Internet 协议安全 (IPSec) 为 IP 网络通信提供对应用程序透明的加密服务，并为 Windows? 2000 操作系统提供其它网络访问保护。
　　
　　本指南专门讲述使用 IPSec 传输模式保护客户机和服务器之间的应用程序通信的最快速的方法。它讲述了如何使用 IPSec 默认策略，在属于一个 Windows 2000 域的两个基于 Windows 2000 的系统之间实现安全的方法。一旦两台计算机加入了该域中，您就应完成指南的第一部分，它在 30 分钟或更少的时间内演示默认策略。还带有一些备注，说明如何使非 IPSec 客户机能与服务器通信。还提供了一些步骤说明当 Windows 2000 域不可用时如何使用证书，以及如何建立您自己的自定义策略以便进行更进一步的互操作性测试，或示范 IPSec。
　　
　　内容
　　
　　
　　
　　--------------------------------------------------------------------------------
　　1、引言
　　2、先决条件
　　3、为测试作准备
　　4、使用内置的 IPSec 策略
　　5、建立自定义 IPSec 策略
　　6、测试自定义 IPSec 策略
　　7、使用证书验证身份
　　8、了解 IKE 协商（高级用户）
　　9、故障排除
　　10、其它信息
　　11、相关链接
　　
　　
　　
　　--------------------------------------------------------------------------------
　　
　　引言
　　
　　通过使用 Internet 协议安全 (IPSec)，您可以以下列方案为网络通信提供数据保密性、完整性、真实性和反重播保护：
　　
　　使用 IPSec 传输模式提供客户机到服务器、服务器到服务器和客户机到客户机之间的端对端安全。
　　使用受 IPSec 保护的第二层隧道协议 (L2TP) 保护从客户机到网关在 Internet 上的远程访问的安全。
　　IPSec 提供跨外向专用广域网 (WAN) 的安全的网关到网关的连接或使用 L2TP/IPSec 隧道或纯 IPSec 隧道模式提供基于 Internet 的连接。IPSec 隧道模式不是为用于虚拟专用网络 (VPN) 远程访问而设计的。Windows? 2000 Server 操作系统通过 Windows 2000 IP 安全简化了网络安全的部署和管理，Windows 2000 IP 安全是一种可靠的 IP 安全 (IPSec) 的版本。IPSec 是由 Internet 工程任务组 (IETF) 作为用于 Internet 协议 (IP) 的安全体系结构而设计，它定义了 IP 数据包格式和相关基础结构，以便为网络通信提供端对端、加强的身份验证、完整性、反重播和（可选）保密性。使用 IETF 定义的 Internet 密钥交换 (IKE)，RFC 2409，还提供按需要的安全协商和自动密钥管理服务。Windows 2000 中的 IPSec 和相关的服务是由 Microsoft 和 Cisco Systems, Inc 共同开发的。
　　
　　Windows 2000 IP 安全通过与 Windows 2000 域和 Active DirectoryTM 服务集成，建立于 IETF IPSec 体系结构之上。Active Directory 使用组策略为 Windows 2000 域成员提供 IPSec 策略分配和分发，提供基于策略的、支持目录的网络。
　　
　　IKE 的实现提供三个基于 IETF 标准的身份验证方法以在计算机之间建立信任：
　　
　　基于 Windows 2000 域基础结构提供的 Kerberos v5.0 身份验证，用于在一个域中或在几个受信任域中的计算机之间部署安全通讯。
　　使用证书的公钥/私钥签名，与多个证书系统兼容，包括 Microsoft、Entrust、VeriSign 和 Netscape。
　　密码，用术语表示为“预先共享的身份验证密钥”，严格用于建立信任 - 不用于应用程序数据包保护。
　　一旦对等计算机互相进行了身份验证，它们就会产生大量密钥以便对应用程序数据包加密。这些密钥只为这两台计算机所知，因此它们的数据能得到很好的保护，免受可能在网络上的攻击者的修改或破译。每一台对等计算机都使用 IKE 来协商使用什么类型和强度的密钥，以及采用什么安全方式来保护应用程序通讯。这些密钥根据 IPSec 策略设置自动刷新以在管理员的控制下提供恒定的保护。
　　
　　使用 IPSec 端对端的方案
　　
　　Windows 2000 中的 Internet 协议安全 (IPSec) 是由网络管理员来部署的，以使用户的应用程序数据可以透明地得到保护。在任何场合，使用 Kerberos 身份验证和域信任都是进行部署最容易的选择。证书或预先共享的密钥可用于不受信任的域或第三方互操作中。您可以使用组策略来向许多客户机和服务器提供 IPSec 配置（名为“IPSec 策略”）。
　　
　　安全服务器
　　
