五、 IPSec的身份验证方法:
Kerberos V5:(默认)如果是在一个域中的成员,又是Kerberos V5协议的客户机,选择这一项。比如一个域中的Windows 2000的计算机。
证书:需要共同配置信任的CA。
预共享密钥:双方在设置策略的时候使用一段共同协商好的密钥。
以上三种方法都可以作为身份验证的方法,一般在日常工作当中,如果是域中的Windows 2000的计算机之间就采用Kerberos的认证方式,由于国内CA用的实在不多,一般其他情况下可以采用第三种方式,双方协商一段密钥,这个在后面的例子二中还会涉及。
六、 IPSec的加密模式:
身份验证加密技术:
SNA
MD5
数据包加密技术:
40-bit DES
56-bit DES
3DES:最安全的加密方法,相应的也会消耗更多的系统资源。
以上的概念性的东西大家可以查阅相关资料,这里就不多多讲述了。
七、 应用:
以上概念性的东西说了很多,下面正式进入实战,将通过两个例子把IPSec的两方面的功能进行说明。
1、 保护IP数据包的内容:为了保护两个主机之间的通讯信息的安全性,我们将利用IPsec的在两台计算机之间建立一个安全连接。采用预共享密钥方式,并强制使用IPSec进行通讯加密。例子中有两台计算机,第一台计算机IP为192.168.0.1,第二台计算机IP为192.168.0.2,如果没有特殊说明,操作是在第一台计算机上进行。
(1)、进入IPSec控制界面,右键点击“安全服务器”,选中属性(系统已经内置了三条规则,大家可以自己详细的看一下作用,为了演示策略的添加过程我们采用自己添加的方式)。点击“添加”按钮。
(2)、进入安全规则向导,点击“下一步”按钮。
(3)、根据实际情况,我们是实现两台主机之间的安全通讯,不是网络之间的,所以选择“此规则不指定隧道”,因此我们将采用传送模式。点击“下一步”按钮。
(4)、进入了选择网络类型的界面,可以选择的有三种方式,概念应该很好理解了,我们选择“所有网络连接”,点击“下一步”按钮。
(5)、进入了身份验证方法的界面,三种验证方法在上文中已经介绍,我们选择第三种“此字串用来保护密钥交换(预共享密钥)”,然后在对话框中输入我们协商好的密钥,比如“hello”。点击“下一步”按钮。
(6)、进入了“IP筛选器列表”界面,由于我们是要保护全部的通讯,所有选择“所有IP通讯”,当然也可以自己添加新的筛选器列表,这部分内容在第二个例子中会提到,点击“下一步”按钮。
(7)、进入“筛选器操作”界面,根据我们前面提到的要求,我们选择要求安全设置,这里的筛选器操作也是可以自己添加的,例子二中也会提到,点击“下一步”按钮。
