IPSec原理与实践2－配置步骤-c1813-ChinaUnix博客

庐阳侠门c1813.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

c1813

博客访问： 575909
博文数量： 88
博客积分： 7206
博客等级：少将
技术积分： 1162
用户组：普通用户
注册时间： 2007-10-26 16:04

文章分类

全部博文（88）

Linux（2）
Micrsoft（43）

Windows Server 2（1）

Window Client（1）

SQL SERVER（0）

Exchang Server（15）

ISA（9）

Active Directory（16）
CISCO（16）

EIGRP（0）

BGP（0）

OSPF（4）
office（13）
人生路上（3）
网络技术（11）
未分配的博文（0）

文章存档

2011年（3）

2010年（24）

2009年（16）

2008年（45）

我的朋友

相关博文

IPSec原理与实践2－配置步骤

分类： WINDOWS

2008-11-10 10:15:52

我们介绍了IPSec的工作原理及其相关的基本概念和术语，在接下来的叙述中，我们将集中讨论IPSec的配置步骤。
　　
　　1　IPSec基本配置步骤
　　
　　前文中提到的AH和ESP报头中值得注意的一点是没有指明用来产生认证数据和负载数据的算法。可以使用一些不同的算法。这意味着，如果出现了一个新的算法，它可以不作明显改动地合成进IPSec标准中。目前，MD5和SHA是用来产生认证数据的两种算法。ESP加密算法包括DES，3DES，RC5和IDEA。下面讨论IPSec配置的步骤以及如何选取不同的算法。
　　
　　（1）打开IPSec配置对话框
　　
　　选择"开始"|"程序"| "管理工具"|"本地安全策略"菜单，打开"本地安全设置"对话框。单击以选择"IP安全策略：在本地机器"，如图1所示。
　　　
　　图1　 "本地安全设置"对话框
　　
　　最初的窗口显示三种预定义的策略项：客户端、、安全。在每个预定义的策略的描述中详细解释了该策略的操作原则。如果想要修改系统预定义的策略细节，可以右击相应的策略并选择"属性"进行修改。
　　
　　下面，我们将通过新建一个策略对各种策略的属性进行介绍。
　　
　　（2）右击"IP安全策略，在本地机器"，选择"创建IP安全策略"，打开"安全策略向导"。单击"下一步"继续。如图2、3所示。
　　　
　　图2　创建IP安全策略
　　　
　　图3　安全策略向导
　　
　　（3）在弹出的对话框中为新的IP安全策略命名并填写策略描述。如图4所示。
　　
　　（4）单击"下一步"，接受对话框中"默认的响应"复选项，之后单击"下一步"。如图5所示。
　　　
　　图4　" 安全策略名称"对话框
　　　
　　图5　 "安全通讯请求"对话框
　　
　　（5）接受默认的选项" 2000 默认值Kerberos V5"作为默认响应规则身份验证方法，单击"下一步"继续。如图6所示。
　　
　　（6）保留"编辑属性"的选择并单击"完成"按钮完成IPSec的初步配置。如图7所示。
　　　
　　图6　设置身份验证方法
　　　
　　图7　完成IP安全策略向导
　　
　　（7）完成初步配置后，将弹出新IP安全策略属性对话框。如图8所示。
　　　
　　图8　 IP安全策略属性对话框
　　　
　　图9　 "新规则属性"对话框
　　
　　（8）接下来需要添加用户自己定义的"IP安全规则"。这里，我们在不选择"使用'添加向导'"情况下单击"添加"按钮。出现如图9所示的"新规则属性"对话框。在这里我们可以对新规则的各项属性进行设置。其中包括：
　　
　　1）IP筛选列表
　　
