史萊姆論壇 - 查看單個文章

psac · 2006-09-13, 06:54 AM

How to ：使用IPSec加密保護Web代理服務通訊
　
內容概要：雖然ISA Server對企業內部網路安全接入Internet提供了高可靠性的防護，但是作為路由級的企業防火牆，ISA Server並不能控制和保護內部網路主機之間沒有通過ISA Server的資料通訊。在共享式網路中，如果內部網路中有人使用Sniffer進行嗅探，那麼所有的網路通訊資料都會被他截取，所以未加密保護的網路通訊是不安全的。在這篇文章中，你可以學習到如何使用IPSec來加密保護客戶和ISA Server的Web代理服務之間的通訊。
　
雖然ISA Server對企業內部網路安全接入Internet提供了高可靠性的防護，但是作為路由級的企業防火牆，ISA Server並不能控制和保護內部網路主機之間沒有通過ISA Server的資料通訊。在共享式網路中，如果內部網路中有人使用Sniffer進行嗅探，那麼所有的網路通訊資料都會被他截取，所以未加密保護的網路通訊是不安全的。
注意：在此我指的是共享式網路，例如網路使用集線器進行互連的網路；如果是基於交換機的交換式網路，那麼對方是不容易嗅探到單播的網路通訊資料的。
幸好微軟早就考慮到了這點，從Windows 2000開始就提供了IPSec安全策略，可以通過配置IPSec安全策略來使用IPSec加密保護網路之間的資料通信。ISA Server可以相容IPSec的網路通信加密保護功能，在部署了ISA Server的情況下，你一樣可以使用IPSec安全策略來加密保護網路主機之間的通信。
注意：在此僅僅是使用IPSec的網路通訊加密保護功能，切勿在ISA Server上使用IPSec的阻止網路通訊功能！這是由於IPSec工作在網路驅動的最底層，它的配置會優先於ISA Server的配置進行操作。
下圖是我們的試驗網路，ISA Server的內部IP位址為192.168.0.1，對內部網路提供了連接阜為TCP 8080的Web代理服務；內部網路使用集線器進行連接，內部一台電腦（192.168.0.8）通過ISA Server上的Web代理服務來訪問Internet。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec.jpg

在內部的另外一台電腦上，使用Sniffer來嗅探網路，可以嗅探到網路的所有通訊資料。如下圖，可以清楚的看到Web代理客戶192.168.0.8正在通過ISA Server（192.168.0.1）上的Web代理服務來訪問ISA中文站http://www.isacn.org。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec00.jpg

因此，我將部署IPSec安全策略來加密保護Web代理客戶和ISA Server的Web代理服務之間的通訊。在部署IPSec加密保護通訊時，你需要在通訊的雙方上同時進行部署才能使用。可以使用的身份驗證方式除了域中使用的Kerberos協議外，對於工作組環境下你還可以使用IPSec證書或者預設的共享密鑰這兩種方式，推薦使用IPSec證書。
在此我使用IPSec證書，在ISA Server和客戶機192.168.0.8上，已經安裝好了IPSec證書，如下圖所示，使用的是由CA fengjianzi.vicp.net頒發的IPSec證書。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec01.jpg

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec02.jpg

現在我們就可以部署IPSec安全策略了。首先在ISA Server服務器上進行配置，此電腦的操作系統為Windows server 2003企業版（不同版本的Windows系統中的IPSec安全策略可能細節上有所不同）。點擊開始，執行gpedit.msc，在彈出的組策略編輯器中，依次展開電腦配置、Windows設置、安全設置，點擊IP安全策略，然後右擊右邊的空白處，選擇創建IP安全策略；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec03.jpg

在彈出的歡迎使用IP安全策略嚮導頁，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec04.jpg

在IP安全策略名稱頁，輸入名稱為Secure Web Proxy Clients，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec05.jpg

在安全通訊請求頁，取消勾選啟動預定響應規則，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec06.jpg

在正在完成IP安全策略嚮導頁，點擊完成；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec07.jpg

此時，彈出了剛才建立的IP安全策略的內容交談視窗，點擊新增，

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec08.jpg

在彈出的歡迎使用創建IP安全規則嚮導頁，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec09.jpg

在隧道終結點頁，接受預定的此規則不指定隧道，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec10.jpg

在網路類型頁，由於我們只是針對內部網路中的客戶，所以選擇局域網（LAN），點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec11.jpg

在IP篩選器列表頁，點擊新增，

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec12.jpg

在彈出的IP篩選器列表交談視窗，輸入名稱為With Web Proxy Clients，然後點擊新增；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec13.jpg

在歡迎使用IP篩選器嚮導頁，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec14.jpg

在IP篩選器描述和鏡像內容頁，輸入描述為From Web Proxy Client 192.168.0.8，然後點擊下一步；
注意：下面有個鏡像的選項。對於使用IPSec加密保護通訊的IPSec篩選器，必須勾選此選項，這也是預定啟用的。

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec15.jpg

在IP通信源頁，你可以選擇的選項如下圖所示。如果你想針對內部網路中的所有Web代理客戶，你可以選擇一個特性的IP子網，然後輸入內部網路的子網位址即可，但是此時對應子網的所有Web代理客戶都必須部署對應的IPSec安全策略和IPSec證書；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec16.jpg

在此我只是針對客戶192.168.0.8，所以選擇一個特定的IP位址，然後輸入IP位址192.168.0.8，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec17.jpg

在IP通信目標頁，選擇我的IP位址，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec18.jpg

在IP協議類型頁，選擇協議為TCP，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec19.jpg

在IP協議連接阜頁，設置為從任意連接阜到目的連接阜8080，點擊下一步；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec20.jpg

