郭建偉

在Windows中如何安全地傳輸數(shù)據(jù)，防止敏感數(shù)據(jù)被別有用心之人竊聽，是數(shù)據(jù)管理不可忽視的問(wèn)題。利用系統(tǒng)IPSec安全策略，就可以對(duì)數(shù)據(jù)傳輸進(jìn)行加密處理，保護(hù)數(shù)據(jù)的安全性。IPSec即InternetProtocol Security、Internet協(xié)議安全）是由IETF所設(shè)計(jì)和制定的。為了保證TCP/IP協(xié)議數(shù)據(jù)傳輸?shù)陌踩?，IPSec提供了一套完整的IP安全協(xié)議和密鑰管控機(jī)制，提供了一個(gè)完善的安全體系。IPSec不僅僅是單純的安全服務(wù)，其實(shí)更是相關(guān)安全協(xié)議的集合。

一、利用密鑰安全傳輸數(shù)據(jù)

這里以在同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間安全傳輸數(shù)據(jù)為例，來(lái)說(shuō)明如何使用預(yù)共享密鑰安全傳輸數(shù)據(jù)。在Serverl主機(jī)上打開高級(jí)安全windows防火墻窗口，點(diǎn)擊左側(cè)的“連接安全規(guī)則”項(xiàng)，在右側(cè)點(diǎn)擊“新建規(guī)則”連接，在彈出窗口中選擇“隔離”項(xiàng)，點(diǎn)擊下一步按鈕。如果選擇“入站和出站請(qǐng)求身份驗(yàn)證”項(xiàng)（圖1），表示數(shù)據(jù)的進(jìn)出都會(huì)請(qǐng)求對(duì)方采用IPSec，如果對(duì)方?jīng)]有提供IPSec功能導(dǎo)致協(xié)商失敗的話，就采用普通的連接方式。如果選擇“入站連接要求身份驗(yàn)證，出站連接請(qǐng)求身份驗(yàn)證”項(xiàng)，表示接收數(shù)據(jù)必須采用IPSec，否則拒絕連接。出站連接會(huì)請(qǐng)求對(duì)方采用IPSec，如果與對(duì)方協(xié)商失敗，就采用一般的連接方式。選擇“人站和出站要求身份驗(yàn)證”項(xiàng)，表示無(wú)論出站和入站連接，都必須采用IPSec，否則的話拒絕連接。

在下一步窗口中選擇“高級(jí)”項(xiàng)，點(diǎn)擊“自定義按鈕，在彈出窗口中的“第一身份驗(yàn)證”欄中點(diǎn)擊“添加”按鈕，在打開窗口（圖2）中選擇“預(yù)共享密鑰”項(xiàng)，輸入所需的密鑰。當(dāng)然，在Server2主機(jī)上也必須按照同樣的方法，設(shè)置相同的密鑰值。在上述向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，在配置文件窗口中選擇本機(jī)何時(shí)應(yīng)用該規(guī)則。如果選擇“域”項(xiàng)，表示當(dāng)本機(jī)連接到網(wǎng)絡(luò)時(shí)，如果能夠與域控制器通信，就應(yīng)用此規(guī)則。如果選擇“專用”項(xiàng)，表示當(dāng)本機(jī)連接到專用網(wǎng)絡(luò)時(shí)，如果無(wú)法與域控制器通信或者該機(jī)是非域成員，就應(yīng)用此規(guī)則。如果選擇‘公用”項(xiàng)，表示本機(jī)連接到公用網(wǎng)絡(luò)時(shí)應(yīng)用此規(guī)則。在下一步窗口中輸入本規(guī)則的名稱和描述信息，點(diǎn)擊“完成”按鈕，執(zhí)行該規(guī)則的創(chuàng)建操作。

注意，為了在Serverl和Server2上順利進(jìn)行安全通訊，必須在雙方的主機(jī)上均執(zhí)行上述配置操作，創(chuàng)建同樣的連接安全規(guī)則。在此期間，在任意主機(jī)上的高級(jí)安全Windows防火墻窗口左側(cè)選擇“監(jiān)視一安全關(guān)聯(lián)一主模式”或者“快速模式”項(xiàng)，就可以在監(jiān)控界面中查看加密傳輸參數(shù)了，包括本機(jī)地址，遠(yuǎn)程地址、本地端口、遠(yuǎn)程端口、協(xié)議、AH完整性、ESP完整性、ESP加密等信息。如果想更改IPSec默認(rèn)值的話，可以在窗口左側(cè)的“本地計(jì)算機(jī)”節(jié)點(diǎn)右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口（圖3）中的“IPSec免除”欄中的“從IPSec免除ICMP”列表中選擇“是”項(xiàng)，可以讓PING操作不受IPSec影響直接進(jìn)行探測(cè)操作。在“IPSec設(shè)置”面板中的“IPSec默認(rèn)值”欄中點(diǎn)擊“自定義”按鈕，在打開窗口中可以在密鑰交換、數(shù)據(jù)保護(hù)、身份驗(yàn)證方法等欄中點(diǎn)擊對(duì)應(yīng)的“自定義”按鈕，對(duì)這些參數(shù)進(jìn)行自定義設(shè)置。

