《信息安全導(dǎo)論》課件2第12章

第12章網(wǎng)絡(luò)安全協(xié)議與VPN

12.1網(wǎng)絡(luò)安全協(xié)議概述

12.2網(wǎng)絡(luò)層安全協(xié)議IPSec

12.3傳輸層安全協(xié)議SSL/TLS簡介

思考題

實(shí)驗(yàn)12在Windows下實(shí)現(xiàn)IPSecVPN

內(nèi)容導(dǎo)讀

應(yīng)用安全技術(shù)構(gòu)建網(wǎng)絡(luò)安全協(xié)議并進(jìn)而采用安全協(xié)議進(jìn)行通信，是保護(hù)網(wǎng)絡(luò)通信安全的客觀要求。ISO/IEC7498-2給出了OSI參考模型七層協(xié)議之上的信息安全體系結(jié)構(gòu)。依據(jù)該體系結(jié)構(gòu)與TCP/IP協(xié)議簇的映射關(guān)系，科研人員針對不同的網(wǎng)絡(luò)層研制了大量特制的安全協(xié)議。用戶具體要在哪個層次上應(yīng)用哪個協(xié)議，要依賴于具體應(yīng)用的安全目標(biāo)和協(xié)議所能實(shí)現(xiàn)的功能。網(wǎng)絡(luò)層安全協(xié)議簇IPSec使用共享密鑰為數(shù)據(jù)傳輸提供安全服務(wù)。AH協(xié)議主要用來實(shí)現(xiàn)數(shù)據(jù)完整性服務(wù)，而ESP協(xié)議除提供完整性服務(wù)外，還提供保密性服務(wù)。共享密鑰和安全算法的選取是通過執(zhí)行IKE協(xié)議構(gòu)建安全關(guān)聯(lián)SA實(shí)現(xiàn)的。IPSec有傳輸模式和隧道模式兩種實(shí)現(xiàn)方式，隧道模式是實(shí)現(xiàn)VPN的主要途徑之一。

傳輸層安全協(xié)議簇SSL/TLS主要用于保護(hù)Web通信。部署SSL/TLS證書是保證網(wǎng)銀系統(tǒng)和電子商務(wù)網(wǎng)站通信安全的最佳解決方案。12.1網(wǎng)絡(luò)安全協(xié)議概述

通信協(xié)議是指通信各方關(guān)于通信如何進(jìn)行所達(dá)成的一致性規(guī)則，即由參與通信的各方按確定的步驟做出一系列通信動作，是定義通信實(shí)體之間交換信息的格式及意義的一組規(guī)則。網(wǎng)絡(luò)安全通信協(xié)議是指在計(jì)算機(jī)網(wǎng)絡(luò)中使用的具有安全功能的通信協(xié)議。

OSI(OpenSystemsInterconnection)標(biāo)準(zhǔn)由ISO(InternationalStandardOrganization)與ITU(InternationalTelecommunicationUnion)聯(lián)合制定，將開放互連網(wǎng)絡(luò)用7層描述，并通過相應(yīng)的7層協(xié)議實(shí)現(xiàn)系統(tǒng)間的相互連接。ISO/IEC7498-2(GB/T9387.2—1995)給出了OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)，這是一個普遍適用的安全體系結(jié)構(gòu)，對具體網(wǎng)絡(luò)環(huán)境的信息安全體系結(jié)構(gòu)具有重要指導(dǎo)意義。該標(biāo)準(zhǔn)定義了五大類安全服務(wù)和實(shí)現(xiàn)這些服務(wù)的八類基本安全機(jī)制和普遍性安全機(jī)制，給出了各種安全服務(wù)在OSI模型的七層協(xié)議中相應(yīng)的參考位置(見表12-1)。表12-1OSI協(xié)議層與相關(guān)安全服務(wù)TCP/IP協(xié)議簇是Internet的事實(shí)通信標(biāo)準(zhǔn)。由于TCP/IP協(xié)議簇在早期設(shè)計(jì)時是以面向應(yīng)用為根本目的的，因此未能充分考慮到安全性及協(xié)議自身的脆弱性、不完備性，導(dǎo)致網(wǎng)絡(luò)中存在著許多可能遭受攻擊的漏洞。例如，網(wǎng)絡(luò)層協(xié)議IP在實(shí)現(xiàn)通信的過程中并不能為數(shù)據(jù)提供完整性和機(jī)密性保護(hù)，缺少基于IP地址的身份認(rèn)證機(jī)制，容易遭到IP地址欺騙攻擊；在使用傳輸層協(xié)議TCP進(jìn)行通信時，存在服務(wù)器端需維持大量的半連接列表而耗費(fèi)一定的資源、序列號可計(jì)算等安全隱患；在使用傳輸層協(xié)議UDP進(jìn)行通信時，不確認(rèn)報文是否到達(dá)，不進(jìn)行流量控制，不作糾錯和重傳；大部分應(yīng)用層協(xié)議需要以超級管理員的權(quán)限運(yùn)行，一旦這些程序存在安全漏洞且被攻擊者利用，極有可能取得整個系統(tǒng)的控制權(quán)，許多協(xié)議采用簡單的身份認(rèn)證方式，并且在網(wǎng)絡(luò)中以明文方式傳輸。

