Amalan terbaik untuk pengurusan

keselamatan rangkaian
BERKAITAN
COMMENTS
Ini teknologi primer vendor bertulis telah disunting oleh Rangkaian Dunia untuk
menghapuskan promosi produk, tetapi pembaca harus sedar ia mungkin akan
memihak kepada pendekatan penyerah.
pasukan keselamatan IT hari ini berhadapan dengan cepat bermutasi ancaman pada
setiap titik kemungkinan kemasukan - dari perimeter ke desktop; dari telefon bimbit ke
awan. Didorong oleh evolusi puasa landskap ancaman dan perubahan dalam
rangkaian dan keselamatan seni bina, pengurusan keselamatan rangkaian adalah jauh
lebih mencabar dan kompleks daripada hanya beberapa tahun yang lalu.
Pasukan keselamatan mesti menyokong mandat pematuhan dalaman dan luaran,
membolehkan perkhidmatan baru, mengoptimumkan prestasi, memastikan
ketersediaan, dan menyokong keupayaan untuk menyelesaikan masalah dengan
cekap pada permintaan yang tidak mempunyai ruang untuk kesilapan. Itu banyak untuk
mengimbangi apabila menguruskan keselamatan rangkaian.
Berikut adalah empat amalan terbaik penting bagi pengurusan keselamatan rangkaian:
# 1 Pengurusan Keselamatan Rangkaian Memerlukan Pandangan
Makro. Organisasi perlu pandangan holistik rangkaian mereka. Dengan peranti vendor
berbeza dan tuan rumah, pasukan keselamatan perlu normal, pandangan yang
menyeluruh rangkaian, termasuk: peraturan penghalaan, peraturan capaian, NAT,
VPN, dll .; semesta alam, termasuk semua produk (dan versi), perkhidmatan,
kelemahan, dan patch; dan aset, termasuk kumpulan aset dan klasifikasi.
Dengan pandangan yang komprehensif rangkaian, pasukan keselamatan boleh melihat
tuan rumah dalam rangkaian, serta konfigurasi, klasifikasi dan maklumat lain yang
berkaitan. A peta rangkaian atau model adalah kedua-dua alat visualisasi yang
berguna dan alat diagnostik, analisis menyediakan yang hanya boleh dilakukan apabila
mempertimbangkan pandangan keseluruhan. Sebagai contoh, keselamatan dan

pematuhan pasukan boleh menggunakan pandangan makro ini untuk melihat

bagaimana data akan bergerak antara titik pada rangkaian.
Selain itu, ia menunjukkan maklumat yang hilang, seperti tuan rumah, senarai kawalan
akses data (ACL) dan banyak lagi.
analisis yang canggih boleh dilakukan dengan cepat dan tepat dalam persekitaran
yang berasaskan model, tanpa mengganggu rangkaian streaming. analisis laluan
akses akan membantu untuk mengesahkan perubahan dan boleh menyelesaikan
masalah gangguan atau masalah sambungan, meningkatkan penglihatan dan
meningkatkan proses keselamatan. "Apa-jika" Analisis menunjukkan kedua-dua
destinasi diakses dan disekat untuk data yang ditetapkan.
# 2 Pengurusan Peranti Harian Memerlukan Lihat Micro. Walaupun pandangan
makro diperlukan untuk melihat bagaimana semua keping rangkaian patut bersamasama, pentadbir rangkaian juga mesti berupaya untuk menggerudi ke dalam butiran
untuk peranti tertentu, dengan mudah mengakses maklumat mengenai peraturan ,
dasar akses, dan pematuhan konfigurasi. Dan maklumat ini perlu dipertimbangkan
dalam rangka rangkaian yang lebih luas, termasuk konteks seperti segmen atau zon,
routing, router, suis, sistem pencegahan pencerobohan (IPS), dan firewall.
Maklumat perlu disediakan dengan cara yang mudah dicerna.Komponen rangkaian
yang memberi kesan peranti sudah pasti akan datang dari pelbagai vendor,
mewujudkan data bahasa vendor yang berbeza yang perlu ditafsirkan, rapat, dan
dioptimumkan untuk membolehkan pentadbir untuk menyelaraskan set
peraturan. Sebagai contoh, pentadbir perlu berupaya untuk menghalang atau
mengehadkan akses oleh pelanggaran permohonan dan memandangkan dasar-dasar
akses.
ulasan harian atau mingguan bagi semua peranti pada rangkaian tidak boleh dicapai
dengan proses manual, dan mengkaji semula konfigurasi peranti kurang kerap
meletakkan keselamatan rangkaian dan pematuhan pada risiko. Mengautomasikan
pematuhan dasar membantu memastikan pematuhan dan konsisten, dan memelihara
sumber-sumber IT.
Sebaik-baiknya, alat pemodelan rangkaian yang memberikan pandangan makro juga
perlu membenarkan pentadbir untuk menggerudi ke dalam pandangan yang mikro
setiap peranti, memberikan maklumat mengenai pengguna, aplikasi, kelemahan, dan
banyak lagi. Ini membolehkan pentadbir untuk melihat pemandangan rangkaian yang

lebih luas dan kemudian memberi tumpuan dalam pada peranti tertentu untuk
pengurusan.
# 3 Serangan Simulasi untuk Penilaian Risiko Konteks Mengetahui. Sekadar
mengetahui kelemahan rangkaian dan kritikal mereka tidak mencukupi untuk
memahami tahap sebenar risiko kepada organisasi. serangan hari ini sering
menggabungkan pelbagai langkah-langkah yang merentasi beberapa zon rangkaian
yang berbeza, dan pandangan yang terpencil mana-mana langkah-langkah ini boleh
muncul berbahaya.
teknologi simulasi serangan secara automatik melihat rangkaian holistik - aset
perniagaan, yang dikenali ancaman dan kelemahan - dan mengenal pasti apa yang
akan berlaku jika keadaan telah digabungkan. simulasi serangan juga boleh menilai
pilihan yang berpotensi untuk menyekat serangan, memberikan kebolehan untuk
sokongan keputusan. Memahami kemungkinan serangan dan kesan potensinya
terhadap sasaran berharga adalah kunci untuk menilai mana kelemahan dan ancaman
hantar risiko yang paling.
teknologi simulasi serangan melihat konteks rangkaian, kritikal aset, metrik perniagaan,
dan kawalan keselamatan yang sedia ada apabila menentukan kesan serangan yang
berpotensi. Sebagai contoh, jika aset berjalan satu aplikasi yang amat penting untuk
mengekalkan perniagaan dan memerlukan ketersediaan berterusan, kelemahan
sederhana tahap yang mengancam untuk melumpuhkan aset ini mungkin menjadi
risiko peringkat tinggi untuk perniagaan tertentu.
Kesan mengerahkan kawalan keselamatan tertentu juga perlu
dipertimbangkan.Mengekalkan IPS terus mod aktif boleh memberi kesan kepada
prestasi rangkaian. alat simulasi serangan membolehkan pasukan keselamatan untuk
menyasarkan penggunaan perlindungan IPS mereka, mengaktifkan hanya
tandatangan diperlukan, memaksimumkan prestasi, dan keutamaan kelemahan.
# 4 Selamat Pengurusan Perubahan Adakah Kritikal. Setelah rangkaian mematuhi,
proses pengurusan perubahan selamat diperlukan untuk mengekalkan pematuhan
berterusan dan mengesahkan bahawa perubahan yang dirancang tidak
memperkenalkan risiko baru. pengurusan perubahan selamat menggabungkan
penilaian risiko dalam merancang, proses yang seragam; bendera perubahan di luar
struktur ini, membolehkan pentadbir untuk mendamaikan perubahan dibenderakan dan
Troubleshoots di mana diperlukan. pengurusan perubahan selamat mengesahkan
bahawa perubahan telah dilaksanakan seperti yang sepatutnya, mengenal pasti

