IPSec原理与实践2－配置步骤下(一组图)

图15　 "新筛选器操作 属性"对话框

在这里我们可以对新筛选器操作的细节进行设置。其中，可以选择"许可"、"阻止"对符合"IP筛选器"的数据流进行过滤。可以发现，实际上这就可以很简单的实现一个普通防火墙的功能。除此之外，如果选择"协商安全"还可以对允许的通信进行进一步的安全设置。可以单击"添加"按钮，添加相应的安全措施，如图16所示。

图16　 "安全措施" 对话框

图17　 "自定义安全措施设置"对话框

安全措施包括：

●"高"：选择以最高的安全级别来保护数据。使用"封装安全措施负载量"(ESP) 来提供机密性（数据加密）、身份验证、防止重发和完整性，使其适合于高的安全级别。ESP 不提供 IP 报头（地址）的完整性。如果数据和地址均需要保护，可以创建自定义安全方法。如果不需要加密，可以使用"中"。

●"中"：使用验证报头（AH）协议来提供完整性、防止重发和身份验证。这适合于安全计划需要标准的安全级别时。AH 提供IP报头和数据的完整性，但是不加密数据。

●"自定义"：如果需要加密和地址完整性、更强大的算法或密钥寿命，可以指定自定义的安全方法。如图17所示，其中包括：

■数据和地址不加密的完整性（AH）算法：

◆消息摘要 5 (MD5)，产生 128 位的密钥。

◆安全散列算法 (SHA1)，产生 160 位的密钥。密钥越长越安全，所以应首要考虑 SHA1。

■数据完整性算法： MD5或SHA1。

■数据加密算法：

◆3DES 是最安全的 DES 组合，3DES 每个数据块处理三次，因此会降低系统性能。

◆DES 只使用56位密钥，用于不需要很高的安全性和3DES开销的情况下，或者出于互通性考虑。

■密钥生存期 ：密钥生存期决定新密钥的产生时间，可以用千字节数或/和秒数指定密钥生存期。例如，如果通讯用了 10000 秒，而密钥寿命指定为 1000 秒，将会产生 10 个密钥来完成该传送。这样可以确保即使攻击者获得了部分通讯，也无法获得整个通讯。

可以添加多个安全措施，并通过"上移"、"下移"按钮指定和另一计算机协商时采取的安全措施首选的顺序。如图18所示。

图18　 指定安全措施首选的顺序

图19　 确保选中新添加的筛选器操作项

在"安全措施"标签页还有三个选项：

●"接受不安全的通信，但总是用IPSec响应"：接受由其它计算机初始化的不受保护的通信，但在本机应答或初始化时总是使用安全的通信。

●"允许和不支持IPSec的计算机进行不安全的通信"：允许来自或到其它计算机的不受保护的通信。

●"会话密钥完全向前保密"：确保会话密钥和密钥材料不被重复使用。

需要注意的是，当以上内容设置结束回到"筛选器操作"标签页后，必须选中刚才添加的新筛选器操作项，如图19所示。

3）身份验证方法

身份验证方法定义向每一位用户保证其他的计算机或用户的身份的方法。如图20所示。每一种身份验证方法提供必要的手段来保证身份。WINDOWS2000支持三种身份验证方法：Kerberos协议、使用证书和使用预共享的密钥。如图21所示。

图20　 身份验证方法标签页

图21　 身份验证方法属性对话框

4）隧道设置

如图22所示，当只与特定的计算机交换通信并且知道该计算机的IP地址时，选择"隧道终点由此IP地址指定"并输入目标计算机的IP地址。

图22　 隧道设置标签页

图23　 连接类型标签页

5）连接类型

为每一个规则指定的连接类型可以决定计算机的连接（网卡或调制解调器）是否接受IPSec策略的影响。每一个规则拥有一种连接类型，此类型指定规则是否应用到LAN连接、远程访问连接或所有的网络连接上。如图23所示。

（9）新创建的IP安全策略的属性对话框还有一个"常规"标签页，如图24所示。这里可以输入新IP安全策略的名称和描述，更改"检查策略更改时间"（输入因该策略的变化而对Active Directory进行轮询的频率）。

图24　 "IP安全策略属性"的"常规"标签页

图25　 "密钥交换设置"对话框

此外还可单击"高级"按钮，在"密钥交换设置"对话框中对密钥交换进行高级设置，如图25所示。其中：

●"主密钥完全前向保密"：选择保证没有重用以前使用的密钥材料或密钥来生成其它主密钥。

●"身份验证和生成新密钥间隔（A）"：确定在其后将生成新密钥的时间间隔。

●"身份验证和生成新密钥间隔（U）"：限制主密钥可以被当作会话密钥的密钥材料来重新使用的次数。（如果已经启用了"主密钥完全前向保密"，则会忽略该参数。）

●保护身份的方法：单击"方法"按钮，在弹出的"密钥交换安全措施"对话框中安全措施首选顺序以及IKE安全算法细节作出选择，如图26所示。其中包括：

■完整性算法：MD5或SHA1。

■加密算法：3DES或DES。

■Diffie-Hellman小组：选择作为将来密钥基础的"Diffie-Hellman小组"：

◆使用"低"（Diffie-Hellman小组1）来为96位的密钥提供密钥材料。

◆使用"中"（Diffie-Hellman小组2）来为128位的密钥（更强）提供密钥材料。

图26　 "密钥交换安全措施"对话框

图27　 指派一种策略

（10）最后，需要在新建立的IP安全策略上单击鼠标右键并选择"指派"使改IP安全策略启用。如图27所示。注意：一次只能指派一种策略。

2　IP安全策略管理

通过右击"IP安全策略，在本地机器"，选择"管理IP筛选器表和筛选器操作"可以对已制定的IP安全策略进行修改。如图28所示，其中各种选项前面都已经介绍，在此不再赘述。