搜索
WindowsServer2008安全策略——实现IPSec通信IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。IPSec是一个标准框架,它在两个对等体之间的网络层上提供如下安全特性:数据的机密性数据的完整性数据验证抗回放检测对等体验证IETF在不同的FRC中定义了IPSec的标准,因为它在设备或网络之间提供了网络层的保护,并且是一个开放的标准,所以它通常用于今天使用的IPv4和IPv6的网络。关于IPSec具体信息可以参考我的博文“CiscoVPN完全配置指南-IPSec”。Windwos服务器也支持IPSec特性,特别是在windowsserver2008对IPSec特性更加强大。在Windows2000和WindowsServer2003中,当前部署早期的IPSec规则。早期的IPSec规则由policyagent服务管理。这些IPSec规则是支持基于计算机的Kerberos身份验证、x509证书或预共享密钥身份验证的Internet密钥交换(IKE)规则。在IPSec策略管理MMC管理单元中配置这些IPSec规则。在Windows2000中相同的方式在和WindowsServer2003中,将应用基于IKE的policyagent规则。虽然多个策略可应用于给定的计算机,仅能在最后一个策略应用的是成功。这根据最后编写器入选方法。此外,IKE策略设置不能合并。在WindowsServer2008中使用连接安全规则部署IPSec。连接安全规则支持IKE称为经过身份验证的IP(AuthIP)的扩展。AuthIP添加了对以下身份验证机制的支持:交互式用户Kerberos凭据或交互式用户NTLMv2凭据用户x509证书计算机安全套接字层(SSL)证书NAP运行状况证书匿名身份验证(可选身份验证)可以配置安全规则为Windows防火墙和高级的安全管理单元通过使用以下工具:基于域的组策略具有高级安全性的Windows防火墙管理单元请注意在具有高级安全性的Windows防火墙管理单元是默认存储位置为可以通过使用wf.msc命令访问的策略。在本地组策略管理的中(Gpedit.msc)netshadvfirewall命令下面通过几个实验来验证其IPSec的特性。一、主机与主机的IPSec通信如下拓扑图所示。为配置完成后,需要对配置进行验证,需要window防火墙允许ping通过,先配置防火墙允许ping通过。在管理工具——高级windows防火墙——入站规则——选择回显请求-ICMPv4-IN——启动规则。这样允许了ping通过。如下图所示。在另外一台服务器也采用相同的配置,打开防火墙的ping通过。配置完成后,使用ping命令测试一下是否能够通信。管理工具——高级windows防火墙——连接安全规则——右键新规则,如下图所示。在新建连接安全规则向导中选择“隔离”,如下图所示。点击一下步,选择“入站和邮站连接要求身份验证”,如下图所示。点击下一步,选择“高级”,然后点击“自定义”。如下图所示。在自定义高级身份验证方法——第一身份验证方法——添加,弹出如下对话框,选择预共享密钥,然后输入口令,如下图所示。配置完成后,点击确定,点击下一步,选择应用此规则的配置文件,如下图所示。点击下一步,为此规则命名,点击完成,则配置完成。如下图所示。另外一台计算机也采用相同的配置,在这里不重复介绍了。配置完成后,可以从一台主机使用ping命令与对方主机进行通信,如下图所示。如何验证其通信是使用IPSec加密进行通信的,可以在管理工具——高级windows防火墙——监视——安全关联——主模式或快速模式中可以查看到其连接状态。如下图所示也可以使用抓包工具ethereal采集数包进行验证,如下图所示。下面三个图中抓到的快速模式、主模式和ESP的数据报文。可以通过手动方式改变IPSec属性值,管理工具——高级windows防火墙——防火墙右键属性,如下图所示。在IPSec设置中,可以免除ICMP协议的加密,如下图所示。点击自定,可以IPSec的密钥交换、数据保护和身份验证方法进行自定义设置,如下图所示。