国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　IPSec的全稱是Internet Protocol Security，翻譯成中文就是Internet協(xié)議安全性。它的作用主要有兩個(gè)：一個(gè)是保護(hù) IP 數(shù)據(jù)包的內(nèi)容，另外一點(diǎn)就是通過數(shù)據(jù)包篩選并實(shí)施受信任通訊來防御網(wǎng)絡(luò)攻擊。這對于我們當(dāng)有一些重要的數(shù)據(jù)在傳輸?shù)倪^程中需要加以保護(hù)或者防止監(jiān)聽來說無疑是一個(gè)好消息，因?yàn)閃indows 2000已經(jīng)內(nèi)置了這個(gè)功能，我們不再需要借助其他的工具以實(shí)現(xiàn)這個(gè)目的了。

　　由于是在IP層進(jìn)行對數(shù)據(jù)的對稱加密，的是整個(gè)的IP數(shù)據(jù)包，所以不需要為 協(xié)議組中的每個(gè)協(xié)議設(shè)置單獨(dú)的安全性，因?yàn)閼?yīng)用程序使用 TCP/IP 來將數(shù)據(jù)傳遞到 IP 協(xié)議層，并在這里進(jìn)行保護(hù)。相應(yīng)的IPSec配置相對復(fù)雜，但是對于應(yīng)用程序來說是透明的，因此不要求應(yīng)用程序必須支持。下面分幾個(gè)部分對IPSec的概念、工作過程和實(shí)踐應(yīng)用等幾個(gè)方面加以闡述：

　　一、 IPSec的工作的過程：

　　兩臺(tái)計(jì)算機(jī)在通訊的時(shí)候，如果已經(jīng)設(shè)置好IPSec的策略，主機(jī)在通訊的時(shí)候會(huì)檢查這個(gè)策略，策略在應(yīng)用到主機(jī)的時(shí)候會(huì)有一個(gè)協(xié)商的過程，這個(gè)過程通過Security Association來實(shí)現(xiàn)。協(xié)商后根據(jù)Policy的配置，兩臺(tái)計(jì)算機(jī)之間建立一個(gè)加密的連接，數(shù)據(jù)進(jìn)行加密傳輸。驅(qū)動(dòng)程序?qū)⒔饷艿臄?shù)據(jù)包傳輸給TCP/IP的驅(qū)動(dòng)程序，然后傳輸給接收端的應(yīng)用程序。

　　二、 進(jìn)入IPSec控制界面：

　　有兩種方式可以打開，功能是完全一樣的：

　　 開始-運(yùn)行-管理工具-本地安全策略

　　 MMC-添加/刪除管理單元-添加-IP安全管理策略-確定

　　三、 預(yù)定義的策略：

　　缺省的是沒有啟用IPSec，需要進(jìn)行指派。我們可以發(fā)現(xiàn)系統(tǒng)已經(jīng)給我們定義了三個(gè)策略，下面非別進(jìn)行介紹。

　　器：必須使用IPSec，如果對方不使用IPSec，則通訊無法完成。用于始終需要安全通訊的計(jì)算機(jī)。

　　 客戶端：功能是缺省在通訊過程中不使用IPSec，如果對方要求IPSec，它也可以使用IPSec。用于在大部分時(shí)間不能保證通訊的計(jì)算機(jī)。

　　：功能是缺省使用IPSec，但是對方如果不支持IPSec，也可以不使用IPSec。用于在大部分時(shí)間能保證通訊的計(jì)算機(jī)。

　　策略可以在單臺(tái)計(jì)算機(jī)上進(jìn)行指派，也可以在上批量進(jìn)行指派。值得注意的是為了達(dá)到可以通過協(xié)商后進(jìn)行通訊，所以通訊的兩端都需要設(shè)置同樣的策略并加以指派。

　　四、 IPSec的工作方式：

　　 傳送模式(計(jì)算機(jī)之間安全性配置)：保護(hù)兩個(gè)主機(jī)之間的通訊，是默認(rèn)的IPSec模式。傳送模式只支持Windows2000操作系統(tǒng)，提供點(diǎn)對點(diǎn)的安全性。

　　 隧道模式(網(wǎng)絡(luò)之間安全性配置)：封裝、發(fā)送和拆封過程稱之為“隧道”。一般實(shí)現(xiàn)方法是在兩個(gè)上完成的。在路由器兩端配置使用IPSec，保護(hù)兩個(gè)路由器之間的通訊。主要用于廣域網(wǎng)上，不提供各個(gè)網(wǎng)絡(luò)內(nèi)部的安全性。

　　五、 IPSec的身份驗(yàn)證方法:

　　 Kerberos V5：(默認(rèn))如果是在一個(gè)域中的成員，又是Kerberos V5協(xié)議的客戶機(jī)，選擇這一項(xiàng)。比如一個(gè)域中的Windows 2000的計(jì)算機(jī)。