　　用于所有单播 IP 通信的 IPSec 安全或者是“请求的但可选的”，或者是“请求的且必需的”，具体采用哪种方式由管理员在配置服务器时决定。使用这种模式，客户机只需要一个如何响应从服务器发出的安全请求的默认策略。一旦在客户机和服务器之间建立了 IPSec 安全关联（每个方向一个），这些关联在它们之间发送完最后一个数据包之后 1 小时仍保持有效。在 1 小时之后，客户机清除安全关联并返回到初始的“只响应”状态。如果客户机再一次向同一服务器发送没有安全措施的数据包，那么该服务器将重新建立 IPSec 安全。这是最容易采取的方法，只要应用程序发送到服务器的第一个数据包不包含敏感数据，并且允许服务器从客户机接收没有安全措施的、明文数据包，就可以安全地使用这种方法。
　　
　　注意 这种服务器端的配置只适用于内部网络服务器，因为 IPSec 策略配置的服务器允许传入的、明文、没有安全措施的数据包。如果服务器放在 Internet 上，那么决不能有这种配置。利用服务器接收不安全的传入的包的能力，会有一些服务攻击，而使用这种配置，就存在不能拒绝这些服务器攻击的可能性。
　　
　　
　　收集信息
　　
　　您还需要两台测试用计算机的下列信息：
　　
　　您的主机名称（右击桌面上的我的电脑图标，单击属性，然后单击网络标识选项卡。）
　　您的 IP 地址（单击开始，单击运行，键入 cmd，然后单击确定。在命令提示符下键入 ipconfig 并按 Enter。在检索到 IP 地址之后，键入 exit 并按 Enter。
　　为测试作准备
　　
　　创建自定义控制台
　　
　　以具有管理特权的用户身份登录到第一台测试用计算机。在本例中，这是名为 HQ-RES-WRK-01 的计算机。
　　
　　备注 在本文档的其余部分，HQ-RES-WRK-01 指第一台测试用计算机，HQ-RES-WRK-02 指第二台测试用计算机。如果您的计算机的名称不同，一定要使用适当的名称沿步骤进行。
　　
　　创建自定义 MMC 控制台
　　
　　从 Windows 桌面，单击开始，单击运行，然后在打开文本框中键入 mmc。单击确定。
　　在控制台菜单上，单击添加/删除管理单元。
　　在添加/删除管理单元对话框中，单击添加。
　　在添加独立管理单元对话框中，单击计算机管理，然后单击添加。
　　验证已选中了本地计算机，然后单击完成。
　　在添加独立管理单元对话框中，单击组策略，然后单击添加。
　　验证已在组策略对象对话框中选中了本地计算机，然后单击完成。
　　在添加独立管理单元对话框中，单击证书，然后单击添加。
　　选择计算机帐户，然后单击下一步。
　　验证已选中了本地计算机，然后单击完成。
　　若要关闭添加独立管理单元对话框，单击关闭。
　　若要关闭添加/删除管理单元对话框，单击确定。
　　为计算机启用审核策略
　　
　　在下面的步骤中，您将配置审核，以便当 IPSec 参与到通信中时记录事件。以后，这将是确认 IPSec 工作正常的有用的证明。
　　
　　启用审核策略
　　
　　在 MMC 控制台上，从左窗格选择本地计算机策略并单击 + 以展开该树。浏览到计算机配置，到 Windows 设置，再到安全设置，然后再到本地策略，选择审核策略。
　　
　　
　　图 1 浏览到 IPSec 控制台中的“审核策略”
　　
　　从右窗格显示的属性列表中，双击审核登录事件。审核登录事件对话框出现。
　　在审核登录事件对话框中，单击以选择审核这些操作: 成功和失败复选框，然后单击确定。
　　对审核对象访问属性重复步骤 2 和 3。
　　配置 IP 安全监视器
　　
　　要监视 IPSec 策略将建立的成功的安全连接，使用“IP 安全监视器”工具。在创建任何策略之前，首先要启动和配置该工具。
　　
　　启动和配置 IP 安全监视器
　　
　　要启动“IP 安全监视器”工具，单击开始，单击运行，然后在打开文本框中键入 ipsecmon。单击确定。
　　在“IP 安全监视器”工具中单击选项，然后将刷新秒数的默认值从 15 更改为 1。单击确定。
　　将 IP 安全监视器窗口最小化。
　　在本指南的稍后部分您将使用此最小化的工具监视策略。
　　
　　返回到本节的开始，为第二台计算机创建自定义控制台并重复此前的所有步骤（在本例中，这是名为 HQ-RES-WRK-02 的计算机）。
　　
　　使用内置 IPSec 策略
　　
　　在本练习中，您将激活其中一个内置 IPSec 策略以保护两台计算机之间的通信安全。默认策略使用 Kerberos 作为初始身份验证方法。因为两台计算机都是一个 Windows 2000 域的成员，所以需要最小量的配置。
　　
　　在 HQ-RES-WRK-01 上激活策略：
　　
　　在您在前面创建的 MMC 控制台上，从左窗格选择本地计算机上的 IP 安全策略。在右窗格中有三个项目：客户机、安全服务器和服务器。
　　右击安全服务器，然后选择指派。策略已指派列中的状态应从否变为是。
　　在 HQ-RES-WRK-02 上重复步骤 1。右击客户机，然后选择指派。策略已指派列中的状态应从否变为是。
　　现在您已有一台计算机 (HQ-RES-WRK-01) 充当安全服务器，而另一台 (HQ-RES-WRK-02) 充当客户机。客户机开始时向服务器发送无保护措施的 ICMP Echo 数据包（使用 ping 工具），但服务器将从客户机请

文章转载地址：http://www.cnpaf.net/Class/hack/06101110491723661778.html