如何使用IPSec保护我的网络通信？

  在实行以下指导步调之前，确保您知道以下术语的寄义：
  身份验证：确定盘算机的身份能否合法的过程。Windows 2000 IPSec 支持三种身份验证：Kerberos、证书和预共享密钥。只要当两个闭幕点（盘算机）都位于统一个 Windows 2000 域时，Kerberos 身份验证才有用。这种类型的身份验证是首选方法。如果盘算机位于差别的域中，大概至少有一台盘算机不在某个域中，则必须利用证书或预共享密钥。只要当每个闭幕点中包罗一个由另一个闭幕点信托的颁发机构签署的证书时，证书才有用。预共享密钥与暗码有着相同的题目。它们不会在很长的时间段内连结秘密性。如果闭幕点不在统一个域中，并且无法得到证书，则预共享密钥是唯一的身份验证选择。
  加密：使预备在两个闭幕点之间传输的数据难以辨认的过程。通过利用充实测试的算法，每个闭幕点都创建和交换密钥。该过程确保只要这些闭幕点知道密钥，并且如果任何密钥交换序列被拦截，拦截者不会得到任何有代价的内容。
  筛选器：对 Internet 协议 (IP) 地址和协议的描述，可触发 IPSec 宁静联系关系的创建。
  筛选器操作：宁静要求，可在通讯与筛选器列表中的筛选器相立室时启用。
  筛选器列表：筛选器的集合。
  Internet 协议宁静计谋：规矩集合，描述盘算机之间的通讯是怎样得到保护的。
  规矩：筛选器列表和筛选器操作之间的链接。当通讯与筛选器列表立室时，可触发相应的筛选器操作。IPSec 计谋可包罗多个规矩。
  宁静联系关系：闭幕点为创建宁静会话而协商的身份验证与加密方法的集合。
  在 Microsoft 管理控制台中查找 IPSec
  通过利用 Microsoft 管理控制台 (MMC) 设置装备摆设 IPSec。Windows 2000 在安置过程中创建一个带有 IPSec 管理单位的 MMC。若要查找 IPSec，请单击开端，指向程序，单击管理东西，然后单击本地宁静计谋。在打开的 MMC 中的左窗格中，单击本地盘算机上的 IP 宁静计谋。MMC 将在右窗格中显示现有的默许计谋。
  更改 IP 地址、盘算机名和用户名
  为了此示例的目的，假定 Alice 是一个盘算机用户，该盘算机名为"Alicepc"、IP 地址为 172.16.98.231，Bob 的盘算机名为"Bobslap"，IP 地址为 172.31.67.244。他们利用 Abczz 程序连接他们的盘算机。
  通过利用 Abczz 程序相互连接时，Alice 和 Bob 必须确保通讯是被加密的。当 Abczz 创建其连接时，启动程序利用其本身上的随机高端口并连接（出于本示例中的目的）到 6667/TCP 或 6668/TCP 端口上的目标（此中，TCP 是"传输控制协议"的缩写）。通常，这些端口用作 Internet 多线攀谈 (IRC)。因为 Alice 或 Bob 均可提倡连接，以是该计谋必须存在于两端。
  创建筛选器列表
  通过在 MMC 控制台中右键单击 IP 宁静计谋，可拜访用于创建 IPSec 计谋的菜单。第一个菜单项是"创建 IP 宁静计谋"。尽管此菜单似乎是要开端的位置，但却不应从此位置开端。在可创建计谋及其相关规矩之前，您需要定义筛选器列表和筛选器操作，它们是任何 IPSec 计谋的必需组件。单击管理 IP 筛选器表和筛选器操作开端事情。
  将显示带有两个选项卡的对话框：一个用于筛选器列表，另一个用于筛选器操作。起首，打开管理 IP 筛选器列表选项卡。曾经有两个预先定义的筛选器列表，您不会利用它们。相反，您可以创建一个特定的筛选器列表，使其与要连接到的其他盘算机对应。
  假定您在 Alice 的盘算机上创建计谋：
  单击添加创建新的筛选器列表。将该列表命名为"Abczz to Bob's PC"。
  单击添加添加新筛选器。将启动一个向导。
  单击我的 IP 地址作为源地址。
  单击一个特定的 IP 地址作为目标地址，然后输出 Bob 的盘算机的 IP 地址 (172.31.67.244)。大概，如果 Bob 的盘算机已在域名系统 (DNS) 或 Windows Internet 名称办事 (WINS) 中注册，则可选择特定的 DNS 名，然后输出 Bob 的盘算机名，Bobslap。
  Abczz 利用 TCP 举行通讯，因此单击 TCP 作为协议类型。
  对于 IP 协议端口，单击从任意端口。单击到此端口，键入：6667，然后单击完成完成该向导。
  反复上述步调，但这次键入：6668作为端口号，然后单击关闭。
  您的筛选器列表中包罗两个筛选器：一个在端口 6667 （属于 Bob）上用于从 Alice 到 Bob 的通讯，另一个在端口 6668 （属于 Bob）上。（Bob 在本身的盘算机上设置了 6667 和 6668 两个端口：一个端口用于传出的通讯，另一个用于传入的通讯。）这些筛选器是镜像的，每次创建 IPSec 筛选器时通常都需要如此。对于已镜像的每个筛选器，该列表可包罗（但不显示）与其恰好相反的筛选器（即目标和源地址与其相反的筛选器）。如果没有镜像筛选器，IPSec 通讯通常不可功。
  创建筛选器操作
  您曾经定义了必须遭到保护的通讯的种类。如今，您必须指定宁静机制。单击管理筛选器操作选项卡。列出三个默许操作。不要利用要求宁静操作，您必须创建一个更严酷的新操作。