　　 證書：需要共同配置信任的CA。

　　 預(yù)共享密鑰：雙方在設(shè)置策略的時(shí)候使用一段共同協(xié)商好的密鑰。

　　以上三種方法都可以作為身份驗(yàn)證的方法，一般在日常工作當(dāng)中，如果是域中的Windows 2000的計(jì)算機(jī)之間就采用Kerberos的認(rèn)證方式，由于國內(nèi)CA用的實(shí)在不多，一般其他情況下可以采用第三種方式，雙方協(xié)商一段密鑰，這個(gè)在后面的例子二中還會(huì)涉及。

　　六、 IPSec的加密模式：

　　 身份驗(yàn)證加密技術(shù)：

　　 SNA

　　 MD5

　　 數(shù)據(jù)包加密技術(shù)：

　　 40-bit DES

　　 56-bit DES

　　 3DES：最安全的加密方法，相應(yīng)的也會(huì)消耗更多的系統(tǒng)資源。

　　以上的概念性的東西大家可以查閱相關(guān)資料，這里就不多多講述了。

　　七、 應(yīng)用：

　　以上概念性的東西說了很多，下面正式進(jìn)入實(shí)戰(zhàn)，將通過兩個(gè)例子把IPSec的兩方面的功能進(jìn)行說明。

　　1、 保護(hù)IP數(shù)據(jù)包的內(nèi)容：為了保護(hù)兩個(gè)主機(jī)之間的通訊信息的安全性，我們將利用IPsec的在兩臺(tái)計(jì)算機(jī)之間建立一個(gè)安全連接。采用預(yù)共享密鑰方式，并強(qiáng)制使用IPSec進(jìn)行通訊加密。例子中有兩臺(tái)計(jì)算機(jī)，第一臺(tái)計(jì)算機(jī)IP為192.168.0.1，第二臺(tái)計(jì)算機(jī)IP為192.168.0.2，如果沒有特殊說明，操作是在第一臺(tái)計(jì)算機(jī)上進(jìn)行。

　　(1)、進(jìn)入IPSec控制界面，右鍵點(diǎn)擊“安全服務(wù)器”，選中屬性(系統(tǒng)已經(jīng)內(nèi)置了三條規(guī)則，大家可以自己詳細(xì)的看一下作用，為了演示策略的添加過程我們采用自己添加的方式)。點(diǎn)擊“添加”按鈕。

　　(2)、進(jìn)入安全規(guī)則向?qū)?，點(diǎn)擊“下一步”按鈕。

　　(3)、根據(jù)實(shí)際情況，我們是實(shí)現(xiàn)兩臺(tái)主機(jī)之間的安全通訊，不是網(wǎng)絡(luò)之間的，所以選擇“此規(guī)則不指定隧道”，因此我們將采用傳送模式。點(diǎn)擊“下一步”按鈕。

　　(4)、進(jìn)入了選擇網(wǎng)絡(luò)類型的界面，可以選擇的有三種方式，概念應(yīng)該很好理解了，我們選擇“所有網(wǎng)絡(luò)連接”，點(diǎn)擊“下一步”按鈕。

　　(5)、進(jìn)入了身份驗(yàn)證方法的界面，三種驗(yàn)證方法在上文中已經(jīng)介紹，我們選擇第三種“此字串用來保護(hù)密鑰交換(預(yù)共享密鑰)”，然后在框中輸入我們協(xié)商好的密鑰，比如“hello”。點(diǎn)擊“下一步”按鈕。

　　(6)、進(jìn)入了“IP篩選器列表”界面，由于我們是要保護(hù)全部的通訊，所有選擇“所有IP通訊”，當(dāng)然也可以自己添加新的篩選器列表，這部分內(nèi)容在第二個(gè)例子中會(huì)提到，點(diǎn)擊“下一步”按鈕。

　　(7)、進(jìn)入“篩選器操作”界面，根據(jù)我們前面提到的要求，我們選擇要求安全設(shè)置，這里的篩選器操作也是可以自己添加的，例子二中也會(huì)提到，點(diǎn)擊“下一步”按鈕。

　　(8)、至此安全規(guī)則創(chuàng)建完畢，我們點(diǎn)擊“完成”。

　　(9)、會(huì)到開始的端口，我們會(huì)發(fā)現(xiàn)已經(jīng)增加了我們新增加的安全規(guī)則。除了選中我們自己創(chuàng)建的規(guī)則以外，我們把其他默認(rèn)規(guī)則的對勾點(diǎn)無。

　　(10)、最后，也是非常重要的一點(diǎn)，我們要對我們創(chuàng)建的策略進(jìn)行指派，否則策略不會(huì)自己生效，點(diǎn)擊“安全服務(wù)器”右鍵，點(diǎn)擊“指派”。

　　(11)、這個(gè)時(shí)候我們打開一個(gè)窗口，開始使用Ping命令，檢查我們的通訊狀況。例子中的第二臺(tái)計(jì)算機(jī)的IP地址為192.168.0.2，我們執(zhí)行Ping 192.168.0.2 –t，會(huì)發(fā)現(xiàn)一直在“協(xié)商IP安全性”，這個(gè)是什么原因呢?因?yàn)檫@個(gè)時(shí)候我們只是在第一臺(tái)計(jì)算機(jī)上面設(shè)置了IPsec策略，另一端并沒有做相應(yīng)的設(shè)置，協(xié)商無法成功，所以這個(gè)時(shí)候我們必須到另外一端的計(jì)算機(jī)進(jìn)行同樣的設(shè)置并進(jìn)行指派。