apabila perubahan telah tidak diingini akibat, dan menonjolkan perubahan yang tidak
diluluskan.
Sebagai contoh, pengurusan perubahan proses boleh bendera apabila perubahan
rangkaian akan mendedahkan kelemahan, apabila perubahan firewall membuka akses
kepada perkhidmatan berisiko, atau apabila terdapat laluan akses yang tidak
dibenarkan dari rakan kongsi untuk zon dalaman. Lebih penting lagi, untuk
mengekalkan keselamatan rangkaian, mengubah proses pengurusan boleh digunakan
untuk menentukan kesan perubahan yang dicadangkan sebelum melaksanakan
perubahan tersebut.
Melaksanakan empat amalan terbaik bagi pengurusan keselamatan rangkaian boleh
mengurangkan risiko di seluruh rangkaian. Dengan jarak penglihatan di kedua-dua
rangkaian dan tahap peranti, jumlah yang besar data ditukarkan kepada perisikan yang
deciphers transaksi keselamatan rangkaian rumit menjadi mudah diurus, maklumat
diambil tindakan. Dengan pandangan ini, simulasi serangan kemudian boleh
mengutamakan kelemahan dan menghapuskan vektor serangan yang paling kritikal
bagi organisasi, melindungi perkhidmatan perniagaan dan data. Akhir sekali,
pengurusan perubahan boleh mengautomasikan dan mengoptimumkan proses
keselamatan untuk meningkatkan keselamatan dan mengurangkan beban kerja
pengurusan keselamatan.
Skybox Security, Inc. adalah sebuah pembekal automatik, alat tidak mengganggu yang
mengesan, mengutamakan, dan memandu pemulihan risiko kritikal seperti kelemahan
terdedah dan kesilapan konfigurasi firewall.
https://technet.microsoft.com/en-us/library/cc959511.aspx

Keselamatan Internet
Protocol
Keselamatan Protokol Internet (IPSec) adalah satu rangka kerja standard terbuka bagi
memastikan swasta, komunikasi yang selamat melalui Protokol Internet rangkaian (IP),
melalui penggunaan perkhidmatan keselamatan kriptografi. The Microsoft Windows
2000 pelaksanaan IPSec adalah berdasarkan kepada standard yang dibangunkan oleh
Internet Engineering Task Force kumpulan kerja (IETF) IPSec.

Dalam Bab Ini

Isu-isu Keselamatan dengan IP

Isu-isu Keselamatan dengan

IP
Tanpa cagaran, rangkaian awam dan swasta terdedah kepada pemantauan dan akses yang
tidak dibenarkan. serangan dalaman mungkin menjadi hasil daripada keselamatan intranet
yang minimum atau tidak wujud; manakala risiko dari luar stem rangkaian peribadi dari
sambungan ke Internet dan extranets. kawalan akses pengguna berasaskan Passwordsahaja tidak melindungi data yang dihantar di seluruh rangkaian.

Memperkenalkan IPSec

Memperkenalkan IPSec
IPSec adalah arah jangka panjang untuk rangkaian yang selamat. Ia menyediakan garis
utama pertahanan terhadap rangkaian dan Internet serangan peribadi, mengimbangi
kemudahan penggunaan dengan keselamatan.
IPSec mempunyai dua matlamat:

Untuk melindungi paket IP.

Menyediakan pertahanan terhadap serangan rangkaian.

Kedua-dua gol dipenuhi melalui penggunaan perkhidmatan berasaskan kriptografiperlindungan, protokol keselamatan, dan pengurusan utama dinamik. Asas ini menyediakan
kedua-dua kekuatan dan fleksibiliti untuk melindungi komunikasi antara komputer peribadi
rangkaian, domain, laman web, laman web yang jauh, extranets, dan pelanggan dial-up. Ia
juga boleh digunakan untuk menghalang penerimaan atau penghantaran jenis trafik
tertentu.
IPSec adalah berdasarkan kepada model keselamatan akhir-ke-akhir, yang bererti bahawa
satu-satunya komputer yang mesti tahu tentang trafik itu dicagarkan adalah seperti
menghantar dan menerima komputer. Setiap mengendalikan keselamatan di akhir masingmasing, dengan andaian bahawa medium di mana komunikasi berlaku tidak selamat.Mana-

mana komputer yang hanya data perjalanan dari sumber ke destinasi yang tidak
dikehendaki untuk menyokong IPSec. Model ini membolehkan IPSec yang berjaya digunakan
untuk senario perniagaan anda yang sedia ada:

Rangkaian kawasan tempatan (LAN): pelayan / pelanggan, rakan sebaya untuk

sebaya.

rangkaian Wide kawasan (WAN): router ke router, pintu masuk ke pintu masuk.

Capaian jauh: pelanggan dial-up; akses Internet daripada rangkaian persendirian.

Windows 2000 pelaksanaan IPSec adalah berdasarkan piawaian industri kini dalam
pembangunan oleh Internet Engineering Task Force kumpulan kerja (IETF) IPSec. IPSec dan
perkhidmatannya yang berkaitan dalam Windows 2000 telah dibangunkan bersama oleh
Microsoft dan Cisco Systems, Inc.

perkhidmatan

perkhidmatan
IPSec menyediakan tahap keselamatan yang tinggi dengan menggunakan mekanisme
berasaskan kriptografi.Kriptografi membolehkan maklumat dihantar dengan selamat oleh
hashing (integriti) dan menyulitkan (kerahsiaan) maklumat.
Gabungan algoritma dan kunci yang digunakan untuk mendapatkan maklumat:

Algoritma ini adalah proses matematik yang mana maklumat yang diperolehi.

Utama adalah kod rahsia atau nombor dikehendaki membaca, mengubah suai, atau
mengesahkan data terjamin.

Windows 2000 IPSec menyokong perkhidmatan berikut.

Properties Keselamatan
IPSec menyediakan ciri-ciri berikut untuk komunikasi terjamin:
Tidak Boleh Disangkal Mengesahkan bahawa dengan penghantar mesej ini hanya orang
yang boleh rasul itu.Pengirim tidak boleh menafikan ada menghantar mesej. Bukan
penolakan adalah sebuah hartanah mesej yang mengandungi tandatangan digital apabila

menggunakan teknologi utama awam. Dengan teknologi kunci awam, kunci persendirian
penghantar digunakan untuk membuat tandatangan digital yang dihantar dengan
mesej. Penerima menggunakan kunci awam penghantar untuk mengesahkan tandatangan
digital. Kerana hanya pengirim mempunyai milikan ke atas kunci persendirian, hanya
penghantar boleh dijana tandatangan digital. Bukan penolakan bukan harta mesej kod
pengesahan dan hash pada mesej menggunakan teknologi kunci rahsia, kerana kedua-dua
penghantar dan penerima mempunyai kunci rahsia.
Anti-Replay Juga dipanggil pencegahan ulangan, ia memastikan keunikan setiap paket
IP. Anti-ulangan memastikan data yang dirakam oleh penyerang tidak boleh digunakan
semula atau "semula bermain" untuk mewujudkan sesi atau mendapatkan maklumat secara
haram. Ini melindungi daripada percubaan untuk memintas mesej dan kemudian
menggunakan mesej yang sama secara haram mendapatkan akses kepada sumber,
mungkin juga bulan kemudian.
Integriti Melindungi data dari pengubahsuaian yang tidak dibenarkan dalam transit,
memastikan data yang diterima adalah betul-betul sama dengan data yang dihantar. Fungsi
Hash menandatangani setiap paket dengan checksum kriptografi menggunakan satu kunci
berkongsi, yang cek komputer menerima sebelum membuka paket. Hanya penghantar dan
penerima mempunyai kunci yang digunakan untuk mengira checksum. Jika paket dan oleh
itu tandatangan telah berubah, paket dibuang.
Kerahsiaan (Encryption) Memastikan data hanya didedahkan kepada penerima yang
dihasratkan. Ini dicapai dengan menyulitkan data sebelum penghantaran. Ini memastikan
bahawa data tidak boleh dibaca semasa penghantaran, walaupun paket dipantau atau
dipintas. Hanya parti dengan kongsi, kunci rahsia dapat membaca data (selepas
penyahsulitan). Hartanah ini adalah pilihan dan bergantung kepada tetapan dasar IPSec.
Pengesahan Mengesahkan asal-usul mesej melalui proses satu pihak menghantar tauliah
dan penerima mengesahkan kesahihan bukti kelayakan. Windows 2000 IPSec menyediakan
pelbagai kaedah pengesahan, untuk memastikan keserasian dengan sistem legasi, sistem
bukan berasaskan Windows, dan komputer jauh. Untuk maklumat lanjut mengenai
pengesahan, lihat bab di bawah "Keselamatan Diedarkan"
dalam Microsoft Windows 2000 Kit Sumber Server Sistem Teragih Guide.

