论文部分内容阅读
在Windows中如何安全地传输数据,防止敏感数据被别有用心之人窃听,是数据管理不可忽视的问题。利用系统IPSec安全策略,就可以对数据传输进行加密处理,保护数据的安全性。IPSec即InternetProtocol Security、Internet协议安全)是由IETF所设计和制定的。为了保证TCP/IP协议数据传输的安全性,IPSec提供了一套完整的IP安全协议和密钥管控机制,提供了一个完善的安全体系。IPSec不仅仅是单纯的安全服务,其实更是相关安全协议的集合。
一、利用密钥安全传输数据
这里以在同一网络中两台主机之间安全传输数据为例,来说明如何使用预共享密钥安全传输数据。在Serverl主机上打开高级安全windows防火墙窗口,点击左侧的“连接安全规则”项,在右侧点击“新建规则”连接,在弹出窗口中选择“隔离”项,点击下一步按钮。如果选择“入站和出站请求身份验证”项(图1),表示数据的进出都会请求对方采用IPSec,如果对方没有提供IPSec功能导致协商失败的话,就采用普通的连接方式。如果选择“入站连接要求身份验证,出站连接请求身份验证”项,表示接收数据必须采用IPSec,否则拒绝连接。出站连接会请求对方采用IPSec,如果与对方协商失败,就采用一般的连接方式。选择“人站和出站要求身份验证”项,表示无论出站和入站连接,都必须采用IPSec,否则的话拒绝连接。
在下一步窗口中选择“高级”项,点击“自定义’按钮,在弹出窗口中的“第一身份验证”栏中点击“添加”按钮,在打开窗口(图2)中选择“预共享密钥”项,输入所需的密钥。当然,在Server2主机上也必须按照同样的方法,设置相同的密钥值。在上述向导界面中点击下一步按钮,在配置文件窗口中选择本机何时应用该规则。如果选择“域”项,表示当本机连接到网络时,如果能够与域控制器通信,就应用此规则。如果选择“专用”项,表示当本机连接到专用网络时,如果无法与域控制器通信或者该机是非域成员,就应用此规则。如果选择‘公用”項,表示本机连接到公用网络时应用此规则。在下一步窗口中输入本规则的名称和描述信息,点击“完成”按钮,执行该规则的创建操作。
注意,为了在Serverl和Server2上顺利进行安全通讯,必须在双方的主机上均执行上述配置操作,创建同样的连接安全规则。在此期间,在任意主机上的高级安全Windows防火墙窗口左侧选择“监视一安全关联一主模式”或者“快速模式”项,就可以在监控界面中查看加密传输参数了,包括本机地址,远程地址、本地端口、远程端口、协议、AH完整性、ESP完整性、ESP加密等信息。如果想更改IPSec默认值的话,可以在窗口左侧的“本地计算机”节点右键菜单上点击“属性”项,在弹出窗口(图3)中的“IPSec免除”栏中的“从IPSec免除ICMP”列表中选择“是”项,可以让PING操作不受IPSec影响直接进行探测操作。在“IPSec设置”面板中的“IPSec默认值”栏中点击“自定义”按钮,在打开窗口中可以在密钥交换、数据保护、身份验证方法等栏中点击对应的“自定义”按钮,对这些参数进行自定义设置。
二、利用安全策略。安全传输数据
除了使用防护墙控制规则,来保证数据传输的安全性之外,还可以使用安全策略,来实现数据的安全传输。例如,在Serverl3:安装了FTP服务,就需要对来自客户端的连接进行安全控制,保证数据安全传送。注意,一台主机制定了IPSec安全策略是没有意义的,与之通讯的其他主机必须配置与之相同的安全策略,才可以实现数据加密传输。点击“Win+R”键,运行“control admintools”命令,在管理工具窗口中双击“本地安全策略”项,在窗口空白处的右键菜单中点击“创建IP安全策略”项,在操作向导界面输入其名称和描述信息,在下一步窗口中不选择“激活默认响应规则”项,之后完成该策略的创建操作。
在该策略属性窗口中的“规则”面板中不选择“使用添加向导”项。点击“添加”按钮,为该IP安全策略添加规则。规则是IPSec策略的核心,任何一条规则都包含筛选器、加密和身份验证三要素。在该规则属性窗口中打开“IP筛选器”面板,连续点击“添加”按钮,在筛选器属性窗口(图4)中的“地址”面板中的“源地址”列表中选择“任何IP地址”项,在“目标地址”列表中选择“我的IP地址”项。在“协议”面板中的“选择协议类型”列表中选择“TCP”项,在“设置IP协议端口”栏中选择‘从任意端口”和“到此端口”项,并将端口设置为21。当然,可以根据需要设置别的端口,点击确定按钮保存配置信息。