  若要创建新操作，请：
  单击添加创建新筛选器操作。启动一个向导。将该操作命名为"Encrypt Abczz"。
  对于通例选项，单击协商宁静，然后单击反面不支持 IPsec 的盘算机通讯。
  单击 IP 通讯宁静性为高选项，然后单击完成以关闭该向导。
  双击新的筛选器操作（前面命名的"Encrypt Abczz"）。
  单击扫除接受不宁静的通讯，但总是用 IPSec 响应复选框。这一步调确保盘算机在发送 Abczz 数据包之前必须协商 IPSec。
  单击会话密钥完全向前失密以确保不重新利用密钥材料，单击确定，然后单击关闭。
  创建 IPSec 计谋
  您曾经得到了计谋元素。如今，您可以创建计谋本身了。右键单击 MMC 的右窗格，然后单击创建 IP 宁静计谋。当向导启动时：
  将该计谋命名为"Alice's IPSec"。
  单击扫除激活默许响应规矩复选框。
  单击编辑属性（如果未选中的话），然后完成该向导。该计谋的属性对话框将打开。
  为使 IPSec 计谋有用，它必须至少包罗一个将筛选器列表链接到筛选器操作的规矩。
  若要在属性对话框中指定规矩，请：
  单击添加以创建新规矩。启意向导后，单击此规矩不指定隧道。
  单击局域网 (LAN) 作为网络类型。
  如果 Alice 和 Bob 的盘算机位于统一个 Windows 2000 域中，单击 Windows 2000 默许值（Kerberos V5 协议）作为身份验证方法。如果不在一个域中，则单击利用此字串来保护密钥交换(预共享密钥)，然后输出字符串（利用您可记住的长字符串，不要有任何键入错误）。
  选择前面创建的筛选器列表。在此示例中，该筛选器列表为"Abczz to Bob's PC"。然后，选择前面创建的筛选器操作。在此示例中，该筛选器操作为"Encrypt Abczz"。
  完成该向导，然后单击关闭。
  设置装备摆设其他闭幕点
  在 Bob 的盘算机上反复上述应用于 Alice 的盘算机的所有步调。显然要举行一些须要的更改，比方，"Abczz to Bob's PC"必须更改为"Abczz to Alice's PC"。
  指派计谋
  您曾经在两个端点上定义了计谋。如今，必须指派它们：
  在本地宁静设置 MMC 中，右键单击计谋（在此示例中为 Abczz ）。
  单击指派。
  一次只能指派一个 IPSec 计谋，但是一个计谋可凭据需要拥有多个规矩。比方，如果 Alice 还需要通过利用差别的协议保护与 Eve 的通讯，则您必须创建相应的筛选器列表和操作，并向 IPSec （属于 Alice）添加一个规矩，以便将特定的筛选器列表和筛选器操作链接起来。单击为此规矩利用差别的共享密钥。Alice 的计谋如今有两个规矩：一个用于与 Bob 举行 Abczz 通讯，另一个用于与 Eve 举行通讯。因为 Bob 和 Eve 无需宁静地相互通讯，以是 Bob 的计谋中未添加任何规矩，Eve 的计谋中包罗一个用于与 Alice 举行通讯的规矩。
  疑问解答
  利用 IPSecMon 测试计谋
  Windows 2000 包括一个实用程序 (IPSecMon.exe)，它可用于测试 IPSec 宁静联系关系能否已乐成创建。若要启动 IPSecMon，请：
  单击开端，然后单击运行。
  键入：ipsecmon，然后按 ENTER 键。
  单击选项。
  将革新隔断更改为 1。
  必须在差别闭幕点之间创建通讯。可能会有一个延迟，这是由于闭幕点需要几秒钟时间来交换加密信息并完成宁静联系关系。可在 IPSecMon 中视察此行为。当这两个闭幕点都创建了它们的宁静联系关系，可在 IPSecMon 中视察到显示此行为的条目。
  如果期望的宁静协商没有创建，则返回并查抄每个闭幕点上的筛选器列表。在您方便地将源地址和目标地址或端口反向时，确保曾经收到所利用协议的正确定义。您可能要思量创建一个指定所有通讯的新筛选器列表。异样，可向利用此筛选器列表的计谋添加一个新规矩，然后禁用现有的规矩。在两个闭幕点上实行这些步调。然后，可利用 ping 下令测试连接性。ping 下令在宁静联系关系阶段可显示"Negotiating IP security"（正在协商 IP 宁静），然后显示创建宁静联系关系之后的正常效果。
  NAT 与 IPSec 不兼容
  如果在两个闭幕点之间有任何网络地址转换 (NAT)，则 IPSec 不起作用。IPSec 将闭幕点地址作为有用负载的一部门嵌入。在将数据包发送到电缆上之前举行数据包校验和盘算时，IPSec 也利用源地址。NAT 可更改出站数据包的源地址，目标在盘算本身的校验和时利用头中的地址。如果数据包中携带的用初始泉源盘算的校验和与用目标盘算的校验和不符，则目标可抛弃这些数据包。不克不及将 IPSec 用于任何类型的 NAT 设置装备摆设。
  参考 有关 Windows 2000 中 IPSec 的白皮书和细致的技术信息，请参阅以下 Microsoft Web 站点：
  http://www.microsoft.com/windows2000/technologies/security/default.asp
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：