</P><P> 定义IPSec 筛选器列表:</P><P>a)在“A和B的安全通信” 属性框中,清除“使用添加向导”复选框,单击“添加”按钮,添加IP IPSec 筛选器<BR>b)命名筛选器,比如为“A到B的筛选器”, 清除“使用添加向导”复选框,单击“添加”按钮,出现筛选器属性对话框<BR>c)“源地址”选择“一个特定的子网”,“目标地址” 也选择“一个特定的子网”,分别填上IP地址,清除“镜像”复选框,在“协议”标签中“选择协议类型”为“任意”,如下图2所示,单击“确定”,再单击“关闭”,至此已添加好名为“A到B的筛选器”的筛选器。</P><P align=center><IMG alt="" src="http://www.pconline.com.cn/diy/network/skill/0511/pic/kk_Snap2.jpg" border=0><BR>图2:“A到B的筛选器”具体配置信息</P><P align=left> 定义IPSec 筛选器操作:</P><P>a)在“编辑规则属性”对话框中,单击“IP筛选器列表”标签,选中新建的“A到B的筛选器”, 再单击“IP筛选器操作”标签,单击“添加”按钮,在“筛选器操作属性” 对话框中,选择“常规”标签,命名该操作,比如“A和B筛选器操作”, 选择“安全措施”标签,单击“添加”按钮<BR>b)选择“自定义”单选框,单击“设置” 按钮<BR>c)在此对话框中,设置AH完整性算法和ESP完整性算法和加密算法,比如AH选MD5,ESP选SHA1和3DES,单击“确定”,再单击“确定”,出现如下对话框(图3),单击“确定”, 至此已添加好名为“A到B的筛选器操作”的筛选器操作。</P><P align=center><IMG alt="" src="http://www.pconline.com.cn/diy/network/skill/0511/pic/kk_Snap3.jpg" border=0><BR>图3 筛选器操作属性对话框</P><P align=left><STRONG>
</STRONG></P><P align=left><STRONG>配置身份验证方法:</STRONG></P><P align=left> 身份验证方法定义在筛选器适用的通讯中需如何验证标识。双方都必须至少有一个通用身份验证方法,否则通讯将失败。Windows 2000 提供Kerberos、公钥证书、指定预共享密钥三种身份验证方法,使用Kerberos需合理设置A、B机之间的域关系,使用公钥证书需申请和安装相应证书,甚至需建立CA(Certification Authority)中心,为简化起见,此处只介绍使用指定预共享密钥的身份验证方法配置步骤。</P><P align=left>a)在“编辑规则属性”对话框中,确保在“IP筛选器列表”标签中选中“A到B筛选器”,在“IP筛选器操作”标签中选中“A到B筛选器操作”, 然后单击“身份验证方法”标签。<BR>b)单击“添加” 按钮,选择“此字串用来保护密钥交换(预共享密钥)”单选框,输入“123456789”, 单击“确定”。 至此已配置好身份验证方法,如下图4。</P><P align=left></P><P align=center><IMG alt="" src="http://www.pconline.com.cn/diy/network/skill/0511/pic/kk_Snap4.jpg" border=0><BR>图4 身份验证方法属性对话框</P><P> 设置隧道终点:</P><P>a)在“编辑规则属性”对话框中,单击“隧道设置”标签。<BR>b)选择“隧道终点有此IP地址指定”,并输入B机互联网端地址202.1.1.2。如图5</P><P align=center><IMG alt="" src="http://www.pconline.com.cn/diy/network/skill/0511/pic/kk_Snap5.jpg" border=0><BR>图5:设置隧道终点界面</P><P><STRONG>配置入站筛选器:</STRONG></P><P> IPSec 需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯,并允许接收端的计算机响应安全通讯请求;或者按照 IP 筛选器列表匹配通讯。出站筛选器适用于传出的通讯,并触发一个在通讯发送之前进行的安全协商。例如,如果计算机 A 要与计算机 B 安全地交换数据:<BR>计算机 A 上的活动 IPSec 策略必须有针对计算机 B 的任何出站包的筛选器。Source=A 且 Destination=B。 <BR>计算机 A 上的活动 IPSec 策略必须有针对计算机 B 的任何入站包的筛选器。Source=B 且 Destination=A。 <BR>每方都必须有反向的筛选器:<BR>计算机 B 上的活动 IPSec 策略必须有针对计算机 A 的任何入站包的筛选器。Source=A 且 Destination=B。 <BR>计算机 B 上的活动 IPSec 策略必须有针对计算机 A 的任何出站包的筛选器。Source=B 且 Destination=A。<BR>因此,至此还只是设置好了A机上的出站筛选器,还需在A机按2至5的步骤设置A机上的入站筛选器,只需将源和目的IP子网地址互换,且此时的隧道终点IP地址为202.1.1.1即可。此处略。</P><P><STRONG>
