主題
:
IPSec Filter (IP安全策略)
查看單個文章
2006-09-13, 06:54 AM
#
4
(
permalink
)
psac
榮譽會員
榮譽勳章
勳章總數
19
UID - 3662
在線等級:
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
精華
: 2
現金: 5253 金幣
資產: 33853 金幣
How to :使用IPSec加密保護Web代理服務通訊
內容概要:雖然ISA Server對企業內部網路安全接入Internet提供了高可靠性的防護,但是作為路由級的企業防火牆,ISA Server並不能控制和保護內部網路主機之間沒有通過ISA Server的資料通訊。在
共享式
網路中,如果內部網路中有人使用Sniffer進行嗅探,那麼所有的網路通訊資料都會被他截取,所以未加密保護的網路通訊是不安全的。在這篇文章中,你可以學習到如何使用IPSec來加密保護客戶和ISA Server的Web代理服務之間的通訊。
雖然ISA Server對企業內部網路安全接入Internet提供了高可靠性的防護,但是作為路由級的企業防火牆,ISA Server並不能控制和保護內部網路主機之間沒有通過ISA Server的資料通訊。在
共享式
網路中,如果內部網路中有人使用Sniffer進行嗅探,那麼所有的網路通訊資料都會被他截取,所以未加密保護的網路通訊是不安全的。
注意:在此我指的是共享式網路,例如網路使用集線器進行互連的網路;如果是基於交換機的交換式網路,那麼對方是不容易嗅探到單播的網路通訊資料的。
幸好微軟早就考慮到了這點,從Windows 2000開始就提供了IPSec安全策略,可以通過配置IPSec安全策略來使用IPSec加密保護網路之間的資料通信。
ISA Server可以相容IPSec的網路通信加密保護功能
,在部署了ISA Server的情況下,你一樣可以使用IPSec安全策略來加密保護網路主機之間的通信。
注意:在此僅僅是使用IPSec的網路通訊加密保護功能,
切勿在ISA Server上使用IPSec的阻止網路通訊功能
!這是由於IPSec工作在網路驅動的最底層,它的配置會優先於ISA Server的配置進行操作。
下圖是我們的試驗網路,ISA Server的內部IP位址為192.168.0.1,對內部網路提供了連接阜為TCP 8080的Web代理服務;內部網路使用集線器進行連接,內部一台電腦(192.168.0.8)通過ISA Server上的Web代理服務來訪問Internet。
在內部的另外一台電腦上,使用Sniffer來嗅探網路,可以嗅探到網路的所有通訊資料。如下圖,可以清楚的看到Web代理客戶192.168.0.8正在通過ISA Server(192.168.0.1)上的Web代理服務來訪問ISA中文站
http://www.isacn.org。
因此,我將部署IPSec安全策略來加密保護Web代理客戶和ISA Server的Web代理服務之間的通訊。在部署IPSec加密保護通訊時,你需要在通訊的雙方上同時進行部署才能使用。可以使用的身份驗證方式除了域中使用的Kerberos協議外,對於工作組環境下你還可以使用IPSec證書或者預設的共享密鑰這兩種方式,
推薦使用IPSec證書
。
在此我使用IPSec證書,在ISA Server和客戶機192.168.0.8上,已經安裝好了IPSec證書,如下圖所示,使用的是由CA
fengjianzi.vicp.net
頒發的IPSec證書。
現在我們就可以部署IPSec安全策略了。首先在ISA Server服務器上進行配置,此電腦的操作系統為Windows server 2003企業版(
不同版本的Windows系統中的IPSec安全策略可能細節上有所不同)
。點擊
開始
,執行
gpedit.msc
,在彈出的
組策略編輯器
中,依次展開
電腦配置
、
Windows設置
、
安全設置
,點擊
IP安全策略
,然後右擊右邊的空白處,選擇
創建IP安全策略
;
在彈出的
歡迎使用IP安全策略嚮導
頁,點擊
下一步
;
在
IP安全策略名稱
頁,輸入名稱為
Secure Web Proxy Clients
,點擊
下一步
;
在
安全通訊請求
頁,取消勾選
啟動預定響應規則
,點擊
下一步
;
在
正在完成IP安全策略嚮導
頁,點擊
完成
;
此時,彈出了剛才建立的IP安全策略的內容交談視窗,點擊
新增
,
在彈出的
歡迎使用創建IP安全規則嚮導
頁,點擊
下一步
;
在
隧道終結點
頁,接受預定的
此規則不指定隧道
,點擊
下一步
;
在
網路類型
頁,由於我們只是針對內部網路中的客戶,所以選擇
局域網(LAN)
,點擊
下一步
;
在
IP篩選器列表
頁,點擊
新增
,
在彈出的
IP篩選器列表
交談視窗,輸入名稱為
With Web Proxy Clients
,然後點擊
新增
;
在
歡迎使用IP篩選器嚮導
頁,點擊
下一步
;
在
IP篩選器描述和鏡像內容
頁,輸入描述為
From Web Proxy Client 192.168.0.8
,然後點擊
下一步
;
注意:下面有個
鏡像
的選項。對於使用IPSec加密保護通訊的IPSec篩選器,必須勾選此選項,這也是預定啟用的。
在
IP通信源
頁,你可以選擇的選項如下圖所示。如果你想針對內部網路中的所有Web代理客戶,你可以選擇
一個特性的IP子網
,然後輸入內部網路的子網位址即可,但是此時對應子網的所有Web代理客戶都必須部署對應的IPSec安全策略和IPSec證書;
在此我只是針對客戶192.168.0.8,所以選擇
一個特定的IP位址
,然後輸入IP位址
192.168.0.8
,點擊
下一步
;
在
IP通信目標
頁,選擇
我的IP位址
,點擊
下一步
;
在
IP協議類型
頁,選擇協議為
TCP
,點擊
下一步
;
在
IP協議連接阜
頁,設置為從任意連接阜到目的連接阜
8080
,點擊
下一步
;
在
正在完成IP篩選器嚮導
頁,點擊
完成
;
__________________
送花文章: 3,
收花文章: 1631 篇, 收花: 3205 次
psac
查看公開訊息
查尋 psac 發表的更多文章