Jenis Protokol IPSec

Jenis Protokol IPSec

protokol IPSec menyediakan data dan perlindungan identiti bagi setiap paket IP dengan
menambah header protokol keselamatan mereka sendiri untuk setiap paket IP.

IPSec Komponen

IPSec Komponen
Bahagian-bahagian berikut menghuraikan komponen IPSec yang dipasang dengan Windows
2000.

Model IPSec
Sekarang fungsi setiap komponen telah dijelaskan secara berasingan, serta gambaran yang
menyeluruh adalah perlu untuk melengkapkan pemahaman seni bina, seperti yang
ditunjukkan dalam Rajah 8.8.

Rajah 8.8 Gambaran keseluruhan: Proses IPSec yang

Untuk memudahkan, ini adalah satu contoh komputer intranet. Setiap komputer mempunyai
dasar IPSec yang aktif.
1. Alice, penggunaan aplikasi data pada Host A, menghantar mesej kepada Bob pada
Host B.
2. Pemandu IPSec pada Host A cek disimpan Senarai IP penapis untuk melihat sama ada
paket patut dirapatkan.
3. Pemandu memberitahu IKE untuk memulakan rundingan.
4. Perkhidmatan IKE di Host B menerima mesej meminta rundingan selamat.
5. Kedua-dua komputer mewujudkan Fasa I SA dan kunci induk dikongsi.
Nota
Jika Host A dan Komputer B sudah mempunyai Fasa I SA di tempat dari komunikasi
sebelumnya (dan Fasa I PFS tidak didayakan dan tidak mempunyai hayat utama tamat),
kedua-dua komputer boleh pergi terus untuk mewujudkan Fasa II SA.
1. Sepasang Fasa II SAS dirundingkan: satu SA inbound, outbound dan satu SA. SAS
termasuk kekunci yang digunakan untuk mendapatkan maklumat, dan SPI.
2. Pemandu IPSec pada Host A menggunakan SA keluar yang menandatangani dan /
atau menyulitkan paket.
3. Pemandu pas paket lapisan IP, yang laluan paket ke arah Tuan B.
4. Host pemacu penyesuai rangkaian B menerima paket yang disulitkan dan pas
mereka sehingga pemandu IPSec itu.

5. Pemandu IPSec pada Host B menggunakan inbound SA untuk menyemak tanda

tangan integriti dan / atau menyahsulit paket.
6. Pemandu pas paket dibuka sehingga pemandu IP TCP /, yang pas mereka dengan
permohonan penerima pada Host B.
Walaupun ini muncul untuk menjadi siri yang panjang memakan masa dan rumit langkahlangkah, ia benar-benar semua yang berlaku dengan cepat dan telus kepada setiap
pengguna.
Mana-mana router atau suis dalam laluan data antara komputer berkomunikasi hanya
menghantar paket IP disulitkan ke destinasi mereka. Walau bagaimanapun, jika terdapat
satu firewall, router keselamatan, atau pelayan proksi, ia mesti mempunyai penghantar IP
diaktifkan, supaya IPSec dan IKE trafik protokol akan melalui dan tidak akan
ditolak.rundingan keselamatan tidak dapat melalui seorang penterjemah alamat rangkaian
(NAT). The IKE rundingan mengandungi alamat IP dalam mesej yang disulitkan yang tidak
boleh diubah oleh NAT kerana hash integriti akan dipecahkan, atau kerana paket yang
disulitkan.

IPSec Dasar Service Agent

Tujuan agen polisi ini adalah untuk mendapatkan maklumat dasar IPSec dan
memindahkannya kepada mekanisme IPSec yang lain yang memerlukan maklumat tersebut
untuk melaksanakan perkhidmatan keselamatan, seperti yang ditunjukkan dalam Rajah 8.5.

Rajah 8.5 Dasar IPSec Agent

Ejen dasar adalah perkhidmatan IPSec yang tinggal pada setiap Windows 2000 komputer,
yang terdapat dalam senarai perkhidmatan sistem. Ejen dasar melaksanakan tugas-tugas
berikut:
Mendapatkan semula dasar yang wajar IPSec (jika telah diperuntukkan) dari Active
Directory jika komputer adalah ahli domain atau dari pejabat pendaftar tempatan jika
komputer tidak bergabung dengan domain.
Menghantar IPSec maklumat dasar aktif untuk pemandu IPSec itu.

Retrieval polisi berlaku di kedua-dua sistem masa mula, pada masa yang ditetapkan dalam
polisi IPSec (jika komputer bersatu dengan domain a), dan pada selang lalai Winlogon
pengundian (jika seorang bergabung dengan domain a):
Jika maklumat dasar IPSec terletak di pusat dikonfigurasikan untuk komputer yang
merupakan ahli domain, maklumat dasar IPSec disimpan dalam Direktori Aktif dan
cache dalam pendaftaran tempatan komputer yang ia terpakai.
Jika komputer sementara tidak dihubungkan dengan domain dan dasar cache,
apabila komputer semula ke domain itu apa-apa maklumat dasar baru untuk
komputer yang mengatasi, maklumat dasar cache lama.
Jika komputer adalah komputer berdiri sendiri, atau adalah ahli domain yang tidak
menggunakan Active Directory untuk penyimpanan polisi, polisi IPSec disimpan di
pejabat pendaftaran tempatan.
Ejen dasar bermula secara automatik pada masa sistem permulaan. Jika tidak ada dasar
IPSec perkhidmatan direktori atau pendaftaran, atau jika ejen polisi ini tidak boleh
menyambung kepada perkhidmatan direktori, ejen dasar ini yang menunggunya dasar untuk
diberikan atau diaktifkan.

IPSec pemandu
Pemandu IPSec, menggunakan Senarai Penapis IP dari dasar IPSec aktif, jam tangan untuk
paket IP keluar yang perlu dilindungi dan paket IP inbound yang perlu disahkan dan dibuka.
Seperti yang ditunjukkan dalam Rajah 8.7, pemandu IPSec menerima senarai penapis IP dari
ejen dasar IPSec. Pemandu IPSec jam tangan semua paket IP keluar pada komputer untuk
perlawanan dengan senarai penapis IP yang disimpan.paket Outbound memulakan
rundingan untuk keselamatan apabila perlawanan yang berlaku. Pemandu IPSec
memberitahu IKE untuk memulakan rundingan keselamatan.

Rajah 8.7 IPSec Driver Services

Selepas rundingan yang berjaya selesai, pemandu IPSec pada komputer penghantaran:
1. Terima SA yang mengandungi kunci sesi dari IKE.
2. Memandang ke atas outbound SA dalam pangkalan data, dan memasukkan SPI dari
SA ke dalam header IPSec itu.
3. Tanda-tanda, dan jika kerahsiaan diperlukan, menyulitkan paket.

4. Menghantar paket dengan SPI kepada lapisan IP untuk dikemukakan kepada

komputer destinasi.
Pemandu IPSec pada komputer yang menerima:
1. Terima utama sesi, SA dan SPI dari IKE.
2. Kelihatan up inbound SA dalam pangkalan data melalui alamat destinasi dan SPI.
3. Pemeriksaan tandatangan dan decrypts paket (jika diperlukan).
4. Menghantar paket kepada pemandu / IP TCP untuk laluan kepada permohonan yang
menerima.
The IPSec Kedai pemandu semua SAS semasa di dalam sistem database. Jika berbilang SAS
hadir, pemandu menggunakan SPI seperti yang diperlukan untuk menentukan SA pergi
dengan yang paket.