二、利用安全策略。安全傳輸數(shù)據(jù)

除了使用防護(hù)墻控制規(guī)則，來(lái)保證數(shù)據(jù)傳輸?shù)陌踩灾猓€可以使用安全策略，來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。例如，在Serverl3：安裝了FTP服務(wù)，就需要對(duì)來(lái)自客戶端的連接進(jìn)行安全控制，保證數(shù)據(jù)安全傳送。注意，一臺(tái)主機(jī)制定了IPSec安全策略是沒(méi)有意義的，與之通訊的其他主機(jī)必須配置與之相同的安全策略，才可以實(shí)現(xiàn)數(shù)據(jù)加密傳輸。點(diǎn)擊“Win+R”鍵，運(yùn)行“control admintools”命令，在管理工具窗口中雙擊“本地安全策略”項(xiàng)，在窗口空白處的右鍵菜單中點(diǎn)擊“創(chuàng)建IP安全策略”項(xiàng)，在操作向?qū)Ы缑孑斎肫涿Q和描述信息，在下一步窗口中不選擇“激活默認(rèn)響應(yīng)規(guī)則”項(xiàng)，之后完成該策略的創(chuàng)建操作。

在該策略屬性窗口中的“規(guī)則”面板中不選擇“使用添加向?qū)А表?xiàng)。點(diǎn)擊“添加”按鈕，為該IP安全策略添加規(guī)則。規(guī)則是IPSec策略的核心，任何一條規(guī)則都包含篩選器、加密和身份驗(yàn)證三要素。在該規(guī)則屬性窗口中打開“IP篩選器”面板，連續(xù)點(diǎn)擊“添加”按鈕，在篩選器屬性窗口（圖4）中的“地址”面板中的“源地址”列表中選擇“任何IP地址”項(xiàng)，在“目標(biāo)地址”列表中選擇“我的IP地址”項(xiàng)。在“協(xié)議”面板中的“選擇協(xié)議類型”列表中選擇“TCP”項(xiàng)，在“設(shè)置IP協(xié)議端口”欄中選擇‘從任意端口”和“到此端口”項(xiàng)，并將端口設(shè)置為21。當(dāng)然，可以根據(jù)需要設(shè)置別的端口，點(diǎn)擊確定按鈕保存配置信息。

返回到規(guī)則屬性窗口，在“篩選器”面板中點(diǎn)擊“添加”按鈕，在彈出窗口中的“安全方法”面板中點(diǎn)擊“添加”按鈕。選擇“完整性和加密”項(xiàng)（圖5），在“常規(guī)”面板可以為該加密操作設(shè)置名稱和描述信息。在規(guī)則屬性窗口中打開‘身份驗(yàn)證方法”面板，可以看到，系統(tǒng)已經(jīng)默認(rèn)使用Kerberos這種身份驗(yàn)證方式。但是，該方式只能使用于域環(huán)境。如果連接的雙方有—方?jīng)]有加入域中，該方式就處于無(wú)效狀態(tài)。選擇該方式，點(diǎn)擊“編輯”按鈕，在其屬性窗口（圖6）中選擇“使用此字符串（預(yù)共享密鑰）”項(xiàng)，在其下輸入密碼信息，注意預(yù)共享密鑰不能是全數(shù)字格式，應(yīng)該使用字母加符號(hào)的格式，來(lái)提高安全性。

在“隧道設(shè)置”面板中可以看到，系統(tǒng)默認(rèn)選擇“此規(guī)則不指定IPSec隧道”項(xiàng)，這表明IPSec默認(rèn)使用的是傳送模式，該模式主要適用于局域網(wǎng)。在廣域網(wǎng)中，需要使用隧道模式來(lái)提高數(shù)據(jù)加密的安全性。因此，如果是在Interne止互訪的話，雙方需要選擇“隧道終點(diǎn)由此IP地址指定”項(xiàng)，并分別輸入各自在Interne止的IP地址。完成以上操作后，必須在“IP篩選器列表”和“篩選器操作”面板中分別選擇上述預(yù)設(shè)的項(xiàng)目，點(diǎn)擊“應(yīng)用”按鈕保存配置。

在本地安全策略窗口中選擇“IP安全策略”項(xiàng)，在右側(cè)窗口中選擇我們創(chuàng)建的策略項(xiàng)目，在其右鍵菜單中點(diǎn)擊‘‘分配”項(xiàng)，激活該安全策略。之后在Server2等別的主機(jī)上也需要添加與上述完全對(duì)應(yīng)的IPSec規(guī)則，即雙方必須使用完全一致的加密方式、身份驗(yàn)證方式、連接密碼等。所不同的是在客戶端創(chuàng)建篩選器時(shí)，在其屬性窗口的“尋址”面板中的“源地址”需要選擇“我的IP地址”項(xiàng)，在“目標(biāo)地址”列表中選擇“一個(gè)特定的IP”項(xiàng)，并輸入Serverl主機(jī)的IP地址。

