• 阻塞傳輸：該策略讓IPSec封鎖來自從A計算機(jī)到B計算機(jī)所有傳輸。由接受系統(tǒng)丟棄傳輸數(shù)據(jù)。阻塞所有的傳輸數(shù)據(jù)的工作量很大，該策略不太常用。


• 加密傳輸：加密傳輸允許在計算機(jī)之間通信，但數(shù)據(jù)必須經(jīng)過加密以防竊聽，此時，IPSec使用封裝安全負(fù)載（Encapsulating Security Payload，簡稱ESP)協(xié)議來加密數(shù)據(jù)，竊聽到的數(shù)據(jù)表現(xiàn)為不可讀的字節(jié)流。


• 簽名傳輸：簽名傳輸用來防止”中間人”攻擊，用于數(shù)字簽名的認(rèn)證包頭（Authentication Header，簡稱AH) 協(xié)議是在網(wǎng)絡(luò)包的結(jié)尾添加一位，以驗證數(shù)據(jù)在傳輸中是否被改變。


• 無需簽名或者無需加密，允許未加改變地傳輸： 這是安全性的缺省設(shè)置。允許所有數(shù)據(jù)進(jìn)行傳輸，無需驗證數(shù)據(jù)完整性。

    開發(fā)一個總體的IPSec安全性策略 
  
    一旦了解了IPSec的加密選項，下一步是開發(fā)總體的IPSec安全策略。同其他安全策略一樣，IPSec安全策略也是一個平衡和折衷方案，即既要讓讓信息為大量用戶訪問，又要保護(hù)敏感信息不被竊取。
  
    在安全界，對于標(biāo)準(zhǔn)的安全策略，與之對應(yīng)的手段并沒有精確的定義。安全策略的內(nèi)容多種多樣，取決于公司的策略和架構(gòu)。下列的安全級別可作為規(guī)劃 IPSec配置的基本準(zhǔn)則：

• 最低程度的安全性：敏感數(shù)據(jù)不通過計算機(jī)網(wǎng)絡(luò)傳送，因此IPSec在缺省情況下關(guān)閉，在Server 2003中，可以選擇關(guān)閉IPSec。


• 中等程度的安全性：當(dāng)諸如數(shù)據(jù)庫或者文件服務(wù)器這樣的網(wǎng)絡(luò)系統(tǒng)在傳輸或者保存敏感數(shù)據(jù)時，必須進(jìn)行IPSec安全設(shè)置。但是，這些安全措施需要綜合考慮，不能對日常工作造成影響。 Server 2003提供了缺省的加密數(shù)據(jù)的IPSec策略，不提倡對客戶（僅僅響應(yīng)）和服務(wù)器（請求安全）采用過分嚴(yán)格的安全措施。使用這些缺省的安全設(shè)計可以優(yōu)化效率，且不會降低安全性。


• 高安全性：對于那些任何情況下都不能篡改或者添加的數(shù)據(jù)，需要使用高安全性策略。在一些場合中，對于缺省的IPSec安全設(shè)置，安全服務(wù)器將提供需要的安全等級。同沒有配置IPSec的計算機(jī)進(jìn)行通信是不安全，也是不允許的。

    配置IPSec安全性
  
    一旦確定了IPSec安全級別，下一步是配置IPSec安全性。IPSec策略配置是把安全需求轉(zhuǎn)換為一個或者多項 IPSec策略， 且在可以在域級，或者公司級，和本地級進(jìn)行設(shè)置。每項IPSec策略包含一條或者多條IPSec規(guī)則，每條IPSec規(guī)則包含一個過濾列表，過濾動作，認(rèn)證方法以及連接類型。
  
    過濾列表決定了受安全規(guī)則制約的IP流量類型，一旦過濾器被觸發(fā)，就會采取過濾動作。過濾動作指明了對應(yīng)于過濾列表中所標(biāo)出的IP地址所采取的安全措施。 配置 IPSec 過濾動作時，有三種可選動作：

• 允許：IPSec安全策略中的允許選項是缺省值。數(shù)據(jù)包允許在網(wǎng)絡(luò)中傳輸，無需 IPSec保護(hù)。


• 阻塞： 當(dāng)使用阻塞過濾選項時， 網(wǎng)絡(luò)中不允許運行滿足相應(yīng)的IP過濾條件的協(xié)議。


• 協(xié)商安全性：如果一項IPSec過濾條件得到匹配， 協(xié)商安全性選項可以讓管理員設(shè)置對數(shù)據(jù)的加密算法。

    IPSec規(guī)則的另外一個關(guān)鍵要素是認(rèn)證，有三種不同的認(rèn)證方法：

• Kerberos – Kerberos v5常用于Windows Server 2003，是其缺省認(rèn)證方式。 Kerberos能在域內(nèi)進(jìn)行安全協(xié)議認(rèn)證，使用時，它既對用戶的身份也對網(wǎng)絡(luò)服務(wù)進(jìn)行驗證。Kerberos的優(yōu)點是可以在 用戶和服務(wù)器之間相互認(rèn)證，也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認(rèn)證的UNix環(huán)境系統(tǒng)之間提供認(rèn)證服務(wù)。


• 公鑰證書 (PKI) – PKI用來對非受信域的成員，非Windows客戶，或者沒有運行Kerberos v5 認(rèn)證協(xié)議的計算機(jī)進(jìn)行認(rèn)證，認(rèn)證證書由一個作為證書機(jī)關(guān)（CA）系統(tǒng)簽署。