Perlindungan Key
Nombor-nombor asas utama (bahan menaip) dan kekuatan kekunci untuk tuan dan sesi
kekunci dipertingkatkan dengan ciri-ciri berikut. Ciri-ciri yang dibincangkan di sini memohon
kepada satu atau kedua-dua kekunci, seperti yang dinyatakan.

hayat Key
hayat utama menentukan bila kunci baru dihasilkan, bukannya bagaimana ia
dihasilkan. Juga dipanggil dinamik semula menaip atau pertumbuhan semula utama, seumur
hidup utama membolehkan anda untuk memaksa pertumbuhan semula utama selepas
selang tertentu. Sebagai contoh, jika komunikasi mengambil 10.000 saat dan anda tentukan
hayat utama 1,000 saat, 10 kunci dihasilkan untuk melengkapkan pemindahan. Ini
memastikan bahawa walaupun penyerang mendapat sebahagian daripada suatu ayat,
mereka tidak mampu untuk mendapatkan keseluruhan komunikasi. pertumbuhan semula
kekunci automatik disediakan; konfigurasi adalah pilihan. hayat Key boleh dinyatakan untuk
kedua-dua tuan dan sesi kunci. Bila-bila masa seumur hidup utama dicapai, SA juga
dirundingkan semula sebagai tambahan kepada refresh kunci atau pertumbuhan
semula. Jumlah data yang diproses oleh kunci tunggal tidak boleh melebihi 100
megabait. Pentadbir perlu menyemak garis panduan keselamatan dan penyulitan semasa
untuk pastikan untuk menyediakan perlindungan yang mencukupi untuk jenis data yang
disampaikan.
Top Of Page

Had Sesi Key Refresh

Berulang semula menaip off kunci sesi boleh menjejaskan Diffie-Hellman rahsia
dikongsi. Oleh itu, satu sesi had refresh utama dilaksanakan untuk mengelakkan kompromi
keselamatan.
Sebagai contoh, Alice pada Komputer A menghantar mesej kepada Bob pada Komputer B,
dan kemudian menghantar mesej lain kepada Bob beberapa minit kemudian. Sesi bahan

utama sama mungkin digunakan semula kerana yang SA baru-baru ini ditubuhkan dengan
komputer itu. Jika anda mahu mengehadkan bilangan kali ini berlaku, menetapkan sesi had
refresh utama untuk nombor yang rendah.
Jika anda telah membolehkan Perfect Forward Kerahsiaan (PFS) untuk kekunci utama, had
refresh kunci sesi diabaikan kerana kuasa-kuasa PFS pertumbuhan semula
utama. Menetapkan had refresh kunci sesi 1 adalah sama dengan membolehkan induk
utama PFS. Jika kedua-dua jangka hayat kekunci utama dan had refresh kunci sesi
dinyatakan, yang mana had terkena pertama menyebabkan berikutnya semula kunci
itu. Secara lalai, dasar IPSec tidak menyatakan had refresh kunci sesi.
Top Of Page

Diffie-Hellman Kumpulan
Diffie-Hellman (DH) groupsare digunakan untuk menentukan panjang nombor perdana asas
(bahan utama) untuk pertukaran DH. Kekuatan sebarang kekunci berasal dari pertukaran DH
bergantung sebahagiannya kepada kekuatan kumpulan DH di mana nombor perdana adalah
berdasarkan.
Setiap kumpulan DH mentakrifkan panjang bahan utama yang akan digunakan. Kumpulan 2
(sederhana) adalah lebih kuat daripada Kumpulan 1 (rendah). Kumpulan 1 melindungi 768
bit menaip material; Kumpulan 2 melindungi 1024 bit.Sekumpulan besar ertinya DH terhasil
mempunyai lebih entropi dan, oleh itu, adalah lebih sukar untuk memecahkan.
IKE menjaga rundingan kumpulan mana untuk digunakan, memastikan bahawa tidak ada
apa-apa kegagalan rundingan akibat sekumpulan DH berpadanan antara kedua-dua rakanrakan.
Jika PFS bagi sesi didayakan, DH itu diluluskan di SA dengan maklumat utama sepanjang
mesej pertama rundingan Fasa II SA. Ini memaksa atur DH baru yang membuang sesi
menaip bahan daripada pertukaran DH awal.
Jika penghantar menggunakan PFS untuk kunci sesi, responder yang tidak diperlukan untuk
menggunakannya juga.Walau bagaimanapun, jika pemula tidak menggunakan PFS untuk
sesi dan responder yang menggunakan PFS, rundingan gagal.
Kumpulan DH adalah sama untuk kedua-dua rundingan Fasa I dan Fasa II SA. Ini bermakna
bahawa apabila sesi utama PFS didayakan, walaupun kumpulan DH ditetapkan sebagai
sebahagian daripada rundingan Fasa I SA, ia memberi kesan kepada mana-mana kekunci
semula semasa sesi penubuhan utama.
Top Of Page

Perfect Forward Kerahsiaan

Tidak seperti hayat utama, Perfect Forward Kerahsiaan (PFS) menentukan bagaimana kunci
baru dihasilkan, dan bukannya apabila ia dihasilkan. Secara khusus, PFS memastikan
kompromi daripada permit kunci tunggal mengakses hanya untuk data dilindungi oleh yang
tunggal key-tidak semestinya untuk keseluruhan komunikasi. Untuk mencapai matlamat ini,
PFS memastikan bahawa kunci yang digunakan untuk melindungi penghantaran, di mana
fasa, tidak boleh digunakan untuk menjana mana-mana kekunci tambahan. Di samping itu,
jika kunci yang digunakan diperoleh daripada bahan menaip tertentu, bahan yang tidak
boleh digunakan untuk menjana kekunci lain.
Master utama PFS memerlukan pengesahan semula, jadi gunakan dengan berhatihati. Apabila ia diaktifkan, perkhidmatan IKE mesti mengesahkan semula identiti,
menyebabkan overhed tambahan bagi mana-mana pengawal domain. Ia memerlukan Fasa I
rundingan baru bagi setiap Fasa II rundingan yang akan berlaku.
Walau bagaimanapun, sesi PFS utama boleh dilakukan tanpa pengesahan semula dan oleh
itu kurang sumber. Sesi utama PFS keputusan dalam pertukaran DH untuk menjana bahan
kunci baru. Ia hanya memerlukan empat mesej dan tiada pengesahan.
PFS tidak diperlukan untuk diaktifkan pada kedua-dua rakan-rakan kerana ia bukan harta
dirunding. Jika responder memerlukan PFS dan penghantar Fasa II SA tamat, ia hanya
menolak mesej penghantar dan memerlukan rundingan baru. Pengguna ini telah tamat
tempoh Fasa I SA dan merunding. PFS boleh secara individu menetapkan untuk kedua-dua
tuan dan sesi kunci.

Pertukaran Kekunci Internet

Sebelum data bercagar boleh ditukar, kontrak antara kedua-dua komputer perlu
diwujudkan. Dalam kontrak ini, yang dipanggil kaitan keselamatan (SA), kedua-duanya
bersetuju tentang bagaimana untuk menukar dan melindungi maklumat, seperti yang
ditunjukkan dalam Rajah 8.6.

Rajah 8.6 Pertukaran Kekunci Internet

Untuk membina kontrak ini di antara dua komputer, IETF telah menubuhkan satu kaedah
standard persatuan keselamatan dan resolusi pertukaran utama, dipanggil Pertukaran
Kekunci Internet yang:

Memusatkan pengurusan kaitan keselamatan, mengurangkan masa sambungan.

Menjana dan menguruskan kekunci Disahkan digunakan untuk mendapatkan

maklumat.

Proses ini bukan sahaja melindungi komputer untuk komunikasi komputer, tetapi juga
melindungi komputer jauh yang meminta akses selamat kepada rangkaian korporat; atau
apa-apa keadaan di mana rundingan komputer destinasi akhir (titik akhir) sebenarnya
dilakukan oleh router keselamatan atau pelayan proksi lain.