　　在"IP筛选列表"标签页上单击"添加"按钮打开"IP筛选器列表"对话框。如图10所示。
　　
　　输入新IP筛选器列表的名称、描述信息并在不选择"使用'添加向导'"情况下单击"添加"按钮。新弹出的"筛选器属性"对话框如图11所示，包含三个标签页：
　　
　　●"寻址"：可以对IP数据流的源地址、目标地址进行规定，如图11所示。
　　
　　●""：可以对数据流所使用的进行规定，如果选择了"TCP"或"UDP"还可以对源端和目的端使用的端口号作出规定，如图12所示。
　　
　　●"描述"：对新筛选器作出简单描述。
　　　
　　图10　 "IP筛选器列表"对话框
　　　
　　图11　 "筛选器属性"对话框
　　　
　　图12　 "筛选器属性"-"协议" 标签页
　　　
　　图13　确保选中新设置的"IP筛选器"
　　
　　在完成对"筛选器属性"的设置后，要确保选中新设置的"IP筛选器"，如图13所示。
　　
　　2）筛选器操作
　　
　　"筛选器操作"标签页是整个IPSec设计的关键。它将对符合"IP筛选器"的数据流进行相应处理。如图14所示。这里，我们在不选择"使用'添加向导'"情况下单击"添加"按钮。出现如图15所示的"新筛选器操作属性"对话框。
　　　
　　图14　 "筛选器操作" 标签页　
　　图15　 "新筛选器操作属性"对话框
　　
　　在这里我们可以对新筛选器操作的细节进行设置。其中，可以选择"许可"、"阻止"对符合"IP筛选器"的数据流进行过滤。可以发现，实际上这就可以很简单的实现一个普通防火墙的功能。除此之外，如果选择"协商安全"还可以对允许的通信进行进一步的安全设置。可以单击"添加"按钮，添加相应的安全措施，如图16所示。
　　　
　　图16　 "安全措施" 对话框
　　　
　　图17　 "自定义安全措施设置"对话框
　　
　　安全措施包括：
　　
　　●"高"：选择以最高的安全级别来保护数据。使用"封装安全措施负载量"(ESP) 来提供机密性（数据加密）、身份验证、防止重发和完整性，使其适合于高的安全级别。ESP 不提供 IP 报头（地址）的完整性。如果数据和地址均需要保护，可以创建自定义安全方法。如果不需要加密，可以使用"中"。
　　
　　●"中"：使用验证报头（AH）来提供完整性、防止重发和身份验证。这适合于安全计划需要标准的安全级别时。AH 提供IP报头和数据的完整性，但是不加密数据。
　　
　　●"自定义"：如果需要加密和地址完整性、更强大的算法或密钥寿命，可以指定自定义的安全方法。如图17所示，其中包括：
　　
　　■数据和地址不加密的完整性（AH）算法：
　　
　　◆消息摘要 5 (MD5)，产生 128 位的密钥。
　　
　　◆安全散列算法 (SHA1)，产生 160 位的密钥。密钥越长越安全，所以应首要考虑 SHA1。
　　
　　■数据完整性算法： MD5或SHA1。
　　
　　■数据加密算法：
　　
　　◆3DES 是最安全的 DES 组合，3DES 每个数据块处理三次，因此会降低系统性能。
　　
　　◆DES 只使用56位密钥，用于不需要很高的安全性和3DES开销的情况下，或者出于互通性考虑。
　　
　　■密钥生存期：密钥生存期决定新密钥的产生时间，可以用千字节数或/和秒数指定密钥生存期。例如，如果通讯用了 10000 秒，而密钥寿命指定为 1000 秒，将会产生 10 个密钥来完成该传送。这样可以确保即使攻击者获得了部分通讯，也无法获得整个通讯。
　　
　　可以添加多个安全措施，并通过"上移"、"下移"按钮指定和另一计算机协商时采取的安全措施首选的顺序。如图18所示。
　　　
　　图18　指定安全措施首选的顺序
　　　
　　图19　确保选中新添加的筛选器操作项
　　
　　在"安全措施"标签页还有三个选项：
　　
