Internet 协议安全 (I ec) 循序渐进指南(一)

Internet 协议安全 (I ec) 为 I 网络通信提供对应用程序透明的加密服务，并为 Windows? 2000 操作系统提供其它网络访问保护。
　　本指南专门讲述使用 I ec 传输模式保护客户机和服务器之间的应用程序通信的最快速的方法。它讲述了如何使用 I ec 默认策略，在属于一个 Window 2000 域的两个基于 Window 2000 的系统之间实现安全的方法。一旦两台计算机加入了该域中，您就应完成指南的第一部分，它在 30 分钟或更少的时间内演示默认策略。还带有一些备注，说明如何使非 I ec 客户机能与服务器通信。还提供了一些步骤说明当 Window 2000 域不可用时如何使用证书，以及如何建立您自己的自定义策略以便进行更进一步的互操作性测试，或示范 I ec。 内容
1、引言(本期)
2、先决条件 (本期)
3、为测试作准备
4、使用内置的 I ec 策略
5、建立自定义 I ec 策略
6、测试自定义 I ec 策略
7、使用证书验证身份
8、了解 IKE 协商（高级用户）
9、故障排除
10、其它信息
11、相关链接 　　引言
　　通过使用 Internet 协议安全 (I ec)，您可以以下列方案为网络通信提供数据保密性、完整性、真实性和反重播保护：
　　使用 I ec 传输模式提供客户机到服务器、服务器到服务器和客户机到客户机之间的端对端安全。
　　使用受 I ec 保护的第二层隧道协议 (L2TP) 保护从客户机到网关在 Internet 上的远程访问的安全。
　　I ec 提供跨外向专用广域网 (WAN) 的安全的网关到网关的连接或使用 L2TP/I ec 隧道或纯 I ec 隧道模式提供基于 Internet 的连接。I ec 隧道模式不是为用于虚拟专用网络 (V ) 远程访问而设计的。
　　Windows? 2000 erver 操作系统通过 Window 2000 I 安全简化了网络安全的部署和管理，Window 2000 I 安全是一种可靠的 I 安全 (I ec) 的版本。I ec 是由 Internet 工程任务组 (IETF) 作为用于 Internet 协议 (IP) 的安全体系结构而设计，它定义了 I 数据包格式和相关基础结构，以便为网络通信提供端对端、加强的身份验证、完整性、反重播和（可选）保密性。使用 IETF 定义的 Internet 密钥交换 (IKE)，RFC 2409，还提供按需要的安全协商和自动密钥管理服务。Window 2000 中的 I ec 和相关的服务是由 Microsoft 和 Cisco ystems, Inc 共同开发的。
　　Window 2000 I 安全通过与 Window 2000 域和 Active DirectoryTM 服务集成，建立于 IETF I ec 体系结构之上。Active Directory 使用组策略为 Window 2000 域成员提供 I ec 策略分配和分发，提供基于策略的、支持目录的网络。
　　IKE 的实现提供三个基于 IETF 标准的身份验证方法以在计算机之间建立信任：
　　基于 Window 2000 域基础结构提供的 Kerbero v5.0 身份验证，用于在一个域中或在几个受信任域中的计算机之间部署安全通讯。
　　使用证书的公钥/私钥签名，与多个证书系统兼容，包括 Microsoft、Entrust、VeriSig 和 etscape。 　　密码，用术语表示为“预先共享的身份验证密钥”，严格用于建立信任 - 不用于应用程序数据包保护。 一旦对等计算机互相进行了身份验证，它们就会产生大量密钥以便对应用程序数据包加密。这些密钥只为这两台计算机所知，因此它们的数据能得到很好的保护，免受可能在网络上的攻击者的修改或破译。每一台对等计算机都使用 IKE 来协商使用什么类型和强度的密钥，以及采用什么安全方式来保护应用程序通讯。这些密钥根据 I ec 策略设置自动刷新以在管理员的控制下提供恒定的保护。
使用 I ec 端对端的方案
　　Window 2000 中的 Internet 协议安全 (I ec) 是由网络管理员来部署的，以使用户的应用程序数据可以透明地得到保护。在任何场合，使用 Kerbero 身份验证和域信任都是进行部署最容易的选择。证书或预先共享的密钥可用于不受信任的域或第三方互操作中。您可以使用组策略来向许多客户机和服务器提供 I ec 配置（名为“I ec 策略”）。 　　安全服务器