Apa yang SA?

A kaitan keselamatan (SA) adalah gabungan yang saling dipersetujui utama, protokol
keselamatan, dan SPI yang bersama-sama menentukan keselamatan yang akan digunakan
untuk melindungi komunikasi daripada penghantar kepada penerima. Parameter
keselamatan indeks (SPI) adalah unik, mengenal pasti nilai dalam SA digunakan untuk
membezakan antara persatuan keselamatan berganda yang sedia ada di komputer yang
menerima. Sebagai contoh, pelbagai persatuan mungkin wujud jika komputer dengan
selamat berkomunikasi dengan beberapa komputer secara serentak. Keadaan ini biasanya
berlaku apabila komputer pelayan fail atau pelayan capaian jauh yang berfungsi pelbagai
pelanggan. Dalam keadaan ini, komputer penerima menggunakan SPI untuk menentukan SA
digunakan untuk memproses paket yang masuk.
Top Of Page

Fasa I SA
Untuk memastikan kejayaan komunikasi, selamat IKE melakukan operasi dua
fasa. Kerahsiaan dan pengesahan pada setiap fasa dipastikan oleh penggunaan penyulitan
dan pengesahan algoritma dipersetujui oleh kedua-dua komputer semasa rundingan
keselamatan. Dengan tugas berpecah antara dua fasa, menaip boleh dicapai dengan
kelajuan yang tinggi.
Dalam fasa pertama, kedua-dua komputer menubuhkan selamat disahkan saluran-Fasa I SA
a. Ia dinamakan sedemikian bagi membezakan antara SAS ditubuhkan pada setiap dua
fasa. IKE secara automatik akan memberi perlindungan identiti yang diperlukan semasa
pertukaran ini. Ini memastikan tiada maklumat identiti dihantar tanpa penyulitan antara
komputer berkomunikasi, dengan itu membolehkan jumlah privasi.
Top Of Page

Fasa I Rundingan
Berikut adalah langkah-langkah dalam rundingan Fasa I.
1. Polisi Rundingan
Berikut empat parameter wajib dirundingkan sebagai sebahagian daripada Fasa I SA:
o

Penyulitan algoritma (DES, 3DES).

The hash algoritma (MD5 atau SHA).

Kaedah pengesahan (Sijil, kunci pra-kongsi, pengesahan Kerberos v5).

Kumpulan Diffie-Hellman (DH) yang akan digunakan untuk bahan asas

menaip.

Jika sijil atau kekunci pra-kongsi digunakan untuk pengesahan, pengenalan komputer
dilindungi. Walau bagaimanapun, jika pengesahan Kerberos v5 digunakan,
pengenalan komputer adalah tak disulitkan sehingga penyulitan seluruh muatan
identiti berlaku semasa pengesahan.
2. DH Exchange (nilai-nilai umum)
Pada masa yang singkat adalah kunci sebenar ditukar; hanya maklumat asas yang
diperlukan oleh DH untuk menjana kongsi, kunci rahsia ditukar. Selepas pertukaran
ini, perkhidmatan IKE pada setiap komputer menjana kunci utama yang digunakan
untuk melindungi akhir pusingan: pengesahan.
3. pengesahan
Komputer cuba untuk mengesahkan pertukaran DH. Tanpa pengesahan berjaya,
komunikasi tidak boleh diteruskan. Kunci induk digunakan, sempena algoritma
rundingan dan kaedah, untuk mengesahkan identiti.Seluruh identiti muatantermasuk jenis identiti, pelabuhan, dan protokol yang dicincang dan disulitkan
menggunakan kekunci dijana daripada pertukaran DH di pusingan kedua. Muatan
pengenalan, tidak kira di mana kaedah pengesahan yang digunakan, dilindungi dari
kedua-dua pengubahsuaian dan tafsiran.
Pengguna ini membentangkan tawaran untuk persatuan keselamatan berpotensi kepada
penerima. responder yang tidak boleh mengubah tawaran itu. Sekiranya tawaran itu diubah
suai, pemula yang menolak mesej responder ini.responder menghantar sama ada balasan
menerima tawaran atau jawapan dengan alternatif.
Mesej-mesej semasa fasa ini mempunyai kitaran cuba semula automatik yang mengulangi
lima kali. Selepas selang ringkas, kembali untuk membersihkan ditubuhkan (jika dasar IPSec
membolehkan). Sekiranya tindak balas yang diterima sebelum masa cycle out, standard SA
rundingan bermula.
Tiada had untuk bilangan pertukaran yang boleh berlaku. Pada masa yang diberikan,
bilangan SAS dibentuk hanya dihadkan oleh sumber-sumber sistem.
Top Of Page

Fasa II SA
Dalam fasa ini, SAS dirundingkan bagi pihak perkhidmatan IPSec itu.

Top Of Page

Fasa II Rundingan
Berikut adalah langkah-langkah dalam Fasa II rundingan.
1. Polisi rundingan
Komputer IPSec bertukar-tukar keperluan mereka untuk mendapatkan pemindahan
data:
o

The IPSec protokol (AH atau ESP)

The hash algoritma untuk integriti dan pengesahan (MD5 atau SHA)

Algoritma untuk penyulitan, jika diminta: 3DES, DES

Perjanjian bersama dicapai, dan dua SAS diwujudkan: satu untuk masuk dan satu
untuk komunikasi keluar.
2. Sesi utama refresh bahan atau pertukaran
IKE menyegarkan bahan menaip dan baru, bersama, atau kunci rahsia yang dijana
untuk pengesahan, dan penyulitan (jika dirundingkan), paket. Jika kunci semula
diperlukan, bursa DH kedua (seperti yang dinyatakan dalam "Fasa I Rundingan")
berlaku sebelum ini, atau segar semula DH asal digunakan untuk kunci semula.
3. SAS dan kekunci diserahkan kepada pemandu IPSec, bersama-sama dengan SPI.
Semasa rundingan ini kedua dasar kongsi dan memasukkan bahan-ini masa untuk
melindungi pemindahan-data maklumat dilindungi oleh Fasa I SA.
Sebagai fasa menyediakan perlindungan identiti yang pertama, fasa kedua memberikan
perlindungan oleh menyegarkan bahan menaip untuk mengelakkan palsu SAS. IKE boleh
menampung muatan pertukaran utama bagi pertukaran DH tambahan, perlu kunci semula
perlu (master kunci PFS diaktifkan). Jika tidak, IKE menyegarkan bahan menaip dari
pertukaran DH dalam fasa pertama.
Fasa II keputusan dalam sepasang persatuan keselamatan: satu SA untuk komunikasi masuk
dan satu SA untuk keluar;masing-masing dengan SPI sendiri dan utama.
The cuba semula algoritma untuk pesanan di sini adalah hampir sama dengan proses yang
dibincangkan dalam "Fasa I Rundingan," dengan hanya satu perbezaan: Jika proses ini
mencapai masa keluar untuk apa-apa sebab semasa rundingan kedua atau yang lebih besar
di luar yang sama Fasa I SA, rundingan semula daripada Fasa I SA dihasratkan.Jika mesej
untuk fasa ini pernah menerima tanpa Fasa I SA ditubuhkan, ia ditolak.