將ISO7498-2建議的OSI參考模型上的信息安全體系結(jié)構(gòu)映射到TCP/IP協(xié)議簇上，我們可得到TCP/IP協(xié)議層的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，見表12-2。表12-2ISO7498-2到TCP/IP的映射

根據(jù)TCP/IP協(xié)議簇的上述安全體系結(jié)構(gòu)，科研人員研制了大量特制的安全協(xié)議，專門用來保障網(wǎng)絡(luò)各個層次的安全，見表12-3。用戶具體要在哪個層次上應(yīng)用安全措施，要依賴于應(yīng)用(程序)對安全保密的要求和協(xié)議本身所能實(shí)現(xiàn)的功能。值得指出的是，有些場合可能需要在多個網(wǎng)絡(luò)層實(shí)現(xiàn)安全服務(wù)以實(shí)現(xiàn)增強(qiáng)安全的效果。表12-3網(wǎng)絡(luò)層次與相關(guān)安全通信協(xié)議

所謂構(gòu)建虛擬專用網(wǎng)(VirtualPrivateNetwork，VPN)，就是利用上述某個安全協(xié)議，實(shí)現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)?！疤摂M”主要是指這種網(wǎng)絡(luò)是一種邏輯上的網(wǎng)絡(luò)。目前實(shí)現(xiàn)VPN的幾種主要技術(shù)及相關(guān)協(xié)議都已經(jīng)非常成熟，并且都有廣泛應(yīng)用，尤其以L2TP、IPSec和SSL協(xié)議應(yīng)用最廣。12.2網(wǎng)絡(luò)層安全協(xié)議IPSec

在網(wǎng)絡(luò)層實(shí)現(xiàn)安全服務(wù)具有多方面的優(yōu)點(diǎn)：①多種傳送協(xié)議和應(yīng)用程序可共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu)；②由于安全服務(wù)在較低層實(shí)現(xiàn)，基本不需要改動應(yīng)用程序；③假如網(wǎng)絡(luò)層支持以子網(wǎng)為基礎(chǔ)的安全，則利用網(wǎng)絡(luò)層安全服務(wù)很容易實(shí)現(xiàn)VPN。

網(wǎng)絡(luò)層的安全性應(yīng)達(dá)到以下幾個標(biāo)準(zhǔn)：①期望安全的用戶能夠使用基于密碼學(xué)的安全機(jī)制；②能同時適用于IPv4和IPv6；③算法獨(dú)立；④有利于實(shí)現(xiàn)不同的安全策略；⑤對沒有采用該機(jī)制的用戶不會有負(fù)面影響。

IPSec(IPSecurity)協(xié)議簇產(chǎn)生于IPv6的制定之中，目的是提供IP層的安全性。IPSec通過支持一系列的加密算法來確保通信雙方數(shù)據(jù)的機(jī)密性和完整性。IPSec協(xié)議簇對IPv4和IPv6都可用，只是在IPv6中更易于實(shí)現(xiàn)。