　　(12)、192.168.0.2的計(jì)算機(jī)上設(shè)置完畢并進(jìn)行指派以后我們發(fā)現(xiàn)信息發(fā)生了變化，協(xié)商IP安全性通過，我們又接收到了來自192.168.0.2的回應(yīng)。

　　(13)、如果我們在這之前打開了IP安全，也就是IPSecmon的話，我們會(huì)發(fā)現(xiàn)窗口里面會(huì)有相應(yīng)的記錄顯示。右下角也會(huì)顯示“IP安全設(shè)置已經(jīng)在這臺(tái)計(jì)算機(jī)上啟用”。

　　至此，例子一所要求的目的已經(jīng)達(dá)到，我們成功的創(chuàng)建了IPSec來保證數(shù)據(jù)的安全性，這個(gè)時(shí)候其它沒有啟用IPsec的計(jì)算機(jī)如果對這臺(tái)計(jì)算機(jī)發(fā)出Ping的命令，將得不到回應(yīng)，如下圖(我采用的方法是不指派計(jì)算機(jī)192.168.0.1設(shè)置好的IPSec策略)：

　　2、 數(shù)據(jù)包篩選：這個(gè)功能對于我們來說也是相當(dāng)有用的，記得很多網(wǎng)友都在詢問如何關(guān)閉計(jì)算機(jī)的某個(gè)端口或者是如何防止別人Ping我的計(jì)算機(jī)等等之類的問題，是一個(gè)解決的方式，但是需要付出額外的費(fèi)用和資源?？縏CP/IP屬性里面的高級選項(xiàng)的篩選可以做到一些，但是只能夠設(shè)置打開哪些端口，不能設(shè)置關(guān)閉哪些端口。其實(shí)這個(gè)要求完全可以靠IPSec來實(shí)現(xiàn)，有的朋友可能要問，那么還防火墻做什么?前面提到，和專業(yè)防火墻比起來，使用Ipsec配置相對來說要麻煩一些，不適合一般用戶使用，另外目前的防火墻已經(jīng)集成了很多其他的功能，還有就是硬件的防火墻會(huì)消耗更少的系統(tǒng)資源。

　　下面的例子會(huì)介紹如果使用IPSec進(jìn)行數(shù)據(jù)包篩選，關(guān)閉ICMP，也就是大家很關(guān)心的如何關(guān)閉Ping的回應(yīng)信息，這個(gè)其實(shí)用到的是ICMP(8，0)，這里不詳細(xì)介紹了ICMP了，正式進(jìn)入實(shí)踐操作(例子有兩臺(tái)計(jì)算機(jī)，第一臺(tái)計(jì)算機(jī)IP為192.168.0.1，第二臺(tái)計(jì)算機(jī)IP為192.168.0.2，如果沒有特殊說明，操作是在第二臺(tái)計(jì)算機(jī)上進(jìn)行。)：

　　(1)、進(jìn)入IPSec控制界面，由于我們需要的篩選策略和操作在系統(tǒng)內(nèi)置的里面沒有合適的，所以下面我們進(jìn)行自己添加。首先右鍵點(diǎn)擊“IP安全策略”，選中“管理IP篩選器表和篩選器操作”。

　　(2)、選中管理IP篩選器列表，點(diǎn)擊“添加”按鈕。

　　(3)、為我們的IP篩選器列表起一個(gè)名字，比如“ICMP”，也可以在“描述”信息里面輸入相應(yīng)的描述信息。點(diǎn)擊“添加”按鈕。

　　(4)、進(jìn)入“IP篩選器向?qū)А?，點(diǎn)擊“下一步”按鈕。

　　(5)、選擇“源地址”信息，我們選擇“我的IP地址”，也就是代表的本機(jī)，192.168.0.2。點(diǎn)擊“下一步”按鈕。

　　(6)、選擇“目標(biāo)地址”信息，我們選擇“任何IP地址”，如果大家配置過防火墻，大家會(huì)發(fā)現(xiàn)這個(gè)步驟和防火墻的配置是完全一樣的。點(diǎn)擊“下一步”按鈕。

　　(7)、選擇“協(xié)議類型”，我們選擇“ICMP”。這個(gè)時(shí)候大家會(huì)發(fā)現(xiàn)有很多協(xié)議類型供大家選擇，也包括了TCP、UDP等等。點(diǎn)擊下一步。

　　(8)、這個(gè)時(shí)候就完成了IP篩選器的建立，可以點(diǎn)擊“完成”按鈕。這個(gè)時(shí)候值得注意的是，由于我選擇的是ICMP，但是假如這個(gè)時(shí)候我選擇的是TCP，后面還會(huì)出現(xiàn)端口的選擇，設(shè)置進(jìn)站和出站的端口