Menggunakan satu Fasa I SA untuk pelbagai Fasa II rundingan SA menjadikan proses yang
sangat cepat. Selagi Fasa I SA tidak luput, berunding semula dan pengesahan semula tidak
perlu. Bilangan Fasa II rundingan SA yang boleh dilakukan adalah ditentukan oleh sifat-sifat
dasar IPSec. Perhatikan bahawa menaip semula off Fasa berlebihan yang sama saya SA
boleh menjejaskan kongsi, kunci rahsia.
Top Of Page

SA hayat
Fasa I SA cache untuk membolehkan beberapa Fasa II rundingan SA (kecuali PFS didayakan
untuk kekunci utama, atau sesi hayat dasar utama telah dicapai). Apabila jangka hayat
utama dicapai untuk kunci induk atau sesi tersebut, SA dirundingkan semula, sebagai
tambahan kepada refresh kunci atau pertumbuhan semula.
Apabila tempoh masa-tamat lalai dicapai bagi Fasa I SA, atau nakhoda atau sesi utama
seumur hidup dicapai, mesej padam dihantar kepada responder. The IKE memadam mesej
memberitahu responder untuk tamat Fasa I SA. Ini menghalang Fasa palsu II SAS daripada
terbentuk kerana Fasa II SAS adalah sah sehingga hidup mereka tamat tempoh oleh
pemandu IPSec, secara bebas dari hayat Fasa I SA. IKE tidak luput Fasa II SA, kerana hanya
pemandu IPSec tahu bilangan saat atau bait yang telah berlalu untuk mencapai hayat
utama.
Berhati-hati apabila menetapkan hayat utama yang sangat berbeza, yang juga menentukan
hayat SA. Sebagai contoh, menetapkan jangka hayat kunci induk lapan jam dan sesi seumur
hidup utama dua jam boleh bermakna bahawa anda mempunyai Fasa II SA di tempat selama
hampir dua jam selepas Fasa I SA tamat. Ini boleh berlaku jika Fasa II SA dihasilkan sebaik
sebelum Fasa I SA tamat.

terowong

terowong
Terowong juga dirujuk sebagai pengkapsulan kerana paket asal yang tersembunyi atau
terkandung dalam sebuah paket baru. terowong adalah laluan data yang logik di mana
paket terkandung perjalanan ke destinasi mereka. Untuk maklumat lanjut mengenai konsep
terowong atau integrasi L2TP dengan IPSec, lihat "Maya Rangkaian persendirian"
dalam Windows 2000 Internetworking Guide. Seksyen yang berikut berkaitan dengan IPSec
terowong sahaja.

AH Mod Terowong

Satu-satunya perbezaan antara mod terowong AH dan mod ESP terowong adalah bagaimana
paket dikendalikan.Seperti yang ditunjukkan dalam Rajah 8.11, AH menandatangani
keseluruhan paket untuk integriti, termasuk Tunnel Header baru (ESP tidak menandatangani
header terowong), dan penyulitan tidak diberikan oleh AH.

Rajah 8.11 AH Tunnel Mode

ESP dan AH boleh digabungkan untuk menyediakan terowong yang merangkumi kedua-dua
integriti untuk seluruh paket, dan kerahsiaan kerana paket IP asal, yang mengandungi data
yang dihantar.

ESP Mod Terowong

Seperti yang ditunjukkan dalam Rajah 8.10, apabila dalam mod terowong header IP dalaman
(header paket asal) membawa sumber dan destinasi alamat muktamad, dan header IP luar
mungkin mengandungi alamat gerbang keselamatan.

Rajah 8.10 ESP Tunnel Mode

Kawasan Ditandatangani menunjukkan di mana paket telah ditandatangani untuk integriti
dan pengesahan. Kawasan Disulitkan menunjukkan apa maklumat dilindungi dengan
kerahsiaan.
Kerana tandukan baru untuk terowong diletakkan pada paket, segala-galanya berikut header
ESP itu ditandatangani (kecuali bagi pengesahan treler ESP), kerana ia kini terkandung
dalam paket tunneled. Pengepala asal diletakkan selepas tandukan ESP.
Seluruh paket dilampirkan dengan treler ESP sebelum penyulitan. Semua berikut header
ESP, kecuali bagi pengesahan treler ESP, disulitkan, termasuk pengepala asal kerana ia kini
dianggap sebagai sebahagian daripada bahagian data.

Seluruh ESP muatan kemudiannya dimuatkan ke dalam header terowong baru, yang tidak
disulitkan. Maklumat dalam header terowong baru hanya digunakan untuk laluan paket dari
asal ke destinasi.
Jika paket sedang dihantar di seluruh rangkaian awam, paket dihalakan alamat IP pelayan
terowong untuk intranet yang menerima. Paket sendiri kemungkinan besar ditakdirkan untuk
komputer intranet. Pelayan terowong decrypts paket, melemparkan jauh header ESP, dan
menggunakan header IP asal to paket ke komputer intranet.

Struktur Polisi IPSec

Struktur Polisi IPSec

dasar IPSec boleh digunakan untuk komputer, laman web, domain, atau mana-mana unit
organisasi (ous) yang anda buat dalam Direktori Aktif.
dasar IPSec anda hendaklah berdasarkan pada bertulis (dan tidak bertulis) garis panduan
organisasi anda untuk operasi yang selamat. Melalui penggunaan tindakan keselamatan,
yang dikenali sebagai peraturan, satu polisi boleh digunakan untuk kumpulan keselamatan
heterogen komputer atau unit organisasi. Untuk maklumat lebih lanjut tentang memilih garis
panduan untuk operasi selamat, lihat "Amalan Terbaik" dalam bab ini.
Terdapat dua lokasi penyimpanan untuk dasar IPSec:
1. Active Directory
2. Di dalam negara yang ditakrifkan dalam pendaftaran untuk komputer berdiri sendiri
dan komputer yang tidak bergabung dengan domain (apabila komputer sementara
tidak bergabung dengan domain Windows 2000 yang dipercayai, maklumat dasar itu
cache di pejabat pendaftaran tempatan). Untuk maklumat lanjut, lihat seksyen yang
bertajuk "Dasar Agent" sebelum ini dalam bab ini.
Setiap dasar yang anda buat perlu memohon kepada senario anda disenaraikan apabila
anda menubuhkan pelan keselamatan. tetapan tatarajah khas mungkin dikenakan jika anda
memberikan dasar kepada pelayan DHCP, Domain Name System (DNS), Windows Internet
Nama Perkhidmatan (MENANG), Protokol Pengurusan Simple Network (SNMP), atau pelayan
akses jauh. Untuk maklumat lanjut, lihat "Pertimbangan Khas IPSec" kemudian dalam bab
ini.

Tindakan penapis

Tindakan penapis menetapkan keperluan keselamatan untuk komunikasi. Keperluan ini

dinyatakan dalam senarai kaedah keselamatan yang terkandung dalam tindakan penapis,
termasuk yang algoritma, protokol keselamatan, dan sifat-sifat utama yang akan digunakan.
Tindakan penapis juga boleh dikonfigurasikan sebagai:

Polisi lulus-melalui: satu yang tidak membenarkan komunikasi yang selamat. IPSec
hanya mengabaikan trafik dalam kes ini. Ini adalah sesuai untuk lalu lintas yang tidak
boleh dijamin kerana komputer jauh tidak IPSec yang dibolehkan, lalu lintas yang
tidak cukup sensitif untuk menghendaki perlindungan, atau lalu lintas yang
memberikan keselamatan sendiri (contohnya, Kerberos, SSL, protokol PPTP).

Dasar menyekat: untuk menghentikan komunikasi dari komputer penyangak.

Polisi yang berunding untuk keselamatan tetapi masih membolehkan komunikasi

dengan komputer bukan IPSec yang dibolehkan. Tindakan penapis boleh
dikonfigurasikan untuk menggunakan kembali untuk membersihkan.Jika anda perlu
mengkonfigurasi tindakan penapis seperti ini, menghadkan Senarai IP Penapis untuk
skop yang minimum. Walau bagaimanapun, perlu digunakan dengan berhati-hati
yang melampau: mana-mana komunikasi terjejas oleh dasar yang boleh
menyebabkan data yang dihantar tanpa perlindungan sekiranya rundingan gagal
atas apa-apa sebab. Jika pemula yang rundingan IKE menerima jawapan dari
responder, kemudian rundingan tidak membenarkan fallback untuk membersihkan.

peraturan
Peraturan mentadbir bagaimana dan bila dasar IPSec melindungi komunikasi. peraturan A
menyediakan keupayaan untuk mencetuskan dan mengawal komunikasi yang selamat
berdasarkan sumber, destinasi, dan jenis trafik IP.
Setiap peraturan mengandungi senarai penapis IP dan koleksi tindakan keselamatan yang
berlaku pada perlawanan dengan bahawa senarai penapis:

Tindakan penapis

kaedah pengesahan

tetapan terowong IP

jenis sambungan

Setiap dasar boleh mengandungi satu atau beberapa kaedah-kaedah; satu atau semua yang
boleh aktif pada masa yang sama. Sebagai contoh, anda mungkin mahu mempunyai satu
polisi untuk router laman web, tetapi anda memerlukan tindakan keselamatan yang
berlainan bagi intranet dan Internet komunikasi. Satu dasar boleh digunakan untuk router

dengan mewujudkan pelbagai kaedah-kaedah: satu untuk setiap mungkin senario

komunikasi.
peraturan lalai disediakan dengan IPSec, dan merangkumi pelbagai komunikasi berasaskan
pelanggan dan pelayan. Ini boleh digunakan sebagai adalah, atau diubah suai untuk
keperluan anda.

