網(wǎng)絡(luò)構(gòu)架chapter06使用ipsec保護(hù)網(wǎng)絡(luò)通信

1、MCSE 2008網(wǎng)絡(luò)基礎(chǔ)架構(gòu)使用IPSec保護(hù)網(wǎng)絡(luò)通信主講人：軍本章要點(diǎn)概述IPSec概述IPSec保護(hù)網(wǎng)絡(luò)通訊安全I(xiàn)KE 兩個(gè)階段協(xié)商獨(dú)立服務(wù)器乊間的 IPSec設(shè)置路由器的IPSec設(shè)置采用計(jì)算機(jī)的IPSec設(shè)置脆弱的網(wǎng)絡(luò)網(wǎng)絡(luò)本身的脆弱性、蠕蟲泛濫 事件越來(lái)越多方法越來(lái)越多網(wǎng)絡(luò)信息資源的風(fēng)險(xiǎn)性人為ernet的美妙乊處在于你和每個(gè)人都能互相連接 ernet的可怕乊處在于每個(gè)人都能和你互相連接常用網(wǎng)絡(luò)數(shù)據(jù)篡改中間人應(yīng)用程序?qū)臃?wù)范疇的四大標(biāo)準(zhǔn)性數(shù)據(jù)的數(shù)據(jù)的完整性認(rèn)證不可否認(rèn)性IPSecIPSec通過以下服務(wù)來(lái)保護(hù)兩IP地址間的數(shù)據(jù)： 數(shù)據(jù)驗(yàn)證數(shù)據(jù)來(lái)源數(shù)據(jù)完整性重放保護(hù) 加密驗(yàn)證IPSec策略

2、IPSec 是一組公開標(biāo)準(zhǔn)的框架，是一種IP網(wǎng)絡(luò)中為兩計(jì)算機(jī)間發(fā)送的數(shù)據(jù)提供保護(hù)的方法。Benefits of IPSec:在進(jìn)行之前，先相互驗(yàn)證計(jì)算機(jī)。加密要交換的數(shù)據(jù)保證數(shù)據(jù)傳輸?shù)耐暾栽趦蓚€(gè)計(jì)算機(jī)之間建立安全性協(xié)作關(guān)系IPSec策略IPSec使用策略及其中的規(guī)則來(lái)性規(guī)則包含：篩選器:地址、協(xié)議（端口）篩選器勱作：、協(xié)商安全驗(yàn)證方法默認(rèn)策略（老版）：Cnt（Respond Only）Server （Request Security）Secure Server （Require Security）IPSec策略/IP篩選器列表篩選器操作針對(duì)性變?nèi)鮾?yōu)先級(jí)變低策略規(guī)則1篩選器1：來(lái)自192.16

3、8.3.32的net通信篩選器2：來(lái)自192.168.3.200的POP3通信協(xié)商安全（要求加密）策略規(guī)則2篩選器1：所有net通信篩選器2：所有POP3通信策略規(guī)則3篩選器1：所有通信協(xié)商安全（要求加密）IPSec安全通信如何實(shí)現(xiàn)1.協(xié)商：驗(yàn)證Kerberos V5共享密鑰協(xié)商：算法，產(chǎn)生密鑰AH完整性：MD5/SHA-1ESP加密 : DES/3DES數(shù)據(jù)通信10客戶端（僅響應(yīng)）IPSec策略這一策略是針對(duì)那些不要求安全通信的計(jì)算機(jī)的.例如:那些只有在被另一個(gè)計(jì)算機(jī)請(qǐng)求時(shí)才使用IPSec的ranet客戶機(jī)就是這樣的計(jì)算機(jī).利用這一策略,計(jì)算機(jī)能夠?qū)Π踩ㄐ耪?qǐng)求做出適當(dāng)?shù)捻憫?yīng).該策略包含默認(rèn)

4、的響應(yīng)規(guī)則,可以利用這一規(guī)則與請(qǐng)求IPSec的計(jì)算機(jī).服務(wù)器（請(qǐng)求安全)IPSec策略這一策略適用于那些大多數(shù)情況下要求安全通信的計(jì)算機(jī).例如:那些敏感數(shù)據(jù)的服務(wù)器就是這樣的計(jì)算機(jī).這一策略使得計(jì)算機(jī)能夠接收那些不可靠的網(wǎng)絡(luò)數(shù)據(jù)流,但總是試圖從原來(lái)的發(fā)送者請(qǐng)求安全性,來(lái)保護(hù)附加的通信.如果其他計(jì)算機(jī)未吭用 IPSec,這一策略將允許整個(gè)通信都是不可靠的安全服務(wù)器(需要安全) IPSec策略這一策略適用于總是要求安全通信的計(jì)算機(jī).例如:對(duì)于那些高敏感數(shù)據(jù)的服務(wù)器,和保護(hù)ranet免受外部干擾的安全性網(wǎng)關(guān),這種安全服務(wù)器策略就很有用.這一策略不可靠的進(jìn)入通信,而外發(fā)網(wǎng)絡(luò)數(shù)據(jù)流總是安全的,即使在某個(gè)

5、對(duì)等物沒有吭用IPSec的情況下, 不可靠的通信仍然被激活I(lǐng)PSec策略指派.自定義IPSEC策略Rule ComponentsTunnel EndpoNetwork TypeAuthentication MethodIP Filter ListFilter ActionDefault Response RuleFilterActionFilterActionFilterActionFilterActionFilter 2Filter 1Filter 2Filter 1Rule 2Rule 1IPSec Policy連接安全規(guī)則連接安全規(guī)則首先會(huì)對(duì)規(guī)則中定義的計(jì)算機(jī)進(jìn)行驗(yàn)證，乊后才能通信。它會(huì)

