使用内置 I ec 策略 在本练习中,您将激活其中一个内置 I ec 策略以保护两台计算机之间的通信安全。默认策略使用 Kerbero 作为初始身份验证方法。因为两台计算机都是一个 Window 2000 域的成员,所以需要最小量的配置。 在 HQ-RES-WRK-01 上激活策略: 1. 在您在前面创建的 MMC 控制台上,从左窗格选择本地计算机上的 I 安全策略。在右窗格中有三个项目:客户机、安全服务器和服务器。
2. 右击安全服务器,然后选择指派。策略已指派列中的状态应从否变为是。
3. 在 HQ-RES-WRK-02 上重复步骤 1。右击客户机,然后选择指派。策略已指派列中的状态应从否变为是。 现在您已有一台计算机 (HQ-RES-WRK-01) 充当安全服务器,而另一台 (HQ-RES-WRK-02) 充当客户机。客户机开始时向服务器发送无保护措施的 ICM Echo 数据包(使用 ing 工具),但服务器将从客户机请求安全,在此之后其余的通信都将是安全的。如果服务器准备启动 ing,那么在服务器在网络上允许之前,ping 必须对于客户机来说是安全的。如果客户计算机也同样有安全服务器策略,那么它就不会发送无保护措施的 ing 或任何其它通信,相反,它将在发送任何应用程序数据之前请求 I ec 保护。如果两台计算机都有客户机策略,则没有数据会得到保护,原因是两端都不请求安全。
4. 在 HQ-RES-WRK-02 上,单击开始,单击运行,在文本框中键入 cmd ,然后单击确定。键入 ing IP1(HQ-RES-WRK-01 的 I 地址),在本例中 IP1 是 10.10.1.5。如下面的图 2 所示,ping 响应将指出正在协商 I ec。
5. 还原您以前将其最小化的 I 安全监视器窗口。您应看到当前在两台计算机之间使用的安全关联的细节以及传输的已验证的和保密的字节数的统计信息。
6. 重复 ing 命令。既然两台计算机在它们之间建立了 I ec 安全关联,您应接收到四个成功的答复,如下面图 3 所示。在本例中,IP1 是 10.10.1.5。
7. 仍在 HQ-RES-WRK-02 上继续,从 MMC 的左窗格,单击计算机管理旁边的 将其展开,然后展开系统工具,展开事件查看器,然后单击安全日志。在右窗格中双击成功审核最上面的实例。
8. 您应看到成功建立了 I ec 安全关联 (SA)。使用滚动条以查看整个说明。应看到类似于下面的代码示例(计算机名和 I 地址可能有所不同,这取决于您的配置): IKE ecurity a ociatio established
Mode:
Data rotectio Mode (Quick Mode) Peer Identity:
Kerbero ased Identity:
[email protected] Peer I Addre : 10.10.1.5 Filter:
Source I Addre 10.10.1.6
Source I Addre Mask 255.255.255.255
Destinatio I Addre 10.10.1.5
Destinatio I Addre Mask 255.255.255.255
Protocol 0
Source ort 0
Destinatio ort 0 Parameters:
E Algorithm DE CBC
HMAC Algorithm HA
AH Algorithm one
Enca ulatio Tra ort Mode
I ound i 1128617882
OutBount i 865899841
Lifetime (sec) 900
Lifetime (kb) 100000 您已经成功地在两台计算机之间配置和使用了 I 安全。 安全服务器策略对计算机的影响 只有能成功地协商的 I ec 客户机才能与安全服务器计算机通信。另外,安全服务器也不能够与任何其它系统通信,如域名系统 (D ) 服务器,除非该通信也可以使用 I ec 来保护其安全。因为许多服务都在服务器的后台运行,所以它们可能无法通信和生成事件日志消息。这是正常的,因为默认安全服务器策略是非常严格的,在允许 I 数据包进入网络之前会尝试保护几乎所有的 I 数据包。为在生产环境中实际使用,您必须根据安全性要求、网络拓扑和具体的服务器应用程序使用情况,创建能执行您所需要的操作的自定义策略。 允许非 I ec 客户机与服务器通信 要允许非 I ec 客户机同样能够通信,您应指派服务器策略,代替安全服务器。这总是请求安全,但允许与客户机进行无安全措施的通信,如果客户机不响应 IKE 协商请求,则回到明文。如果任何时候客户机都答复,那么协商在进行中并必须完全成功。如果协商失败,通信将被闭锁一分钟,于是将尝试另一个协商。有关用来控制此操作的设置的详细的讲述,参见“配置 I ec 筛选器操作”一节。 通过右击右窗格中的策略(在左窗格中的本地计算机上的 I 安全策略下面),然后单击撤消指派,撤消安全服务器或服务器和客户机策略,以将计算机返回到它们以前的状态。 建立自定义 I ec 策略 在上一节,您使用了其中一个内置 I ec 策略,来保护两个域成员之间的通信安全。如果您想保护不是域成员的两台计算机之间的通信安全,则必须创建自定义策略,因为内置策略要求域控制器提供的 Kerbero 身份验证。创建自定义策略还有其它一些理由,例如,如果您想基于网络地址保护通信安全。在本节,您将创建自定义 I ec 策略,首先要定义安全规则,然后再定义筛选器列表,最后指定筛选器操作。 配置 I ec 策略 在配置 I ec 身份验证方法、筛选器列表或协商方法之前,您必须首先创建新策略。 创建 I ec 策略 1. 使用 HQ-RES-WRK-01,在 MMC 控制台的左窗格中,右击本地计算机上的 I 安全策略,然后单击创建 I 安全策略。I 安全策略向导出现。