IPSec協(xié)議簇主要包含AH(AuthenticationHeader，驗(yàn)證報頭)和ESP(EncapsulatingSecurityPayload，封裝安全有效負(fù)載)兩個安全協(xié)議。其中AH協(xié)議提供數(shù)據(jù)源認(rèn)證和完整性保證；ESP協(xié)議除具有AH協(xié)議的功能外，還可以利用加密技術(shù)保障數(shù)據(jù)的機(jī)密性，但該協(xié)議使用的開銷要大。AH和ESP協(xié)議在安全服務(wù)方面的區(qū)別見表12-4。表12-4IPSec中AH和ESP提供的安全服務(wù)IPSec有兩種實(shí)現(xiàn)方式：傳輸模式和隧道模式。傳輸模式：傳輸模式的保護(hù)對象是IP載荷，即對運(yùn)行于IP之上的協(xié)議進(jìn)行保護(hù)，采用傳輸模式時，原IP數(shù)據(jù)包的報頭之后的數(shù)據(jù)發(fā)生改變(進(jìn)行AH或ESP處理)，IP報頭不變。只有在要求兩個主機(jī)端到端的安全保障時，才能使用傳輸模式。傳輸模式的示意圖如圖12-1所示。圖12-1IPSec的傳輸模式

隧道模式：隧道模式的保護(hù)對象是整個IP數(shù)據(jù)包，它將一個數(shù)據(jù)包用一個新的數(shù)據(jù)包封裝，再加上一個新的IP報文頭，通常在數(shù)據(jù)包的始發(fā)點(diǎn)或目的地不是安全終點(diǎn)的情況下需要使用隧道模式。隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有IPSec的路由器或防火墻。使用隧道模式時，防火墻內(nèi)主機(jī)不需要安裝IPSec也能安全地通信。隧道模式示意圖如圖12-2所示。圖12-2IPSec隧道模式

在圖12-2中，某網(wǎng)絡(luò)IP地址為的主機(jī)甲生成一個IP包，目的地址是另一個網(wǎng)中IP地址為的主機(jī)乙。這個包從起始主機(jī)發(fā)送到主機(jī)甲網(wǎng)絡(luò)邊緣的安全路由器或防火墻。防火墻把所有出去的包進(jìn)行過濾，看看有哪些包需要進(jìn)行IPSec的處理。如果從甲到乙的包需要使用IPSec，防火墻就進(jìn)行IPSec的處理，添加外層IP包頭。這個外層包頭的源地址是防火墻，而目的地址可能是主機(jī)乙網(wǎng)絡(luò)邊緣的防火墻?，F(xiàn)在這個包被傳送到主機(jī)乙的防火墻，中途的路由器只檢查外層的IP包頭。主機(jī)乙的網(wǎng)絡(luò)防火墻會把外層IP包頭除掉，把IP內(nèi)層發(fā)送到主機(jī)乙。

鑒別首部AH協(xié)議是IPSec協(xié)議之一，用于為IP提供數(shù)據(jù)完整性、數(shù)據(jù)源身份驗(yàn)證和一些可選的、有限的抗重放服務(wù)。該協(xié)議不能提供保密性服務(wù)。AH的結(jié)構(gòu)如圖12-3所示。圖12-3AH的結(jié)構(gòu)

圖12-3中，“下一個頭”表示AH頭之后首部的類型。在傳輸模式下，它將是處于保護(hù)中的上層協(xié)議的值，比如UDP或TCP協(xié)議的值。在隧道模式下，其數(shù)值4表示IP-in-IP(IPv4)封裝；數(shù)值41表示IPv6封裝。負(fù)載長度采用32位字為單位的長度減去2來表示。

SPI字段和外部IP頭的目的地址一起，用于識別對這個包進(jìn)行身份驗(yàn)證的安全關(guān)聯(lián)。序列號是一個單向遞增計(jì)數(shù)器，主要為了抵抗重放攻擊。認(rèn)證數(shù)據(jù)的長度由具體的認(rèn)證算法決定，如HMAC-SHA的長度是96位。

封裝安全載荷ESP為IP報文提供保密性和抗重播服務(wù)，作為可選的功能，ESP也可提供數(shù)據(jù)完整性和認(rèn)證服務(wù)。ESP頭的結(jié)構(gòu)如圖12-4所示。圖12-4ESP頭的結(jié)構(gòu)

其中，安全參數(shù)索引(SPI)是一個任意的32位值，它與目的IP地址和安全協(xié)議(ESP)結(jié)合，惟一地標(biāo)識這個數(shù)據(jù)報的安全關(guān)聯(lián)SA。有效載荷數(shù)據(jù)(PayloadData)包含ESP要保護(hù)的數(shù)據(jù)。很多情況下需要使用填充字段，采用的加密算法要求明文是某個數(shù)量字節(jié)的倍數(shù)，利用填充字段來確保結(jié)果密文是32位的字右對齊。填充字段可以用于隱藏有效載荷的實(shí)際長度，支持(部分)信息流機(jī)密性。