高级密钥交换设置中可以选择密钥交换算法,可以密钥交换的安全方法,也可设置密钥的生存时间,如下图所示。数据保护设置中可以添加数据完整性算法,如下图所示。二、站点与站点间的IPSecc通信如下拓扑图所示。与上面例子一样,在防火墙上设置允许ping通过,以便进行测试,管理工具——高级windows防火墙——连接安全规则——名键新规则,如下图所示。在规则类型中选择“隧道”,如下图所示。在隧道终结点中配置远程站点与本地站点的地址,首先配置本地站站点,点击添加,如下图所示。输入本地站点的子网网段,如下图所示。然后添加远程站点的子网网段,如下图所示。然后输入本站点的网关和远程站点的网关,如下图所示。在身份验证方法中选择预共享密钥方式,如下图所示。配置规则应用的配置文件,如下图所示。最后为此规则命名,点击完成,完成配置,如下图所示。对端计算机也采用相同的方式配置,配置完成后,可以采用ping命令和抓包的方法进行验证,在这里不重复其内容。需要注意的是:在这个实验中,需要在两台服务器上启用路由与远程访问特性,并将其设置为LAN路由模式,使用其具路由器功能。三、使用组策略来实现IPSec通信如下拓扑图所示,需要所有客户机为WindowsVista或Windows7操作系统此实验的目的实现客户端彼此之间通信需要使用IPSce加密。首先需要安装服务器的操作系统和客户端的操作系统。安装完成服务器的操作系统后需要将其升为域控制器,本实验的域名为xuanbo.com,并配置相应的DNS服务。域控制器配置完成后,需要将所有的客户端加入到域中,使用客户主机成为域成员计算机。在域控制服务器上,开始——管理工具——组策略管理器,右键点击DefaultDomainPolicy,选择“编辑”,如下图所示。打开组策略编辑器,选择计算机配置——windows设置——安全设置——高级安全windows防火墙——右键点击“连接安全规则”——选择“新规则”,如下图所示。在连接安全规则向导——规则类型——选择“身份验证例外”点击下一步,如下图。在免除计算机中输入要排除的IP地址,在本实验需要排除域控制器的地址和路由网关的地址。如下图所示。然后点击确定,点击下一步、下一步,为此策略命令。如下图。点击完成,配置完成,如下图所示。然后右键点击此策略,选择属性,如下图所示。在计算机属性中,终结点1选择添加,输入不需要进行IPSec加密通信的网段,如下图所示。点击“确定”配置完成。这时需要等待一段时间,需要域控制器将策略下发到成员计算机或服务器中,也可以使用命令gpupdate/forc进行强制下发策略。如下图所示。一定要等到在成员服务器或客户端上看到此策略,如下图所示。查看到每台成员服务器或计算机收到了此策略后,进行下一步配置。打开组策略编辑器,选择计算机配置——window设置——安全设置——高级安全windows防火墙——右键点击“连接安全规则”——选择“新规则”,如下图所示。在规则类型中选择“服务器到服务器”,如下图所示。然后在终结点上需要配置需要IPSec加密通信的网段,如下图所示。在要求中选择入站和出站连接要求身份验证,如下图。在身份验证方法中,选择高级,并点击自定义,如下图。点击添加,在自定义身份验证方法中选择计算机(kerverosV5)。点击确定。然后点击下一步,并为此策略命名。这时会在组策略编辑器中看到两条规则,如下图所示。然后再等等一段时间,或再使用命令进行下发组策略,如下图所示。当域控制器下发策略后,会在成员服务器或客户机上看到两条策略,如下图所示。这时用一台主机去ping另外一台主机,如下图所示。可以在管理工具——高级windows防火墙——监视——安全关联——主模式或快速模式中可以查看到其连接状态。也可以使用抓包工具采集数据包进行验证,在这里就不重复此过程。以上是通过IPSec特性实验主机与主机、站点与站点的加密,同时也可以在域的环境中使用组策略进行下发策略,实验更安全的通信,上面的实验中基本上使用的都是预共享密钥,也可以使用证书来进行加密,关于证书的加密会在我的博文WindowsServer2008安全策略——实现VPN通信一文中详细讲解。