這樣，當(dāng)Server2等主機(jī)使用FTP連接工具連接Serverl4的FTP服務(wù)時(shí)，就可以順利連接，并可以順利上傳和下載數(shù)據(jù)。因?yàn)殡p方都啟用了IPSec安全策略，因此傳輸?shù)臄?shù)據(jù)是加密的，別人是無(wú)法攔截和分析破譯的。當(dāng)然，對(duì)于內(nèi)網(wǎng)用戶來(lái)說(shuō)，為了讓局域網(wǎng)中的所有主機(jī)都執(zhí)行相同的IPSec策略，可以在域控制器上打開DC的組策略窗口，打開“計(jì)算機(jī)配置-Windows設(shè)置一安全設(shè)置-IP安全策略”項(xiàng)，在其中創(chuàng)建或者選擇合適的安全策略，之后指派該安全策略即可。

三、使用隧道技術(shù)。安全傳輸數(shù)據(jù)

在同一網(wǎng)段中，主機(jī)之間可以使用IPSec策略安全傳輸數(shù)據(jù)。如果雙方處于不同的網(wǎng)段中，則需要使用IPSec隧道傳輸模式，來(lái)快速安全地進(jìn)行訪問(wèn)。例如Serverl主機(jī)位于172.16.1.0/24網(wǎng)段，其外網(wǎng)地址為100.111.69.10，Server2主機(jī)位于172.168.2.0/24網(wǎng)段，其外網(wǎng)地址為100.11 1.79.10。Serverl4打開高級(jí)安全Windows.防火墻窗口，點(diǎn)擊左側(cè)的“連接安全規(guī)則”項(xiàng)，在右側(cè)點(diǎn)擊“新建規(guī)則”連接，在向?qū)Ы缑妫▓D7）中選擇“隧道”項(xiàng)，在下一步隧道類型窗口中選擇“自定義設(shè)置”項(xiàng)，點(diǎn)擊下一步按鈕，選擇進(jìn)行身份驗(yàn)證的時(shí)機(jī)。

在下一步窗口（圖8）中的“終結(jié)點(diǎn)1中的計(jì)算機(jī)”欄中點(diǎn)擊“添加”按鈕，輸入其連接的網(wǎng)絡(luò)內(nèi)的主機(jī)地址或者網(wǎng)絡(luò)標(biāo)識(shí)符（例如“172.16.1.0/24”），在“什么是本地隧道終結(jié)點(diǎn)”欄中的“IPv4”欄中輸入Serverl的外網(wǎng)地址，例如100.111.69.10。在“什么是遠(yuǎn)程隧道終結(jié)點(diǎn)”欄中點(diǎn)擊“編輯”按鈕，在彈出窗口中的“IPv4”欄中輸入Server2的外網(wǎng)地址，例如100.111.79.10。在“終結(jié)點(diǎn)2中的計(jì)算機(jī)”欄中點(diǎn)擊“編輯”按鈕，在彈出窗口中的“IPv4”欄中點(diǎn)擊“添加”按鈕，輸入Server2連接的網(wǎng)絡(luò)內(nèi)的主機(jī)IP或者網(wǎng)絡(luò)標(biāo)識(shí)符，例如172.16.2.0/24。在下一步窗口中選擇“高級(jí)”按鈕，在彈出窗口中按照上述方法，設(shè)置合適的預(yù)共享密鑰。之后輸入規(guī)則名和描述信息，完成該規(guī)則的創(chuàng)建操作。

在Server 2主機(jī)上打開高級(jí)安全Windows防火墻窗口，設(shè)置與上述相同的IPSec安全連接規(guī)則。之后，在與其連接的兩個(gè)網(wǎng)絡(luò)的主機(jī)之間，就可以安全地通信70例如，與Server 1連接的內(nèi)網(wǎng)中A主機(jī)需要和與Server 2連接的內(nèi)網(wǎng)中的B主機(jī)通訊，A主機(jī)發(fā)送的數(shù)據(jù)先傳給了Server 1，Server 1自動(dòng)和IPSec隧道連接，將數(shù)據(jù)安全傳輸給Server 2，之后Server 2將數(shù)據(jù)傳輸給B主機(jī)。當(dāng)然，在兩個(gè)不同的網(wǎng)絡(luò)中的主機(jī)進(jìn)行通信時(shí)，需要使用路由器進(jìn)行連接方可。實(shí)際上，使用Windows Server 2003/2008/2012等系統(tǒng)，也可以實(shí)現(xiàn)路由轉(zhuǎn)發(fā)功能，具體配置都比較簡(jiǎn)單，這里限于篇幅就不再贅述了。