在執(zhí)行以下指導(dǎo)步驟之前,確保您知道以下術(shù)語(yǔ)的含義:
身份驗(yàn)證:確定計(jì)算機(jī)的身份是否合法的過(guò)程。Windows 2000 IPSec 支持三種身份驗(yàn)證:Kerberos、證書(shū)和預(yù)共享密鑰。只有當(dāng)兩個(gè)終結(jié)點(diǎn)(計(jì)算機(jī))都位于同一個(gè) Windows 2000 域時(shí),Kerberos 身份驗(yàn)證才有效。這種類(lèi)型的身份驗(yàn)證是首選方法。如果計(jì)算機(jī)位于不同的域中,或者至少有一臺(tái)計(jì)算機(jī)不在某個(gè)域中,則必須使用證書(shū)或預(yù)共享密鑰。只有當(dāng)每個(gè)終結(jié)點(diǎn)中包含一個(gè)由另一個(gè)終結(jié)點(diǎn)信任的頒發(fā)機(jī)構(gòu)簽署的證書(shū)時(shí),證書(shū)才有效。預(yù)共享密鑰與密碼有著相同的問(wèn)題。它們不會(huì)在很長(zhǎng)的時(shí)間段內(nèi)保持機(jī)密性。如果終結(jié)點(diǎn)不在同一個(gè)域中,并且無(wú)法獲得證書(shū),則預(yù)共享密鑰是唯一的身份驗(yàn)證選擇。
加密:使準(zhǔn)備在兩個(gè)終結(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)難以辨認(rèn)的過(guò)程。通過(guò)使用充分測(cè)試的算法,每個(gè)終結(jié)點(diǎn)都創(chuàng)建和交換密鑰。該過(guò)程確保只有這些終結(jié)點(diǎn)知道密鑰,而且如果任何密鑰交換序列被攔截,攔截者不會(huì)得到任何有價(jià)值的內(nèi)容。
篩選器:對(duì) Internet 協(xié)議 (IP) 地址和協(xié)議的描述,可觸發(fā) IPSec 安全關(guān)聯(lián)的建立。
篩選器操作:安全要求,可在通信與篩選器列表中的篩選器相匹配時(shí)啟用。
篩選器列表:篩選器的集合。
Internet 協(xié)議安全策略:規(guī)則集合,描述計(jì)算機(jī)之間的通訊是如何得到保護(hù)的。
規(guī)則:篩選器列表和篩選器操作之間的鏈接。當(dāng)通信與篩選器列表匹配時(shí),可觸發(fā)相應(yīng)的篩選器操作。IPSec 策略可包含多個(gè)規(guī)則。
安全關(guān)聯(lián):終結(jié)點(diǎn)為建立安全會(huì)話而協(xié)商的身份驗(yàn)證與加密方法的集合。
在 Microsoft 管理控制臺(tái)中查找 IPSec 通過(guò)使用 Microsoft 管理控制臺(tái) (MMC) 配置 IPSec。Windows 2000 在安裝過(guò)程中創(chuàng)建一個(gè)帶有 IPSec 管理單元的 MMC。若要查找 IPSec,請(qǐng)單擊開(kāi)始,指向程序,單擊管理工具,然后單擊本地安全策略。在打開(kāi)的 MMC 中的左窗格中,單擊本地計(jì)算機(jī)上的 IP 安全策略。MMC 將在右窗格中顯示現(xiàn)有的默認(rèn)策略。
更改 IP 地址、計(jì)算機(jī)名和用戶(hù)名為了此示例的目的,假設(shè) Alice 是一個(gè)計(jì)算機(jī)用戶(hù),該計(jì)算機(jī)名為"Alicepc"、IP 地址為 172.16.98.231,Bob 的計(jì)算機(jī)名為"Bobslap",IP 地址為 172.31.67.244。他們使用 Abczz 程序連接他們的計(jì)算機(jī)。
通過(guò)使用 Abczz 程序互相連接時(shí),Alice 和 Bob 必須確保通信是被加密的。當(dāng) Abczz 建立其連接時(shí),啟動(dòng)程序使用其本身上的隨機(jī)高端口并連接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目標(biāo)(其中,TCP 是"傳輸控制協(xié)議"的縮寫(xiě))。通常,這些端口用作 Internet 多線交談 (IRC)。因?yàn)?Alice 或 Bob 均可發(fā)起連接,所以該策略必須存在于兩端。
創(chuàng)建篩選器列表
通過(guò)在 MMC 控制臺(tái)中右鍵單擊 IP 安全策略,可訪問(wèn)用于創(chuàng)建 IPSec 策略的菜單。第一個(gè)菜單項(xiàng)是"創(chuàng)建 IP 安全策略"。盡管此菜單似乎是要開(kāi)始的位置,但卻不應(yīng)從此位置開(kāi)始。在可創(chuàng)建策略及其相關(guān)規(guī)則之前,您需要定義篩選器列表和篩選器操作,它們是任何 IPSec策略的必需組件。單擊管理 IP 篩選器表和篩選器操作開(kāi)始工作。
將顯示帶有兩個(gè)選項(xiàng)卡的對(duì)話框:一個(gè)用于篩選器列表,另一個(gè)用于篩選器操作。首先,打開(kāi)管理 IP 篩選器列表選項(xiàng)卡。已經(jīng)有兩個(gè)預(yù)先定義的篩選器列表,您不會(huì)使用它們。相反,您可以創(chuàng)建一個(gè)特定的篩選器列表,使其與要連接到的其他計(jì)算機(jī)對(duì)應(yīng)。
假設(shè)您在 Alice 的計(jì)算機(jī)上創(chuàng)建策略:
單擊添加創(chuàng)建新的篩選器列表。將該列表命名為"Abczz to Bob's PC"。
單擊添加添加新篩選器。將啟動(dòng)一個(gè)向?qū)А?
單擊我的 IP 地址作為源地址。
單擊一個(gè)特定的 IP 地址作為目標(biāo)地址,然后輸入 Bob 的計(jì)算機(jī)的 IP 地址 (172.31.67.244)。或者,如果 Bob 的計(jì)算機(jī)已在域名系統(tǒng) (DNS) 或 Windows Internet 名稱(chēng)服務(wù) (WINS) 中注冊(cè),則可選擇特定的 DNS 名,然后輸入 Bob 的計(jì)算機(jī)名,Bobslap。
Abczz 使用 TCP 進(jìn)行通訊,因此單擊 TCP 作為協(xié)議類(lèi)型。
對(duì)于 IP 協(xié)議端口,單擊從任意端口。單擊到此端口,鍵入:6667,然后單擊完成完成該向?qū)А?
重復(fù)上述步驟,但這次鍵入:6668作為端口號(hào),然后單擊關(guān)閉。
您的篩選器列表中包含兩個(gè)篩選器:一個(gè)在端口 6667 (屬于 Bob)上用于從 Alice 到 Bob 的通訊,另一個(gè)在端口 6668 (屬于 Bob)上。(Bob 在自己的計(jì)算機(jī)上設(shè)置了 6667 和6668 兩個(gè)端口:一個(gè)端口用于傳出的通訊,另一個(gè)用于傳入的通訊。)這些篩選器是鏡像的,每次創(chuàng)建 IPSec 篩選器時(shí)通常都需要如此。對(duì)于已鏡像的每個(gè)篩選器,該列表可包含(但不顯示)與其正好相反的篩選器(即目標(biāo)和源地址與其相反的篩選器)。如果沒(méi)有鏡像篩選器,IPSec 通訊通常不成功。