返回到规则属性窗口,在“筛选器”面板中点击“添加”按钮,在弹出窗口中的“安全方法”面板中点击“添加”按钮。选择“完整性和加密”项(图5),在“常规”面板可以为该加密操作设置名称和描述信息。在规则属性窗口中打开‘身份验证方法”面板,可以看到,系统已经默认使用Kerberos这种身份验证方式。但是,该方式只能使用于域环境。如果连接的双方有—方没有加入域中,该方式就处于无效状态。选择该方式,点击“编辑”按钮,在其属性窗口(图6)中选择“使用此字符串(预共享密钥)”项,在其下输入密码信息,注意预共享密钥不能是全数字格式,应该使用字母加符号的格式,来提高安全性。
在“隧道设置”面板中可以看到,系统默认选择“此规则不指定IPSec隧道”项,这表明IPSec默认使用的是传送模式,该模式主要适用于局域网。在广域网中,需要使用隧道模式来提高数据加密的安全性。因此,如果是在Interne止互访的话,双方需要选择“隧道终点由此IP地址指定”项,并分别输入各自在Interne止的IP地址。完成以上操作后,必须在“IP筛选器列表”和“筛选器操作”面板中分别选择上述预设的项目,点击“应用”按钮保存配置。
在本地安全策略窗口中选择“IP安全策略”项,在右侧窗口中选择我们创建的策略项目,在其右键菜单中点击‘‘分配”项,激活该安全策略。之后在Server2等别的主机上也需要添加与上述完全对应的IPSec规则,即双方必须使用完全一致的加密方式、身份验证方式、连接密码等。所不同的是在客户端创建筛选器时,在其属性窗口的“寻址”面板中的“源地址”需要选择“我的IP地址”项,在“目标地址”列表中选择“一个特定的IP”项,并输入Serverl主机的IP地址。 这样,当Server2等主机使用FTP连接工具连接Serverl4的FTP服务时,就可以顺利连接,并可以顺利上传和下载数据。因为双方都启用了IPSec安全策略,因此传输的数据是加密的,别人是无法拦截和分析破译的。当然,对于内网用户来说,为了让局域网中的所有主机都执行相同的IPSec策略,可以在域控制器上打开DC的组策略窗口,打开“计算机配置-Windows设置一安全设置-IP安全策略”项,在其中创建或者选择合适的安全策略,之后指派该安全策略即可。
三、使用隧道技术。安全传输数据
在同一网段中,主机之间可以使用IPSec策略安全传输数据。如果双方处于不同的网段中,则需要使用IPSec隧道传输模式,来快速安全地进行访问。例如Serverl主机位于172.16.1.0/24网段,其外网地址为100.111.69.10,Server2主机位于172.168.2.0/24网段,其外网地址为100.11 1.79.10。Serverl4打开高级安全Windows.防火墙窗口,点击左侧的“连接安全规则”项,在右侧点击“新建规则”连接,在向导界面(图7)中选择“隧道”项,在下一步隧道类型窗口中选择“自定义设置”项,点击下一步按钮,选择进行身份验证的时机。
在下一步窗口(图8)中的“终结点1中的计算机”栏中点击“添加”按钮,输入其连接的网络内的主机地址或者网络标识符(例如“172.16.1.0/24”),在“什么是本地隧道终结点”栏中的“IPv4”栏中输入Serverl的外网地址,例如100.111.69.10。在“什么是远程隧道终结点”栏中点击“编辑”按钮,在弹出窗口中的“IPv4”栏中输入Server2的外网地址,例如100.111.79.10。在“终结点2中的计算机”栏中点击“编辑”按钮,在弹出窗口中的“IPv4”栏中点击“添加”按钮,输入Server2连接的网络内的主机IP或者网络标识符,例如172.16.2.0/24。在下一步窗口中选择“高级”按钮,在弹出窗口中按照上述方法,设置合适的预共享密钥。之后输入规则名和描述信息,完成该规则的创建操作。
在Server 2主机上打开高级安全Windows防火墙窗口,设置与上述相同的IPSec安全连接规则。之后,在与其连接的两个网络的主机之间,就可以安全地通信70例如,与Server 1连接的内网中A主机需要和与Server 2连接的内网中的B主机通讯,A主机发送的数据先传给了Server 1,Server 1自动和IPSec隧道连接,将数据安全传输给Server 2,之后Server 2将数据传输给B主机。当然,在两个不同的网络中的主机进行通信时,需要使用路由器进行连接方可。实际上,使用Windows Server 2003/2008/2012等系統,也可以实现路由转发功能,具体配置都比较简单,这里限于篇幅就不再赘述了。