認(rèn)證數(shù)據(jù)包含一個完整性校驗(yàn)值(ICV)，ESP分組中該值的計(jì)算不包含驗(yàn)證數(shù)據(jù)本身。認(rèn)證數(shù)據(jù)字段是可選的，只有SA選擇認(rèn)證服務(wù)才包含驗(yàn)證數(shù)據(jù)字段。隧道模式下使用ESP協(xié)議后IP數(shù)據(jù)報的結(jié)構(gòu)如圖12-5所示。圖12-5使用ESP協(xié)議后IP數(shù)據(jù)報的結(jié)構(gòu)

IPSec支持的加密算法包括三重DES、RC5、IDEA，三重IDEA、CAST和Blowfish，所支持的認(rèn)證算法包括HMAC-MD5-96和HMAC-SHA-1-96。通信雙方共享密鑰的建立、安全算法和使用模式的選取是通過密鑰交換協(xié)議IKE實(shí)現(xiàn)的，如圖12-6所示。IKE協(xié)議是一個應(yīng)用層協(xié)議，以UDP方式通信(端口為500)。協(xié)商后的結(jié)果存放在安全關(guān)聯(lián)數(shù)據(jù)庫SAD中。圖12-6密鑰交換協(xié)議IKE

當(dāng)一個系統(tǒng)需要對發(fā)送的包使用IPSec實(shí)施保護(hù)時，它查詢數(shù)據(jù)庫中的安全關(guān)聯(lián)，根據(jù)其相關(guān)內(nèi)容進(jìn)行特定處理，然后將安全連接的SPI(安全參數(shù)索引)插入到IPSec報頭中。當(dāng)對等接收方收到數(shù)據(jù)包時，就利用SPI和目的IP地址，從網(wǎng)絡(luò)數(shù)據(jù)庫中查詢相對應(yīng)的安全關(guān)聯(lián)，之后根據(jù)安全關(guān)聯(lián)的內(nèi)容對數(shù)據(jù)包作相關(guān)的安全處理。

在IKE第一版本中，消息交換非常復(fù)雜。為了使得IKE更加簡潔、實(shí)現(xiàn)速度更快，2005年12月正式推出了新的IKE協(xié)議標(biāo)準(zhǔn)—IKEv2。12.3傳輸層安全協(xié)議SSL/TLS簡介

IPSec可以提供端到端的網(wǎng)絡(luò)安全傳輸能力，但是它無法處理位于同一端系統(tǒng)中不同用戶之間的安全需求，因此需要在傳輸層和更高層提供網(wǎng)絡(luò)安全傳輸服務(wù)，來滿足這些要求。

SSL安全協(xié)議是Netscape公司設(shè)計(jì)的主要用于Web的安全傳輸協(xié)議。SSL安全協(xié)議的目的，是為客戶和服務(wù)器之間的數(shù)據(jù)傳送提供安全可靠的保證。為了防止客戶-服務(wù)器應(yīng)用中的消息竊聽、消息篡改以及消息偽造等攻擊，SSL安全協(xié)議提供了認(rèn)證服務(wù)、完整性服務(wù)和機(jī)密性服務(wù)。

SSL安全協(xié)議工作在傳輸層之上，應(yīng)用層之下，因此獨(dú)立于應(yīng)用層協(xié)議。使用該協(xié)議便宜且開發(fā)成本小。當(dāng)SSL安全協(xié)議取得大規(guī)模成功后，互聯(lián)網(wǎng)工程任務(wù)組(IETF)將SSL安全協(xié)議作了標(biāo)準(zhǔn)化，并稱其為TLS安全協(xié)議。IETF于2003年4月推出了TLS1.1的草案。該草案不僅對RFC2246在文本上做了更合乎規(guī)范的修改，而且對TLS1.0中的安全缺陷提出了明確的解決辦法。目前，幾乎所有操作平臺上的Web瀏覽器(IE、Netscape)以及流行的Web服務(wù)器都支持SSL安全協(xié)議。IE瀏覽器SSL和TLS的設(shè)置如圖12-7所示。圖12-7IE瀏覽器SSL和TLS的設(shè)置如果服務(wù)器和客戶使用SSL/TLS，則上述瀏覽器的URL應(yīng)為https://...。應(yīng)用SSL/TLS增強(qiáng)安全后應(yīng)用層協(xié)議和使用的端口如下：

