三、 预定义的策略:
缺省的是没有启用IPSec,需要进行指派。我们可以发现系统已经给我们定义了三个策略,下面非别进行介绍。
安全服务器:必须使用IPSec,如果对方不使用IPSec,则通讯无法完成。用于始终需要安全通讯的计算机。
客户端:功能是缺省在通讯过程中不使用IPSec,如果对方要求IPSec,它也可以使用IPSec。用于在大部分时间不能保证通讯的计算机。
服务器:功能是缺省使用IPSec,但是对方如果不支持IPSec,也可以不使用IPSec。用于在大部分时间能保证通讯的计算机。
策略可以在单台计算机上进行指派,也可以在组策略上批量进行指派。值得注意的是为了达到可以通过协商后进行通讯,所以通讯的两端都需要设置同样的策略并加以指派。
四、 IPSec的工作方式:
传送模式(计算机之间安全性配置):保护两个主机之间的通讯,是默认的IPSec模式。传送模式只支持Windows2000操作系统,提供点对点的安全性。
隧道模式(网络之间安全性配置):封装、发送和拆封过程称之为“隧道”。一般实现方法是在两个路由器上完成的。在路由器两端配置使用IPSec,保护两个路由器之间的通讯。主要用于广域网上,不提供各个网络内部的安全性。
五、 IPSec的身份验证方法:
Kerberos V5:(默认)如果是在一个域中的成员,又是Kerberos V5协议的客户机,选择这一项。比如一个域中的Windows 2000的计算机。
证书:需要共同配置信任的CA。
预共享密钥:双方在设置策略的时候使用一段共同协商好的密钥。
以上三种方法都可以作为身份验证的方法,一般在日常工作当中,如果是域中的Windows 2000的计算机之间就采用Kerberos的认证方式,由于国内CA用的实在不多,一般其他情况下可以采用第三种方式,双方协商一段密钥,这个在后面的例子二中还会涉及。
六、 IPSec的加密模式:
身份验证加密技术:
SNA
MD5
数据包加密技术:
40-bit DES
56-bit DES
3DES:最安全的加密方法,相应的也会消耗更多的系统资源。
以上的概念性的东西大家可以查阅相关资料,这里就不多多讲述了。
七、 应用:
以上概念性的东西说了很多,下面正式进入实战,将通过两个例子把IPSec的两方面的功能进行说明。
1、 保护IP数据包的内容:为了保护两个主机之间的通讯信息的安全性,我们将利用IPsec的在两台计算机之间建立一个安全连接。采用预共享密钥方式,并强制使用IPSec进行通讯加密。例子中有两台计算机,第一台计算机IP为192.168.0.1,第二台计算机IP为192.168.0.2,如果没有特殊说明,操作是在第一台计算机上进行。
