Windows 2000中VPN的IPSec

　　Windows 2000 Server操作系统通过Windows 2000 IP安全（IPSec）简化了网络安全的部署和管理，Windows 2000 IP安全是一种可靠的IP安全（IPSec）的版本。

　　Windows 2000 IP安全通过与Windows 2000域和Active Directory 服务集成，建立于IETF IPSec体系结构之上。Active Directory 使用组策略为Windows 2000 域成员提供IPSec策略分配和分发，提供基于策略的、支持目录的网络。

　　 在Windows 2000里IKE的实现提供三个基于IETF标准的身份验证方法以在计算机之间建立信任。基于Windows 2000域基础结构提供的Kerberos v5.0身份验证，用于在一个域中或在几个受信任域中的计算机之间部署安全通讯。

　　 使用证书的公钥/私钥签名，与多个证书系统兼容，包括Microsoft、Entrust、VeriSign和Netscape。

　　 预共享的身份验证密钥，严格用于建立信任，不用于应用程序数据包保护。

　　一旦对等计算机互相进行了身份验证，它们就会产生大量密钥以便对应用程序数据包加密。这些密钥只为这两台计算机所知，因此它们的数据能得到很好的保护，免受可能在网络上的攻击者的修改或破译。每一台对等计算机都使用IKE来协商使用什么类型和强度的密钥，以及采用什么安全方式来保护应用程序通讯。这些密钥IPSec策略设置自动刷新以在管理员的控制下提供恒定的保护。

　　Windows 2000中的Internet协议安全（IPSec）是由网络管理员来部署的，以使用户的应用程序数据可以透明地得到保护。在任何场合，使用Kerberos身份验证和域信任都是进行部署最容易的选择。证书或预先共享的密钥可用于不受信任的域或第三方互操作中。可以使用组策略来向许多客户机和服务器提供IPSec配置。

　　1 配置IPSec前的准备工作

　　 在Windows 2000环境下配置IPSec之前，需要做一些准备工作。完成IPSec配置，需要准备下列硬件。

　　1）两台运行Windows 2000操作系统的计算机。可以使用两台Windows 2000 Professional 系统作为域成员，在IPSec安全模式中，其中一台充台IPSec客户机，另一台充当IPSec服务器。两个测试系统必须是同一（或受信任）域的成员。