• 預(yù)先共享密鑰 -在預(yù)先共享密鑰認(rèn)證中，計算機(jī)系統(tǒng)必須認(rèn)同在IPSec策略中使用的一個共享密鑰 ，使用預(yù)先共享密鑰僅當(dāng)證書和Kerberos無法配置的場合。

    預(yù)定義IPSec策略
  
    正如前面提到的，IP傳輸規(guī)則 用來創(chuàng)建IPSec策略。Server 2003中包含三種預(yù)定義的可能會滿足公司需要的IPSec策略，這些安全策略可以缺省方式工作，也可以修改為適合公司的特別需要。
  
    通過檢查缺省的選項，且對照其設(shè)置，可以在創(chuàng)建安全策略時，更好地理解需要完成的工作。 缺省的 IPSec策略包括：客戶（僅僅響應(yīng)），服務(wù)器 (請求安全性），以及加密服務(wù)器（需要安全性）。
  
    客戶（僅僅響應(yīng)）
  
    在客戶（僅僅響應(yīng)）配置模式下，客戶告訴Server 2003不使用缺省的IPSec選項。僅當(dāng)另外一個系統(tǒng)或者網(wǎng)絡(luò)設(shè)備請求它實現(xiàn) IPSec策略時，才打開該功能。在該配置模式下，客戶系統(tǒng)不會打開IPSec 安全選項，僅當(dāng)出現(xiàn)外界的請求時，才使用 IPSec策略。
  
    缺省的策略出自缺省的響應(yīng)規(guī)則，該缺省的響應(yīng)規(guī)則應(yīng)用于數(shù)據(jù)流入流出的連接，缺省的配置設(shè)置為：

• IP過濾列表（IP Filter List）：


• 過濾動作（Filter Action）： Default Response


• 認(rèn)證（Authentication）： Kerberos


• 隧道設(shè)置（Tunnel Setting）：: None


• 連接類型（Connection Type）：All

    如果上面的缺省設(shè)置不能滿足我們的需求，可以修改它們，或者創(chuàng)建新策略。例如，如果需要，我們可以把認(rèn)證類型從Kerberos改為 PKI，或者我們可以 把連接類型從All改成LAN，或者僅允許遠(yuǎn)程訪問。
  
    服務(wù)器 (請求安全性）
  
    服務(wù)器 (請求安全性）選項比客戶選項提供了更多安全性。在該配置中，系統(tǒng)在初始時請求IPSec加密傳輸方式，但是如果其他系統(tǒng)不支持IPSec，也會采取折衷，并允許進(jìn)行不安全的通信。此時，如果系統(tǒng)沒有開啟IPSec，整個通信不受保護(hù)。要了解該策略是如何制定的，需要仔細(xì)查看一下創(chuàng)建策略的規(guī)則。有三種規(guī)則：
  
    規(guī)則 1：

• IP過濾列表（IP Filter List）:All IP Traffic


• 過濾動作（Filter Action）： Request Security (Optional)


• 認(rèn)證（Authentication）： Kerberos


• 隧道設(shè)置（Tunnel Setting）： None


• 連接類型（Connection Type）：All

    規(guī)則2：

• IP過濾列表（IP Filter List）: All ICMP Traffic


• 過濾動作（Filter Action）： Permit


• 認(rèn)證（Authentication）： N/A


• 隧道設(shè)置（Tunnel Setting）： None


• 連接類型（Connection Type）： All

    規(guī)則3 (與客戶選項相同）

• IP過濾列表（IP Filter List）:


• 過濾動作（Filter Action）: Default Response


• 認(rèn)證（Authentication）： Kerberos


• 隧道設(shè)置（Tunnel Setting）：None


• 連接類型（Connection Type）： All

    加密服務(wù)器（需要安全性）
  
    一旦開啟，加密服務(wù)器（需要安全性）選項提供了最高級別的安全性。加密服務(wù)器策略 對所有采用IPSec策略傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密。該策略將拒絕所有來自非IPSec客戶的數(shù)據(jù)包。該策略有一條規(guī)則需求對所有IP傳輸數(shù)據(jù)進(jìn)行加密，但是注意該規(guī)則允許ICMP類型的傳輸數(shù)據(jù)，另外 缺省的響應(yīng)規(guī)則類似于其他預(yù)定義策略。
  
    規(guī)則1：

• IP過濾列表（IP Filter List）：All IP Traffic


• 過濾動作（Filter Action）：Require Security


• 認(rèn)證（Authentication）：N/A


• 隧道設(shè)置（Tunnel Setting）： None


• 連接類型（Connection Type）：All

    規(guī)則2：

• 
  
  P過濾列表（IP Filter List）： All ICMP Traffic


• 
  
  過濾動作（Filter Action）：Permit


• 
  
  認(rèn)證（Authentication）： Kerberos


• 
  
  隧道設(shè)置（Tunnel Setting） None


• 
  
  連接類型（Connection Type）：All

    規(guī)則 3 (與客戶選項相同）

• P過濾列表（IP Filter List）：


• 過濾動作（Filter Action）：Default Response


• 認(rèn)證（Authentication）：Kerberos


• 隧道設(shè)置（Tunnel Setting）None


• 連接類型（Connection Type）：All

    結(jié)論 
  
    通過檢查這些預(yù)定義的Server 2003 策略的多種規(guī)則，我們現(xiàn)在對如何設(shè)計滿足公司要求的安全策略有了更好的理解。使用規(guī)則來創(chuàng)建策略，可以讓安全設(shè)計具有靈活性，可以讓管理員設(shè)置用于IP數(shù)據(jù)傳輸?shù)暮线m的安全級別。

多易