IP Packet Filtering
Alamat IP mengenal pasti lokasi yang sistem komputer pada rangkaian. Setiap alamat IP
dipisahkan secara dalaman kepada dua bahagian, satu ID rangkaian dan ID komputer:

ID rangkaian mengenal pasti satu rangkaian dalam rangkaian TCP / IP yang lebih
besar (iaitu, rangkaian rangkaian). ID ini juga digunakan untuk mengenal pasti setiap
rangkaian unik dalam rangkaian yang lebih besar.

ID komputer untuk setiap peranti (seperti stesen kerja atau router) mengenal pasti
sistem dalam rangkaian sendiri.

komputer Multihomed mempunyai berbilang alamat IP: satu untuk setiap penyesuai
rangkaian.

Penapis
peraturan A menyediakan keupayaan untuk mencetuskan rundingan keselamatan untuk
komunikasi berdasarkan sumber, destinasi, dan jenis trafik IP, proses yang dipanggil
penapisan paket IP. Ini menyediakan satu cara untuk pentadbir rangkaian untuk menentukan
dengan tepat apa pencetus trafik IP akan dilindungi, disekat, atau melalui (tidak bercagar).
Setiap Senarai IP Filter mengandungi senarai penapis. Setiap penapis dalam masa Senarai IP
Filter menerangkan subset tertentu trafik rangkaian yang akan diraih, sama ada untuk trafik
masuk dan keluar:

penapis Inbound. Memohon kepada lalu lintas yang diterima, membenarkan

komputer menerima sepadan trafik dengan Senarai IP Filter. penapis Inbound
bertindak balas kepada permintaan untuk komunikasi yang selamat atau sepadan
trafik dengan SA yang sedia ada dan memproses paket selamat.

penapis Outbound. Memohon kepada lalu lintas meninggalkan komputer ke arah

destinasi, mencetuskan rundingan keselamatan yang harus berlaku sebelum trafik
dihantar.

Anda mesti mempunyai penapis untuk menampung trafik yang mana peraturan yang
berkaitan terpakai. Sebagai contoh, jika komputer A sentiasa mahu untuk bertukar-tukar
data dengan selamat dengan Komputer B:

Untuk menghantar data bercagar untuk komputer B, dasar Komputer A IPSec mesti
mempunyai penapis untuk mana-mana paket outbound akan Computer B.

Untuk menerima data selamat dari komputer A, dasar IPSec Komputer B mesti
mempunyai penapis untuk mana-mana paket masuk dari komputer A.

penapis A mengandungi parameter berikut:

Sumber dan destinasi alamat paket IP. Ini boleh dikonfigurasikan dari tahap yang
sangat berbutir, seperti alamat IP, ke tahap global yang merangkumi seluruh subnet,
atau rangkaian.

Protokol di mana paket sedang dipindahkan. ini mempiawaikan meliputi semua

protokol dalam protokol suite TCP / IP. Walau bagaimanapun, ia boleh
dikonfigurasikan untuk tahap protokol individu untuk memenuhi keperluan khas,
termasuk sejumlah protokol adat.

Sumber dan destinasi pelabuhan protokol untuk TCP dan UDP. Ini juga mungkir untuk
menutup semua pelabuhan, tetapi boleh dikonfigurasikan untuk memohon kepada
paket hanya dihantar atau diterima pada port protokol tertentu.

Jenis sambungan
Sambungan merujuk kepada apa-apa yang anda buat dalam anda Windows 2000
konsol Sambungan Rangkaian pada komputer.
Menetapkan jenis sambungan bagi setiap peraturan membolehkan anda untuk menentukan
apa yang komputer sambungan (muka) yang terlibat dengan polisi dail-up penyesuai IPSec
atau kad rangkaian. Setiap peraturan mempunyai sifat sambungan yang menentukan sama
ada peraturan itu terpakai kepada beberapa sambungan atau hanya satu
sambungan. Sebagai contoh, anda mungkin mahu peraturan yang memerlukan keselamatan
yang sangat tinggi untuk hanya terpakai untuk dial-up sambungan, bukan untuk rangkaian
kawasan tempatan (LAN) sambungan.

Polisi Pusaka
Dasar keutamaan mengikuti model Dasar Kumpulan. polisi kumpulan digunakan secara
hierarki dari ketat objek (lokasi) sekurang-kurangnya untuk objek yang paling ketat
(OU). Untuk maklumat lebih lanjut mengenai Active Directory dan Dasar Kumpulan, lihat bab
di bawah "Active Directory" dan "Desktop Configuration Management" bahagian
dalamWindows 2000 Diedarkan Systems Guide.
Perkara yang perlu diingat apabila memberikan dasar IPSec:

dasar IPSec diberikan kepada dasar domain mengatasi mana-mana dasar IPSec
tempatan apabila akaun komputer adalah ahli domain.

Keutamaan Dasar Kumpulan. Dasar IPSec diberikan kepada OU mengatasi domain

dasar IPSec untuk akaun komputer. dasar IPSec diberikan kepada kanak-kanak OU
mungkin menolak dasar IPSec yang diberikan di induk OU, bergantung kepada
bagaimana Dasar Kumpulan kebenaran keselamatan dikonfigurasi.

pengesahan
Satu peraturan boleh menentukan kaedah pengesahan berganda untuk memastikan kaedah
biasa ditemui apabila berunding dengan rakan sebaya.
IPSec menyokong semua kaedah pengesahan berikut:

Kerberos v5 protokol pengesahan adalah teknologi pengesahan lalai dalam Windows

2000. kaedah pengesahan ini boleh digunakan untuk mana-mana pelanggan yang
menjalankan v5 protokol Kerberos (sama ada atau tidak mereka adalah pelanggan
berasaskan Windows) yang menjadi ahli domain yang dipercayai. Untuk maklumat
lebih lanjut mengenai Kerberos berasaskan 2000 Windows v5 protokol pengesahan,
lihat "Pengesahan" dalamSystems Panduan Windows 2000 Diedarkan.

Gunakan Sijil digital dalam situasi yang termasuk akses Internet, akses jauh untuk
sumber-sumber korporat, komunikasi rakan kongsi perniagaan luar, apa-apa
komunikasi berasaskan L2TP-, atau komputer yang tidak berjalan Kerberos v5
protokol pengesahan. Ini memerlukan sekurang-kurangnya satu dipercayai Berkuasa
Sijil (CA) telah dikonfigurasikan. Untuk maklumat mengenai Windows 2000
infrastruktur kunci awam dan sijil, lihatSystems Panduan Windows 2000 Diedarkan.
Windows 2000 IKE mempunyai keserasian asas dengan beberapa sistem sijil,
termasuk yang ditawarkan oleh Microsoft, Entrust, VeriSign, dan Netscape. IKE
menggunakan kriptografi versi API 2.0 (CAPIv2) fungsi Windows 2000 untuk sijil
pemprosesan. IKE tidak memerlukan sesuatu jenis sijil, hanya bahawa ia
bermastautin di akaun komputer, mempunyai tandatangan yang sah, rantaian
amanah yang sah, dan digunakan dalam tempoh sah.
Sijil-sijil yang diperolehi daripada Perkhidmatan Sijil Microsoft dengan set pilihan maju
untuk perlindungan utama swasta yang kukuh tidak akan berfungsi untuk
pengesahan IKE. Anda mesti memilih pihak berkuasa sijil yang mengeluarkan
komputer anda perakuan, atau pihak berkuasa sijil root pengeluaran yang (CA).
Penyelarasan dengan pentadbir komputer jauh diperlukan untuk bersetuju mengenai
konfigurasi sijil. Jika tidak, IKE rundingan mungkin gagal. Untuk maklumat terperinci
mengenai sijil, konfigurasi CA, dan sijil pembatalan lihat bab di bawah "Keselamatan
Diedarkan" dalam Systems Panduan Diedarkan.