　　●"接受不安全的通信，但总是用IPSec响应"：接受由其它计算机初始化的不受保护的通信，但在本机应答或初始化时总是使用安全的通信。
　　
　　●"允许和不支持IPSec的计算机进行不安全的通信"：允许来自或到其它计算机的不受保护的通信。
　　
　　●"会话密钥完全向前保密"：确保会话密钥和密钥材料不被重复使用。
　　
　　需要注意的是，当以上内容设置结束回到"筛选器操作"标签页后，必须选中刚才添加的新筛选器操作项，如图19所示。
　　
　　3）身份验证方法
　　
　　身份验证方法定义向每一位用户保证其他的计算机或用户的身份的方法。如图20所示。每一种身份验证方法提供必要的手段来保证身份。WINDOWS2000支持三种身份验证方法：Kerberos、使用证书和使用预共享的密钥。如图21所示。
　　　
　　图20　身份验证方法标签页
　　　
　　图21　身份验证方法属性对话框
　　
　　4）隧道设置
　　
　　如图22所示，当只与特定的计算机通信并且知道该计算机的IP地址时，选择"隧道终点由此IP地址指定"并输入目标计算机的IP地址。
　　　
　　图22　隧道设置标签页
　　　
　　图23　连接类型标签页
　　
　　5）连接类型
　　
　　为每一个规则指定的连接类型可以决定计算机的连接（网卡或调制解调器）是否接受IPSec策略的影响。每一个规则拥有一种连接类型，此类型指定规则是否应用到LAN连接、远程访问连接或所有的网络连接上。如图23所示。
　　
　　（9）新创建的IP安全策略的属性对话框还有一个"常规"标签页，如图24所示。这里可以输入新IP安全策略的名称和描述，更改"检查策略更改时间"（输入因该策略的变化而对Active Directory进行轮询的频率）。
　　　
　　图24　 "IP安全策略属性"的"常规"标签页
　　　
　　图25　 "密钥设置"对话框
　　
　　此外还可单击"高级"按钮，在"密钥交换设置"对话框中对密钥交换进行高级设置，如图25所示。其中：
　　
　　●"主密钥完全前向保密"：选择保证没有重用以前使用的密钥材料或密钥来生成其它主密钥。
　　
　　●"身份验证和生成新密钥间隔（A）"：确定在其后将生成新密钥的时间间隔。
　　
　　●"身份验证和生成新密钥间隔（U）"：限制主密钥可以被当作会话密钥的密钥材料来重新使用的次数。（如果已经启用了"主密钥完全前向保密"，则会忽略该参数。）
　　
　　●保护身份的方法：单击"方法"按钮，在弹出的"密钥交换安全措施"对话框中安全措施首选顺序以及IKE安全算法细节作出选择，如图26所示。其中包括：
　　
　　■完整性算法：MD5或SHA1。
　　
　　■加密算法：3DES或DES。
　　
　　■Diffie-Hellman小组：选择作为将来密钥基础的"Diffie-Hellman小组"：
　　
　　◆使用"低"（Diffie-Hellman小组1）来为96位的密钥提供密钥材料。
　　
　　◆使用"中"（Diffie-Hellman小组2）来为128位的密钥（更强）提供密钥材料。
　　　
　　图26　 "密钥交换安全措施"对话框
　　　
　　图27　指派一种策略
　　
　　（10）最后，需要在新建立的IP安全策略上单击鼠标右键并选择"指派"使改IP安全策略启用。如图27所示。注意：一次只能指派一种策略。
　　
　　2　IP安全策略管理
　　
　　通过右击"IP安全策略，在本地机器"，选择"管理IP筛选器表和筛选器操作"可以对已制定的IP安全策略进行修改。如图28所示，其中各种选项前面都已经介绍，在此不再赘述。
　　　
　　图28　 "管理IP筛选器表和筛选器操作"对话框

阅读(1700) | 评论(0) | 转发(0) |

上一篇：IPSec原理与实践－原理

下一篇：excel11.xlb的相关

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6