一、利用密钥安全传输数据
这里以在同一网络中两台主机之间安全传输数据为例,来说明如何使用预共享密钥安全传输数据。在Serverl主机上打开高级安全windows防火墙窗口,点击左侧的“连接安全规则”项,在右侧点击“新建规则”连接,在弹出窗口中选择“隔离”项,点击下一步按钮。如果选择“入站和出站请求身份验证”项(图1),表示数据的进出都会请求对方采用IPSec,如果对方没有提供IPSec功能导致协商失败的话,就采用普通的连接方式。如果选择“入站连接要求身份验证,出站连接请求身份验证”项,表示接收数据必须采用IPSec,否则拒绝连接。出站连接会请求对方采用IPSec,如果与对方协商失败,就采用一般的连接方式。选择“人站和出站要求身份验证”项,表示无论出站和入站连接,都必须采用IPSec,否则的话拒绝连接。
在下一步窗口中选择“高级”项,点击“自定义’按钮,在弹出窗口中的“第一身份验证”栏中点击“添加”按钮,在打开窗口(图2)中选择“预共享密钥”项,输入所需的密钥。当然,在Server2主机上也必须按照同样的方法,设置相同的密钥值。在上述向导界面中点击下一步按钮,在配置文件窗口中选择本机何时应用该规则。如果选择“域”项,表示当本机连接到网络时,如果能够与域控制器通信,就应用此规则。如果选择“专用”项,表示当本机连接到专用网络时,如果无法与域控制器通信或者该机是非域成员,就应用此规则。如果选择‘公用”項,表示本机连接到公用网络时应用此规则。在下一步窗口中输入本规则的名称和描述信息,点击“完成”按钮,执行该规则的创建操作。
注意,为了在Serverl和Server2上顺利进行安全通讯,必须在双方的主机上均执行上述配置操作,创建同样的连接安全规则。在此期间,在任意主机上的高级安全Windows防火墙窗口左侧选择“监视一安全关联一主模式”或者“快速模式”项,就可以在监控界面中查看加密传输参数了,包括本机地址,远程地址、本地端口、远程端口、协议、AH完整性、ESP完整性、ESP加密等信息。如果想更改IPSec默认值的话,可以在窗口左侧的“本地计算机”节点右键菜单上点击“属性”项,在弹出窗口(图3)中的“IPSec免除”栏中的“从IPSec免除ICMP”列表中选择“是”项,可以让PING操作不受IPSec影响直接进行探测操作。在“IPSec设置”面板中的“IPSec默认值”栏中点击“自定义”按钮,在打开窗口中可以在密钥交换、数据保护、身份验证方法等栏中点击对应的“自定义”按钮,对这些参数进行自定义设置。
二、利用安全策略。安全传输数据
除了使用防护墙控制规则,来保证数据传输的安全性之外,还可以使用安全策略,来实现数据的安全传输。例如,在Serverl3:安装了FTP服务,就需要对来自客户端的连接进行安全控制,保证数据安全传送。注意,一台主机制定了IPSec安全策略是没有意义的,与之通讯的其他主机必须配置与之相同的安全策略,才可以实现数据加密传输。点击“Win+R”键,运行“control admintools”命令,在管理工具窗口中双击“本地安全策略”项,在窗口空白处的右键菜单中点击“创建IP安全策略”项,在操作向导界面输入其名称和描述信息,在下一步窗口中不选择“激活默认响应规则”项,之后完成该策略的创建操作。
在该策略属性窗口中的“规则”面板中不选择“使用添加向导”项。点击“添加”按钮,为该IP安全策略添加规则。规则是IPSec策略的核心,任何一条规则都包含筛选器、加密和身份验证三要素。在该规则属性窗口中打开“IP筛选器”面板,连续点击“添加”按钮,在筛选器属性窗口(图4)中的“地址”面板中的“源地址”列表中选择“任何IP地址”项,在“目标地址”列表中选择“我的IP地址”项。在“协议”面板中的“选择协议类型”列表中选择“TCP”项,在“设置IP协议端口”栏中选择‘从任意端口”和“到此端口”项,并将端口设置为21。当然,可以根据需要设置别的端口,点击确定按钮保存配置信息。