TLS協(xié)議分為TLS握手協(xié)議和TLS記錄協(xié)議兩層。TLS握手協(xié)議提供的安全連接主要有以下3個特點(diǎn)。

(1)使用對稱密鑰加密算法或公開密鑰加密算法來鑒別對等實(shí)體的身份，鑒別的方式是可選的，但是必須至少有一方要鑒別另一方的身份。

(2)協(xié)商共享安全信息的方法是安全的，協(xié)商的秘密不能夠被竊聽，而且即使攻擊者能夠接觸連接的路徑，也不能獲得任何有關(guān)連接鑒別的秘密。

(3)協(xié)商是可靠的，沒有攻擊者能夠在不被雙方察覺的情況下修改通信信息。

TLS握手協(xié)議包括以下步驟:

(1)交換Hello消息以協(xié)商密碼算法，交換隨機(jī)值并檢查會話是否可重用。

(2)交換必要的密碼學(xué)參數(shù)，使客戶和服務(wù)器能夠協(xié)商premastersecret。

(3)交換證書和密碼學(xué)信息，使客戶和服務(wù)器能夠進(jìn)行相互認(rèn)證。

(4)使用交換的隨機(jī)值和premastersecret生成主秘密mastersecret。

(5)為記錄協(xié)議提供安全參數(shù)。

TLS握手流程如圖12-8所示。圖12-8TLS握手過程消息流程圖

TLS記錄協(xié)議是一個可相對獨(dú)立工作的協(xié)議，記錄協(xié)議完成的工作包括數(shù)據(jù)的分段、可選擇的數(shù)據(jù)壓縮、提供消息校驗(yàn)碼MAC、對消息進(jìn)行加密和信息傳輸?shù)?。對接收到的?shù)據(jù)進(jìn)行解密、校驗(yàn)、解壓縮、重組等，然后將它們傳送到高層客戶機(jī)。TLS記錄協(xié)議的工作流程如圖12-9所示。圖12-9TLS記錄協(xié)議的工作流程

TLS已經(jīng)獲得廣泛應(yīng)用，然而，就是這樣一個經(jīng)過千錘百煉的安全協(xié)議，在2009年11月，國外學(xué)者M(jìn).Ray提出了一種新的重協(xié)商攻擊，這種攻擊是：攻擊者能夠干擾客戶端和服務(wù)器之間的TLS/SSL會話，并插入其任意選區(qū)的數(shù)據(jù)。客戶端認(rèn)為已經(jīng)和服務(wù)器建立了一個TLS/SSL連接，而服務(wù)器則認(rèn)為攻擊者和客戶端是同一個實(shí)體，從而把攻擊者傳送的數(shù)據(jù)當(dāng)做是客戶端發(fā)送的而接受。這一攻擊可能導(dǎo)致多種潛在的安全威脅。針對這一攻擊，馮登國提出了新的TLS/SSL安全協(xié)議的安全重協(xié)商擴(kuò)展方案。IETF也于2010年2月發(fā)布了新的協(xié)議擴(kuò)展版RFC5746(TransportLayerSecurity(TLS)RenegotiationIndicationExtension，TLS重新協(xié)商標(biāo)識擴(kuò)展)。

部署SSL/TLS證書是保證網(wǎng)銀系統(tǒng)和電子商務(wù)網(wǎng)站機(jī)密信息傳輸安全最有效、最安全的解決方案，也是最簡單的解決方案。但是，用戶往往最容易忽略SSL證書是否得到正確配置(例如，傳統(tǒng)SSL通信重新協(xié)商機(jī)制沒有得到修補(bǔ)或關(guān)閉)，而不安全的配置將導(dǎo)致安全漏洞，給系統(tǒng)帶來巨大安全隱患。思考題

(1)在應(yīng)用層實(shí)現(xiàn)安全服務(wù)與在網(wǎng)絡(luò)層實(shí)現(xiàn)安全服務(wù)有何不同?

(2)?IPSec是由哪兩大部分構(gòu)成的，有哪兩種工作模式，什么是SA?