</STRONG></P><P><STRONG>B机上的配置步骤:</STRONG></P><P> 完全按在A机的配置过程,在B机上做同样配置,只需注意源和目的IP子网地址及隧道终点IP地址不要设置混淆即可。</P><P><STRONG>测试IPSec策略:</STRONG></P><P><STRONG> </STRONG>按要求分别在A、B两机配置好IPSec策略后,需测试其是否正常工作,在测试前需将A、B两机配置成路由器,并起用IP路由功能,以在两网卡间路由IP包(起用方法在“管理工具”中的“路由和远程访问”工具中起用)。同时需在A机上添加到B机所在内网段的路由项,在B机上添加到A机所在内网段的路由项。在做好这些准备工作后,IPSec策略测试步骤如下:</P><P><BR>a)运行IPSec策略管理控制台,在左边窗口选择“IP安全策略,在本地机器”,在右边窗口出现创建的名为“A和B的安全通信”的IPSec策略,右击“A和B的安全通信”,选择“指派”,则其“策略已指派”栏由“否”变为“是”。在A、B两机上均需做此操作。<BR>b)在C机上打开命令窗口,做PING操作(即ping –t 192.168.5.1)。该操作中源和目的IP地址匹配我们在A、B两机上设置的筛选器,其将触发B、A之间的安全通信。<BR>c)在B机上打开IP安全监控工具(方法:“开始”*“运行”*”ipsecmon”即可)。此时在其窗口上可看到目前在用A、B机之间建立的SA详细信息及发送和接收的身份验证字节数和加密的字节数等。图示如下面图6。</P><P align=center></P><P align=center><IMG alt="" src="http://www.pconline.com.cn/diy/network/skill/0511/pic/kk_Snap6.jpg" border=0><BR>图6:在B机上打开的IP安全监控工具窗口信息</P><P align=left> 本例中设置的IP筛选器协议选择的是缺省的“任意”值,其实还可以非常灵活地设置源和目的协议、端口号等,以设置更严格的过滤器规则。</P><P><STRONG>结语:</STRONG></P><P> Windows 2000 的IPSec服务为我们建立基于IPSec的VPN提供了非常方便的手段,利用它建立起来的安全通信对应用程序是完全透明的,应用程序不需做任何修改就可以获得安全通信功能。同时,Windows2000中的IPSec功能在内部局域网中建立关键主机之间的安全加密通信也是非常方便有效的。她是通过采用IPSec的传输模式工作方式来实现的,不需改变或增加IP地址,可以非常方便地实现对关键主机之间的不同类型流量实施不同的安全策略。</P>
实例操作!在Win2000建基于IPSec的VPN
<P><STRONG>编者按:</STRONG><FONT color=#ff0000>VPN技术可以互联网建立局域网,这样的应用早已经在大企业中应用,但中国环境中SME的中小企业占99%,在接下来的发展中VPN也将是一大热点。这次我们在win2000上进行实例操作,很多人都可能会疑问为什么不是热门的win XP?其实,目前大多数服务器、多为较稳定的Win2000操作系统,而Win 2003则因为价格昂贵还甚少普及……</FONT></P><P><IFRAME src="http://adv.pconline.com.cn/adpuba/show?id=pc.fuwuqi.neiye.hzh.&pid=cs.pconline.fuwuqi.wengzhanghzh.&media=html"align=left SCROLLING="no" WIDTH="320" HEIGHT="280" MARGINWIDTH="0" MARGINHEIGHT="0" FRAMEBORDER="0" ALIGN="default">广告:ad_top</IFRAME><STRONG>前言:</STRONG></P><P> VPN是虚拟专用网(Virtual Private Network)的缩写,VPN就是利用开放的公众网络建立专用数据传输通到,将企业的分支机构、商业伙伴、移动办公等连接起来,并且提供安全的端到端的数据通信的一种广域网技术。目前,VPN的应用越来越广泛,而且大多数的VPN都是用路由器或防火墙等硬件加软件实现的。实现虚拟专用网技术(VPN)的协议虽然很多,但其具体实现都是采用隧道技术,将企业网的数据封装在隧道中进行传输。隧道协议可分第二层和第三层隧道协议。第二层隧道协议包括:点对点隧道协议PPTP(Point-to-Point Tunneling Protocol)、第二层转发协议L2F(Layer 2 Forwarding)、第二层隧道协议L2TP(Layer 2 Tunneling Protocol);第三层隧道协议包括:通用路由封装GRE(Generic Routing Encapsulation)、IPSec(IP Security )。</P><P> 微软在Windows 2000中全面实现了PPTP 、L2TP、 IPSec协议,在以前的Windows NT4中只实现了PPTP,本文介绍如何在Windows 2000中配置建立基于IPSec的VPN应用。</P><P><STRONG>IPSec 简介:</STRONG></P><P> IPSec实际上是一套协议包而不是单个的协议,IPSec是在IP网络上保证安全通信的开放标准框架,它在IP层提供数据源验证、数据完整性和数据保密性。其中比较重要的有RFC2409 IKE(Internet Key Exchange)互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH(Authentication Header)验证包头、RFC2406 ESP (Encapsulating Security Payload)加密数据等协议。IPSec独立于密码学算法,这使得不同的用户群可以选择不同一套安全算法。</P><P> IPSec主要由AH(认证头)协议,ESP(封装安全载荷)协议以及负责密钥管理的IKE(因特网密钥交换)协议组成。AH为IP数据包提供无连接的数据完整性和数据源身份认证。数据完整性通过消息认证码(如MD5、SHA1)产生的校验值来保证,数据源身份认证通过在待认证的数据中加入一个共享密钥来实现。ESP为IP数据包提供数据的保密性(通过加密机制)、无连接的数据完整性、数据源身份认证以及防重防攻击保护。AH和ESP可以单独使用,也可以配合使用,通过组合可以配置多种灵活的安全机制。密钥管理包括IKE协议和安全联盟SA(Security Association)等部分。IKE在通信双方之间建立安全联盟,提供密钥确定、密钥管理机制,是一个产生和交换密钥材料并协商IPSec参数的框架。IKE将密钥协商的结果保留在SA中,供AH和ESP通信时使用。</P><P> IPSec工作模式支持传输模式和隧道模式,在公共IP网上建立私有IP地址的VPN就只能使用隧道模式。</P><P>
Pages:
[1]