返回到规则属性窗口,在“筛选器”面板中点击“添加”按钮,在弹出窗口中的“安全方法”面板中点击“添加”按钮。选择“完整性和加密”项(图5),在“常规”面板可以为该加密操作设置名称和描述信息。在规则属性窗口中打开‘身份验证方法”面板,可以看到,系统已经默认使用Kerberos这种身份验证方式。但是,该方式只能使用于域环境。如果连接的双方有—方没有加入域中,该方式就处于无效状态。选择该方式,点击“编辑”按钮,在其属性窗口(图6)中选择“使用此字符串(预共享密钥)”项,在其下输入密码信息,注意预共享密钥不能是全数字格式,应该使用字母加符号的格式,来提高安全性。
在“隧道设置”面板中可以看到,系统默认选择“此规则不指定IPSec隧道”项,这表明IPSec默认使用的是传送模式,该模式主要适用于局域网。在广域网中,需要使用隧道模式来提高数据加密的安全性。因此,如果是在Interne止互访的话,双方需要选择“隧道终点由此IP地址指定”项,并分别输入各自在Interne止的IP地址。完成以上操作后,必须在“IP筛选器列表”和“筛选器操作”面板中分别选择上述预设的项目,点击“应用”按钮保存配置。
在本地安全策略窗口中选择“IP安全策略”项,在右侧窗口中选择我们创建的策略项目,在其右键菜单中点击‘‘分配”项,激活该安全策略。之后在Server2等别的主机上也需要添加与上述完全对应的IPSec规则,即双方必须使用完全一致的加密方式、身份验证方式、连接密码等。所不同的是在客户端创建筛选器时,在其属性窗口的“寻址”面板中的“源地址”需要选择“我的IP地址”项,在“目标地址”列表中选择“一个特定的IP”项,并输入Serverl主机的IP地址。 这样,当Server2等主机使用FTP连接工具连接Serverl4的FTP服务时,就可以顺利连接,并可以顺利上传和下载数据。因为双方都启用了IPSec安全策略,因此传输的数据是加密的,别人是无法拦截和分析破译的。当然,对于内网用户来说,为了让局域网中的所有主机都执行相同的IPSec策略,可以在域控制器上打开DC的组策略窗口,打开“计算机配置-Windows设置一安全设置-IP安全策略”项,在其中创建或者选择合适的安全策略,之后指派该安全策略即可。
三、使用隧道技术。安全传输数据
在同一网段中,主机之间可以使用IPSec策略安全传输数据。如果双方处于不同的网段中,则需要使用IPSec隧道传输模式,来快速安全地进行访问。例如Serverl主机位于172.16.1.0/24网段,其外网地址为100.111.69.10,Server2主机位于172.168.2.0/24网段,其外网地址为100.11 1.79.10。Serverl4打开高级安全Windows.防火墙窗口,点击左侧的“连接安全规则”项,在右侧点击“新建规则”连接,在向导界面(图7)中选择“隧道”项,在下一步隧道类型窗口中选择“自定义设置”项,点击下一步按钮,选择进行身份验证的时机。
在下一步窗口(图8)中的“终结点1中的计算机”栏中点击“添加”按钮,输入其连接的网络内的主机地址或者网络标识符(例如“172.16.1.0/24”),在“什么是本地隧道终结点”栏中的“IPv4”栏中输入Serverl的外网地址,例如100.111.69.10。在“什么是远程隧道终结点”栏中点击“编辑”按钮,在弹出窗口中的“IPv4”栏中输入Server2的外网地址,例如100.111.79.10。在“终结点2中的计算机”栏中点击“编辑”按钮,在弹出窗口中的“IPv4”栏中点击“添加”按钮,输入Server2连接的网络内的主机IP或者网络标识符,例如172.16.2.0/24。在下一步窗口中选择“高级”按钮,在弹出窗口中按照上述方法,设置合适的预共享密钥。之后输入规则名和描述信息,完成该规则的创建操作。
在Server 2主机上打开高级安全Windows防火墙窗口,设置与上述相同的IPSec安全连接规则。之后,在与其连接的两个网络的主机之间,就可以安全地通信70例如,与Server 1连接的内网中A主机需要和与Server 2连接的内网中的B主机通讯,A主机发送的数据先传给了Server 1,Server 1自动和IPSec隧道连接,将数据安全传输给Server 2,之后Server 2将数据传输给B主机。当然,在两个不同的网络中的主机进行通信时,需要使用路由器进行连接方可。实际上,使用Windows Server 2003/2008/2012等系統,也可以实现路由转发功能,具体配置都比较简单,这里限于篇幅就不再赘述了。