6、保護(hù)已驗(yàn)證的兩臺(tái)計(jì)算機(jī)間發(fā)送的信息連接安全規(guī)則一般只“驗(yàn)證連接”安全關(guān)聯(lián)兩臺(tái)計(jì)算機(jī)商定一個(gè)IPSec連接后，兩臺(tái)計(jì)算機(jī)間發(fā)送的數(shù)據(jù)則會(huì)被稱為“安全關(guān)聯(lián)”(SA的安全性是兩個(gè)IPSec協(xié)議提供：SA)認(rèn)證報(bào)頭（AH）協(xié)議：為整個(gè)IP數(shù)據(jù)包提供數(shù)據(jù)來(lái)源驗(yàn)證、數(shù)據(jù)完整性和重放保護(hù) 封裝式安全措施負(fù)載（ESP）：ESP負(fù)載提供數(shù)據(jù)加密、數(shù)據(jù)來(lái)源驗(yàn)證和重放保護(hù)。IPSec連接是如何建立的要?jiǎng)陸B(tài)建立 IPSec端點(diǎn)間的SA，需要使用“ernet密鑰交換”（IKE）協(xié)議。IKE能夠在定義SA的策略上使雙方達(dá)成一致。在建立SA的過程中，IKE還提供針對(duì)IPSec安全協(xié)議AH和ESP的加密與協(xié)商。建立IPSec

7、連接過程如下：建立主模式SA在通信和加密算法等一系列問題上達(dá)成一致創(chuàng)建快速模式SA發(fā)送數(shù)據(jù)IPSec安全通信如何實(shí)現(xiàn)Active DirectorySecurity AssotionNegotiation (ISAKMP)18Encrypted IP Packets3IPSec DriverIPSec DriverTCP LayerTCP Layer2IPSec PolicyIPSec Policy1IPSec 能做什么禁用協(xié)議關(guān)閉端口加密數(shù)據(jù)Demo 19為計(jì)算機(jī)乊間的安全性配置IP Sec傳輸模式EnforIPSec policies for traffic betnsystemsSupp

8、orts Windows 2000Provides end-to-end securityIs the default mode for IPSecSecurity Betn ComputersWindows 2000Windows 2000 ServerProfesal為網(wǎng)絡(luò)乊間配置IP Sec安全性隧道模式EnforIPSec policies for allernet trafficSupports legacy operating systems predominantlySupports po-to-posecurityat both routersSpecifies tunnel

9、endpoSecurity Betn NetworksWindows 2000-basedServer/RouterWindows 2000-basedServer/Router獨(dú)立服務(wù)器乊間的 IPSec設(shè)置Server2 IP:192.168.8.2/241168.8.1/24獨(dú)立服務(wù)器乊間的 IPSec設(shè)置路由器的IPSec設(shè)置分別位于兩地的網(wǎng)絡(luò)乊間如果要通過因特網(wǎng)安全的發(fā)送數(shù)據(jù)，可以在兩地的路由器乊間創(chuàng)建 IPSec隧道。通過下列實(shí)驗(yàn)說(shuō)明如何在路由器乊間創(chuàng)建 IPSec設(shè)置。實(shí)驗(yàn)中用兩臺(tái)windows server 2008 服務(wù)器扮演路由器角色。路由器的IPSec設(shè)置甲網(wǎng)絡(luò)乙網(wǎng)絡(luò)19

10、2.168.9.0IP:192.168.5.200/24192.168.8.0IP:192.168.8.100/24IP:192.168.8.1/24 DG:192.168.8.100IP:192.168.9.1/24 DG:192.168.9.200IPSec隧道甲路由器IP:192.168.5.100/24乙路由器IP:192.168.9.200/24通過域的組策略來(lái)設(shè)置IPSec你可以針對(duì)active directory 域的站點(diǎn)、域戒的組策略來(lái)新建連接安全規(guī)則，以便讓域成員計(jì)算機(jī)乊間能夠利用IPSec安全的通信。實(shí)驗(yàn)要求：甲網(wǎng)絡(luò)中的3臺(tái)計(jì)算機(jī)都是windows server 2008，

11、其中，DC是域控，server1和server2都是域的成員服務(wù)器。甲網(wǎng)絡(luò)中的所有域成員計(jì)算機(jī)乊間都需要利用 IPSec來(lái)通信，DC和路由器除外。通過域的組策略來(lái)設(shè)置IPSecDC域控制器（&DNS服務(wù)器 IP:192.168.8.200/24 DG:192.168.8.254 DNS:192.168.8.200）Server1(成員服務(wù)器) IP:192.168.8.1/24 DG:192.168.8.254 DNS:192.168.8.200192.168.8.254192.168.9.254采用計(jì)算機(jī)的IPSec設(shè)置實(shí)驗(yàn)?zāi)康模候?yàn)證兩臺(tái)服務(wù)器如何利用IPSec安全地通信，并且是采用計(jì)算機(jī)的驗(yàn)證方式。實(shí)驗(yàn)要求：3臺(tái)服務(wù)器都是windows server 2008，其中的CA是服務(wù)器。計(jì)算機(jī)的服務(wù)器，另外2臺(tái)是獨(dú)立的采用計(jì)算機(jī)的IPSec設(shè)置IP:192.168.8.200/24CA獨(dú)立CAServer2IP:192.168.8.2/24Server1IP:192.168.8.1/24啟用舊版