　　2）Windows 2000 Server 域控制器。

　　3）连接这三台计算机的LAN或WAN。

　　4）在配置IPSec证书认证功能时，需要与证书颁发机构（CA）服务器联系的能力。

　　有了上面的基本条件后，我们还需要做如下准备工作。

　　（1）创建自定义MMC控制台

　　首先以具有管理特权的用户登录到IPSec服务器，假定IPSec服务器的名字为IPSec Server。然后执行以下几步：

　　1）从Windows 桌面 -->开始 -->运行，在打开文本框中键入mmc。单击确定。

　　2）在控制台菜单上，单击添加/删除管理单元。

　　3）在添加/删除管理单元对话框中，单击添加。

　　4）在添加独立管理单元对话框中，单击计算机管理，然后单击添加。

　　5）验证已选中了本地计算机，然后单击完成。

　　6）在添加独立管理单元对话框中，单击组策略，然后单击添加。

　　7）验证已在组策略对象对话框中选中了本地计算机，然后单元添加。

　　8）在添加独立管理单元对话框中选中，单击证书，然后单击添加。

　　9）选择计算机帐户，然后单击下一步。

　　10）验证已选中了本地计算机，然后单击完成。

　　11）若要关闭添加独立管理单元对话框，单击关闭。

　　12）若要关闭添加/删除管理单元对话框，单击确定。

　　（2）为计算机启用审核策略

　　启用审核策略是为了IPSec参与到通信中时记录事件。这是以后确认IPSec是否工作正常的证明。启用审核策略执行以下几步：

　　1）在MMC控制台上，从左窗格选择本地计算机策略并单击"+"以展开该树。浏览到计算机配置，到Windows设置，再到安全设置，然后再到本地策略，选择审核策略。

　　2）从右窗格显示的属性列表中，双击审核登录事件。审核登录事件对话框出现。

　　3）在审核登录事件对话框中，单击以选择审核这些操作：成功和失败复选框，然后单击确定。

　　4）对审核对象访问属性重要步骤2和3。

　　（3）配置IP安全监视器

　　要监视IPSec策略将建立成功的安全连接，使用"IP安全监视器"工具。在创建任何策略之前，首先要启动和配置该工具。启动和配置IP安全监视器包括以下几个配置：

　　1）要启动"IP安全监视器"工具，单击开始 '开始，然后在文本框中键入IPSecmon。单击确定。

　　2）在"IP安全监视器"工具中单击选项，然后将刷新秒数的默认值从15更改为1。单击确定。

　　3）为第二台计算机的创建自定义控制台并重复此前的所有步骤，这里第二台计算机名为IPSecClient。

　　2 使用内置IPSec策略配置域内VPN

　　 使用Windows 2000内置的IPSec策略来配置一个最简单的VPN。将激活其中一个内置IPSec策略以保护两台计算机之间的通信安全。默认策略使用Kerberos作为初始身份认证方法。因为两台计算机都是一个Windows 2000域的成员，所以只需要少量配置。使用内置IPSec策略配置简单VPN包括以下几个步骤。

　　1）在IPSec服务器上的MMC控制台上，从左窗格选择本地计算机上的IP安全策略。在右窗格中有三个项目：客户机、安全服务器和服务器。

　　2）在IPSec服务器上，右击安全服务器，然后选择指派。策略已指派列中的状态应从否变为是。

　　3）在IPSec客户机上重复步骤1，2。右击客户机，然后选择指派。策略已指派列中的状态应从否变为是。

　　4）在IPSec客户机上，单击开始，单击运行，在文本框中键入cmd，然后单击确定。键入ping IP-of-IPSecServer（IPSec服务器的IP地址），设IP-of-IPSecServer等于192.168.0.5。ping将指出正在协商IPSec。

　　5）监视IP安全监视器窗口。应该看到当前在两台计算机之间使用的安全关腾的细节以及传输的已验证的和保密的字节数的统计信息。

　　6）仍在IPSec客户机上继续，在MMC在左窗格单击计算机管理旁边的 "+" 将其展开，然后展开系统工具，展开事件查看器，然后单击安全日志，可以看到安全日志信息。

　　到此，我们已经成功地在两台计算机之间使用IPSec协议配置了一个简单VPN。

　　设置了安全服务器策略对计算机和其他系统通信是有影响的。设置了安全服务器策略的计算机只能和能成功协商IPSec客户机建立通信。另外，安全服务器也不能够与任何其他系统通信，如域名服务器，除非该通信也可以使用IPSec来保护其安全。因为许多服务都在服务器的后台运行，所以它们可能无法通信和生成事件日志消息。这是正常的，因为默认安全服务器策略都是非常严格的，在允许IP数据包进入网络之前会尝试保护几乎所有的IP数据包。为能在生产环境中实际使用，必须根据安全性要求、网络拓扑和具体的服务器应用程序使用情况，创建能执行所需要的操作的自定义策略。

　　  为了允许和非IPSec客户机进行通信，应指派服务器策略来代替安全服务器。这总是请求安全，但允许与客户机进行无安全措施的通信，如果客户机不响应IKE协商请求，则回到明文。如果任何时候客户机都答复，那协商在进行中并必须安全成功。如果协商失败，通信将被锁闭一分钟，于是将尝试另一个协商。通过右击窗格中的策略（在本窗格中的本地计算机上的IP安全策略下面），然后单击撤消指派，撤消安全服务器或服务器和客户机策略将计算机返回到它们以前的状态。