在正在完成IP篩選器嚮導頁，點擊完成；

http://www.isacn.org/pic/wpc_ipsec/wpc_ipsec21.jpg

2006-09-13, 06:54 AM	#4 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	How to ：使用IPSec加密保護Web代理服務通訊　內容概要：雖然ISA Server對企業內部網路安全接入Internet提供了高可靠性的防護，但是作為路由級的企業防火牆，ISA Server並不能控制和保護內部網路主機之間沒有通過ISA Server的資料通訊。在共享式網路中，如果內部網路中有人使用Sniffer進行嗅探，那麼所有的網路通訊資料都會被他截取，所以未加密保護的網路通訊是不安全的。在這篇文章中，你可以學習到如何使用IPSec來加密保護客戶和ISA Server的Web代理服務之間的通訊。　雖然ISA Server對企業內部網路安全接入Internet提供了高可靠性的防護，但是作為路由級的企業防火牆，ISA Server並不能控制和保護內部網路主機之間沒有通過ISA Server的資料通訊。在共享式網路中，如果內部網路中有人使用Sniffer進行嗅探，那麼所有的網路通訊資料都會被他截取，所以未加密保護的網路通訊是不安全的。注意：在此我指的是共享式網路，例如網路使用集線器進行互連的網路；如果是基於交換機的交換式網路，那麼對方是不容易嗅探到單播的網路通訊資料的。幸好微軟早就考慮到了這點，從Windows 2000開始就提供了IPSec安全策略，可以通過配置IPSec安全策略來使用IPSec加密保護網路之間的資料通信。ISA Server可以相容IPSec的網路通信加密保護功能，在部署了ISA Server的情況下，你一樣可以使用IPSec安全策略來加密保護網路主機之間的通信。注意：在此僅僅是使用IPSec的網路通訊加密保護功能，切勿在ISA Server上使用IPSec的阻止網路通訊功能！這是由於IPSec工作在網路驅動的最底層，它的配置會優先於ISA Server的配置進行操作。下圖是我們的試驗網路，ISA Server的內部IP位址為192.168.0.1，對內部網路提供了連接阜為TCP 8080的Web代理服務；內部網路使用集線器進行連接，內部一台電腦（192.168.0.8）通過ISA Server上的Web代理服務來訪問Internet。在內部的另外一台電腦上，使用Sniffer來嗅探網路，可以嗅探到網路的所有通訊資料。如下圖，可以清楚的看到Web代理客戶192.168.0.8正在通過ISA Server（192.168.0.1）上的Web代理服務來訪問ISA中文站http://www.isacn.org。因此，我將部署IPSec安全策略來加密保護Web代理客戶和ISA Server的Web代理服務之間的通訊。在部署IPSec加密保護通訊時，你需要在通訊的雙方上同時進行部署才能使用。可以使用的身份驗證方式除了域中使用的Kerberos協議外，對於工作組環境下你還可以使用IPSec證書或者預設的共享密鑰這兩種方式，推薦使用IPSec證書。在此我使用IPSec證書，在ISA Server和客戶機192.168.0.8上，已經安裝好了IPSec證書，如下圖所示，使用的是由CA fengjianzi.vicp.net頒發的IPSec證書。現在我們就可以部署IPSec安全策略了。首先在ISA Server服務器上進行配置，此電腦的操作系統為Windows server 2003企業版（不同版本的Windows系統中的IPSec安全策略可能細節上有所不同）。點擊開始，執行gpedit.msc，在彈出的組策略編輯器中，依次展開電腦配置、Windows設置、安全設置，點擊IP安全策略，然後右擊右邊的空白處，選擇創建IP安全策略；在彈出的歡迎使用IP安全策略嚮導頁，點擊下一步；在IP安全策略名稱頁，輸入名稱為Secure Web Proxy Clients，點擊下一步；在安全通訊請求頁，取消勾選啟動預定響應規則，點擊下一步；在正在完成IP安全策略嚮導頁，點擊完成；此時，彈出了剛才建立的IP安全策略的內容交談視窗，點擊新增，在彈出的歡迎使用創建IP安全規則嚮導頁，點擊下一步；在隧道終結點頁，接受預定的此規則不指定隧道，點擊下一步；在網路類型頁，由於我們只是針對內部網路中的客戶，所以選擇局域網（LAN），點擊下一步；在IP篩選器列表頁，點擊新增，在彈出的IP篩選器列表交談視窗，輸入名稱為With Web Proxy Clients，然後點擊新增；在歡迎使用IP篩選器嚮導頁，點擊下一步；在IP篩選器描述和鏡像內容頁，輸入描述為From Web Proxy Client 192.168.0.8，然後點擊下一步；注意：下面有個鏡像的選項。對於使用IPSec加密保護通訊的IPSec篩選器，必須勾選此選項，這也是預定啟用的。在IP通信源頁，你可以選擇的選項如下圖所示。如果你想針對內部網路中的所有Web代理客戶，你可以選擇一個特性的IP子網，然後輸入內部網路的子網位址即可，但是此時對應子網的所有Web代理客戶都必須部署對應的IPSec安全策略和IPSec證書；在此我只是針對客戶192.168.0.8，所以選擇一個特定的IP位址，然後輸入IP位址192.168.0.8，點擊下一步；在IP通信目標頁，選擇我的IP位址，點擊下一步；在IP協議類型頁，選擇協議為TCP，點擊下一步；在IP協議連接阜頁，設置為從任意連接阜到目的連接阜8080，點擊下一步；在正在完成IP篩選器嚮導頁，點擊完成；
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次