(3)列出由SSL或TLS協(xié)議所提供的服務(wù)。

(4)區(qū)分下列概念：主密鑰、會話密鑰、加密密鑰、驗(yàn)證密鑰。

(5)在信息安全中我們要經(jīng)常使用隨機(jī)數(shù)，如果產(chǎn)生隨機(jī)數(shù)？

(6)?IPSec協(xié)議和TLS協(xié)議在安全服務(wù)方面有何不同？實(shí)驗(yàn)12在Windows下實(shí)現(xiàn)IPSecVPN一、實(shí)驗(yàn)?zāi)康?/p>

(1)熟悉IPSec,SSL/TLS等常用安全通信協(xié)議。

(2)利用WindowsServer2008和Windows7/Vista實(shí)現(xiàn)基于IPSec的安全通信。

(3)了解在WindowsServer2008下部署基于SSTP的VPN的過程。二、實(shí)驗(yàn)準(zhǔn)備

(1)虛擬專用網(wǎng)。構(gòu)建虛擬專用網(wǎng)VPN的目的是保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。

隧道(Tunneling)技術(shù)是VPN的基本技術(shù)，網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議傳輸另一種網(wǎng)絡(luò)協(xié)議，也就是將原始網(wǎng)絡(luò)信息進(jìn)行再次封裝，并在兩個端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由，從而保證網(wǎng)絡(luò)信息傳輸?shù)陌踩?。具體包括第二層隧道協(xié)議和第三層隧道協(xié)議。

第二層隧道協(xié)議是在數(shù)據(jù)鏈路層進(jìn)行的，先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP包中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中，這種經(jīng)過兩層封裝的數(shù)據(jù)包由第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有PPTP、L2F和L2TP。

第三層隧道協(xié)議是在網(wǎng)絡(luò)層進(jìn)行的，把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有IPSec和GRE。利用SSL/TLS協(xié)議構(gòu)建VPN需要安裝數(shù)字證書。

(2)?WindowsServer2008將Windows防火墻功能和Internet網(wǎng)絡(luò)層安全協(xié)議IPSec集成到一個控制臺中。使用這些高級選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗(yàn)證設(shè)置。

(3)?Microsoft在WindowsServer2008/VistaSP1中除了支持PPTP及L2TPOVERIPSec外，還引入了使用SSLVPN協(xié)議的SSTP，它被集成到RRAS中并使用STLS。SSTP可處理IPv4和IPv6數(shù)據(jù)包。它支持網(wǎng)絡(luò)訪問保護(hù)(NAP)，但僅用于遠(yuǎn)程客戶端訪問，不支持站點(diǎn)到站點(diǎn)VPN。部署使用NAT路由器的基于SSTP的VPN服務(wù)器大致需要可參考如下網(wǎng)站：/a2010/0409/871/000000871726_all.shtml。三、實(shí)驗(yàn)內(nèi)容這里使用Windows防火墻的高級安全功能(WFAS)來實(shí)現(xiàn)客戶機(jī)與服務(wù)器的安全加密通信。假設(shè)服務(wù)器和客戶機(jī)都加入了域，服務(wù)器IP地址為8，Windows7客戶機(jī)IP地址為7。我們通過在組策略中定義安全連接規(guī)則并應(yīng)用到所有實(shí)驗(yàn)用機(jī)，從而實(shí)現(xiàn)隔離策略。只有經(jīng)過加密的數(shù)據(jù)才能被服務(wù)器接受，任何沒經(jīng)過加密和認(rèn)證的流量都會在客戶端瀏覽器中顯示“InternetExplorercannotdisplaythispage”。1．在主域控制器上(1)打開[ActiveDirectoryUsersandComputers]。創(chuàng)建一個組織OU，把客戶機(jī)和服務(wù)器均加入OU。(2)在[Start]→[Run]下運(yùn)行g(shù)pmc.msc，展開域找到OU。點(diǎn)右鍵選中[CreateaGPOinthisdomain,andlinkithere]，如圖12-10所示。圖12-10gpmc.msc運(yùn)行界面

(3)編輯創(chuàng)建GPO，單擊[ComputerConfiguration]→[WindowsSettings]→[SecuritySecttings]→[WindowsFirewallWithAdvancedSecurity]→[WFAS-LDAP…]→[ConnectionSecurityRules]，右擊并選擇[NewRule]，如圖12-11所示。圖12-11編輯創(chuàng)建GPO(4)選擇[Isolation]作為規(guī)則類型。(5)選擇[requireauthenticationforinboundandoutbo