间来交
换加密信息并完成安全关联。可在 IPSecMon 中观察此行为。当这两个终结点都建立了它们
的安全关联，可在 IPSecMon 中观察到显示此行为的条目。

如果期望的安全协商没有建立，则返回并检查每个终结点上的筛选器列表。在您方便地将源
地址和目标地址或端口反向时，确保已经收到所使用协议的正确定义。您可能要考虑创建一
个指定所有通信的新筛选器列表。同样，可向使用此筛选器列表的策略添加一个新规则，然
后禁用现有的规则。在两个终结点上执行这些步骤。然后，可使用 ping 命令测试连接性。
ping 命令在安全关联阶段可显示"Negotiating IP security"（正在协商 IP 安全），然后
显示建立安全关联之后的正常结果。

NAT 与 IPSec 不兼容
如果在两个终结点之间有任何网络地址转换 (NAT)，则 IPSec 不起作用。IPSec 将终结点地
址作为有效负载的一部分嵌入。在将数据包发送到电缆上之前进行数据包校验和计算时，IP
Sec 也使用源地址。NAT 可更改出站数据包的源地址，目标在计算自己的校验和时使用头中
的地址。如果数据包中携带的用初始来源计算的校验和与用目标计算的校验和不符，则目标
可丢弃这些数据包。不能将 IPSec 用于任何类型的 NAT 设备。

参考
有关 Windows 2000 中 IPSec 的白皮书和详细的技术信息，请参阅以下 Microsoft Web 站
点：
http://www.microsoft.com/windows2000/technologies/security/default.asp

文库|博客

t920

荣誉版主

论坛徽章:: 0

2楼 [报告]

发表于 2003-07-18 11:13 |只看该作者

如何使用IPSec保护我的网络

偶在这里给个实例：利用ipsec实现对icmp的屏蔽（zz）

首先，我们进入“控制面板--〉管理工具--〉本地安全策略”，单击左边的“IP安全策略，在本地机器”，我们可以看到在右边有三个项目，分别是“安全服务器(要求安全设置)”、“客户端(只响应)”、“服务器(请求安全设置)”。这三个预设的设置与服务器之间的安全通讯有关。至于其具体作用，超出了本文的讲解范围，我就不多罗嗦了。
　　我们不必理会那三个预设，
在右边的空白处单击鼠标右键，选择“创建IP安全策略”；
首先是欢迎屏幕，我们直接单击“下一步”；
在IP安全策略名称输入一个名称（随便写），下一步；
在“安全通讯请求”选中“激活默认相应规则”，下一步；
在“默认相应规则身份验证方式”，保持默认值（选择最顶端的“Windows 2000 默认值(Kerberos V5 协议)”），下一步；
此时会弹出一个警告框，提示“只有当这个规则在一台为域成员的机器上 Kerberos 才有效。这台机器不是一个域成员。您想继续并保留这些规则的属性吗?”，我们单击“是(Y)”；
　　好，现在我们可以看到“IP 安全策略向导”的完成屏幕，我们选中其中的“编辑属性”，点击“完成”，即可进入 “新 IP 安全策略属性” 。在这个对话框中，可以看到两个选项卡：“规则”和“常规”。其中“常规”我们可以并不必理会，只看“规则”选项卡。
单击下面的“添加”，我们可以看到“创建 IP 安全规则向导”的欢迎屏幕，单击“下一步”；
在隧道终结点屏幕，我们保持其默认值，选择“此规则不指定隧道(T)”，下一步；
在“网络类型”屏幕，保持其默认值，选择“所有网络连接(C)”，下一步；
在“身份验证方法”，保持默认值（选择“Windows 2000 默认值(Kerberos V5 协议)”），下一步，同样会有个警告窗口，单击“是(Y)，进入“IP 筛选器列表”，其中有一个“所有 IP 通讯”单选项目，不必理会它。接下来我们进行整个“ICMP屏蔽行动”的关键设置：设置ICMP响应规则。
依然是在“IP 筛选器列表”屏幕，点击“添加(A)”，在弹出的“IP 筛选器列表” 窗口输入一个名称，我们输入一个“屏蔽 IPMP 报文”，单击右边的“添加(A)”，进入“IP 筛选器向导”的欢迎屏幕，单击“下一步”；
在“IP 通信源”屏幕，下面的“源地址”，选择“任何 IP 地址”，下一步；
在 “IP 通信目标”屏幕，下面的“目标地址”，选择“我的 IP 地址”，下一步；
　　注意：这两个屏幕中的“源地址”和“目标地址”不能选择相同的项目。
在“IP 协议类型”屏幕，下面的“选择协议类型(S)”，我们选择“ICMP”，下一步；
好，我们看到了“IP 筛选器列表”的完成屏幕。不必选中中间的“编辑属性”，点击“完成”。
我们又回到了IP 筛选器列表”对话框，可以看到在下面的“筛选器(S)”列表中出现了我们刚刚添加的一个筛选器。
单击下方的“关闭”按钮，回到“安全规则向导”屏幕，现在中间的“IP 筛选器列表(I)”中可以看到我们刚才设定的筛选器“屏蔽 ICMP 报文”，我们点选其前面的单选按钮，单击“下一步”，进入“筛选器操作”屏幕；
在“筛选器操作(C)”框内可以看到四个预设的操作。但这几个操作里面没有能够对应我们所需要的“屏蔽”的动作，因此需要我们自己来添加。选择右边的“添加(A)”，首先是欢迎屏幕，直接单击“下一步”；
在“筛选器操作名称”屏幕输入一个筛选器操作的名称，在这里我们输入“拒绝”，单击“下一步”；
在“筛选器操作常规选项”屏幕，选择中间的“阻止(L)”，下一步；
好，我们完成了添加筛选器操作“拒绝”的步骤，单击“完成”，关闭向导。
OK，我们又回到了“筛选器操作”屏幕，先在列表中已经出现了我们刚刚设定的“拒绝”操作。同样选中其前面的单选按钮，下一步；
好了，我们看到了完成屏幕，去掉“编辑属性”前面的对勾，单击“完成”。
我们又回到了“新 IP 安全策略属性”对话框，在中间的“IP 安全规则(I)”列表中出现了我们设定的“屏蔽 ICMP 报文”规则，其筛选器操作是“拒绝”，我们单击下面的“关闭”，返回一开始的“本地安全设置”窗口。

好，在“本地安全设置”窗口的右边，多出了一个“新 IP 安全策略”的项目，我们在其上点击右键，选择“指派”，若成功被应用，则其图标右下角将出现一个绿色的小方块。
大功告成！现在找人对你 Ping 一下，看是否还能 Ping 通呢？哈哈！对方返回了“Request timed out.”。搞定！
同样的，由于屏蔽了所有的 ICMP 报文，导致你尝试 Ping 别人的时候，也 Ping 不通，会返回“Destination host unreachable.”，怎么解决呢？只要再次进入“控制面板--〉管理工具--〉本地安全策略--〉IP安全策略，在本地机器”，在我们设定的“新 IP 安全策略”项目上单击右键，选择“不指派”，那么我们的 ICMP 报文又恢复正常了。此时就可以 Ping 通别人，但同样，此时别人也可以 Ping 通你咯。所以，记得在 Ping 完别人之后再立即将“新 IP 安全策略”指派~。