Kunci pra-kongsi boleh dinyatakan. Ini adalah bersama, kunci rahsia yang sebelum ini
dipersetujui oleh dua pengguna. Ia cepat untuk digunakan dan tidak memerlukan
pelanggan untuk menjalankan protokol v5 Kerberos atau mempunyai Sijil
digital. Kedua-dua pihak mesti mengkonfigurasi secara manual dasar IPSec mereka
menggunakan kekunci pra-kongsi ini. Ini boleh digunakan atas dasar terhad apabila
Kerberos- atau pengesahan berasaskan sijil tidak boleh didapati. Ambil perhatian
bahawa kunci ini adalah untuk perlindungan pengesahan sahaja; ia tidak digunakan
untuk menyulitkan data. Lihat bahagian bertajuk "Amalan Terbaik" dalam bab ini.
Microsoft tidak mengesyorkan penggunaan kerap pengesahan kunci pra-dikongsi,
kerana kunci pengesahan yang disimpan, yang tidak dilindungi, dalam dasar IPSec
itu. Pra-kongsi metodologi utama disediakan hanya untuk tujuan operasi dan untuk
mematuhi standard IPSec ditetapkan oleh IETF. Untuk menggunakan kaedah
pengesahan ini dengan selamat, dasar perlu terhad kepada pentadbir sahaja
membaca dan menulis akses, disulitkan untuk privasi apabila disampaikan antara
pengawal domain dan ahli domain komputer, dan terhad kepada sistem sahaja akses
baca pada setiap komputer.
Menggunakan Kerberos atau pengesahan berasaskan sijil adalah disyorkan, untuk
mengelakkan risiko keselamatan yang berkaitan dengan pra-kongsi pengesahan
kunci.

Perancangan IPSec

Perancangan IPSec
Seksyen yang berikut boleh digunakan sebagai garis panduan umum atau contoh apabila
merancang penempatan IPSec anda.

Mewujudkan Pelan IPSec

Keselamatan
Melaksanakan IPSec, sama ada untuk domain yang besar atau kumpulan kerja kecil,
bermakna mencari keseimbangan antara membuat maklumat dengan mudah boleh didapati
dengan bilangan terbesar pengguna, dan melindungi maklumat sensitif daripada akses yang
tidak dibenarkan.
Mencari keseimbangan yang betul memerlukan:

Menilai risiko dan menentukan tahap keselamatan yang sesuai untuk organisasi
anda.

Mengenal pasti maklumat yang berharga.

Menentukan dasar keselamatan yang menggunakan kriteria pengurusan risiko dan

melindungi maklumat yang dikenal pasti.

Menentukan bagaimana polisi terbaik dilaksanakan dalam organisasi yang sedia ada.

Memastikan pengurusan dan teknologi keperluan adalah di tempat.

Menyediakan semua pengguna dengan kedua-dua akses selamat dan cekap kepada
sumber-sumber yang sesuai, mengikut keperluan mereka.

pertimbangan keselamatan juga dipengaruhi oleh konteks operasi komputer untuk yang ia
terpakai. Sebagai contoh, keselamatan yang diperlukan mungkin berbeza bergantung pada
sama ada komputer adalah pengawal domain, pelayan web, pelayan capaian jauh, pelayan
fail, pelayan pangkalan data, intranet atau pelanggan jauh.
Rangka kerja keselamatan Windows 2000 direka untuk memenuhi keperluan keselamatan
yang paling ketat. Walau bagaimanapun, perisian sahaja adalah kurang berkesan tanpa
perancangan yang teliti dan penilaian, garis panduan keselamatan yang berkesan,
penguatkuasaan, pengauditan, dan masuk akal pembentukan dasar keselamatan dan
tugasan.
Tidak ada definisi yang tepat daripada langkah-langkah yang menentukan keselamatan
standard. Ini boleh berbeza-beza secara meluas, bergantung kepada dasar dan infrastruktur
organisasi. Tahap keselamatan berikut boleh dianggap sebagai asas umum untuk
merancang penempatan IPSec anda.

Keselamatan Minimal
Komputer tidak bertukar-tukar data sensitif. IPSec tidak aktif secara lalai. Tiada tindakan
pentadbiran untuk melumpuhkan IPSec diperlukan.

Amalan terbaik
Windows 2000 Keselamatan IP Dasar Pengurusan snap-dalam dapat memudahkan
pergerakan. Untuk mengambil kesempatan ini dan untuk mengelakkan pelaksanaan
bermasalah, anda perlu:

Menilai jenis maklumat yang dihantar melalui rangkaian anda: adakah data sensitif
kewangan, maklumat proprietari, atau mel elektronik? Beberapa jabatan mungkin

memerlukan tahap yang lebih tinggi daripada keselamatan daripada majoriti

perusahaan kerana sifat fungsi mereka.

Menentukan di mana maklumat anda disimpan, bagaimana ia laluan melalui

rangkaian, dan dari apa akses komputer boleh diperolehi. Ini menyediakan maklumat
mengenai kelajuan, kapasiti, dan penggunaan rangkaian sebelum pelaksanaan IPSec,
yang berguna untuk pengoptimuman prestasi.

Menilai kelemahan anda untuk serangan rangkaian yang dibincangkan pada awal bab
ini.

Mereka bentuk dan mendokumenkan pelan keselamatan rangkaian

organisasi. Mengambil kira yang berikut:

Rangka kerja keselamatan umum Windows 2000, termasuk model Direktori

Aktif dan bagaimana keselamatan digunakan untuk objek Dasar Kumpulan.

senario anda mungkin komunikasi: intranet, capaian jauh, extranets untuk

rakan kongsi perniagaan, komunikasi antara tapak (router ke router).

Tahap keselamatan perlu bagi setiap senario. Sebagai contoh, anda boleh
memutuskan hanya komunikasi Internet memerlukan kerahsiaan.

Reka bentuk, membuat, dan menguji dasar IPSec untuk setiap senario dalam pelan
anda. Ini membolehkan anda untuk menjelaskan dan menghalusi dasar-dasar dan
struktur dasar yang perlu.

yang telah ditetapkan

Konfigurasi
Windows 2000 menyediakan satu set konfigurasi IPSec yang telah ditetapkan. Secara lalai,
semua dasar-dasar yang telah ditetapkan direka untuk komputer yang menjadi ahli domain
Windows 2000. Dasar-dasar yang telah ditetapkan, senarai penapis, dan tindakan penapis
disediakan tidak bertujuan untuk kegunaan segera. Sebaliknya, mereka bertujuan untuk
menunjukkan, untuk tujuan ujian penempatan, tingkah laku yang berbeza yang boleh
dilakukan dengan tetapan dasar yang berbeza.
Berikut adalah perihal Windows 2000 dasar yang telah ditetapkan.

Pelanggan (Bertindak balas Sahaja)

Polisi ini adalah untuk komputer yang (untuk sebahagian besar masa) tidak menjamin
komunikasi. Sebagai contoh, pelanggan intranet mungkin tidak memerlukan IPSec kecuali
apabila diminta oleh komputer lain. Dasar ini membolehkan komputer di mana ia aktif
sewajarnya bertindak balas kepada permintaan untuk komunikasi terjamin. Ia mengandungi
peraturan Response Lalai, yang membolehkan rundingan dengan komputer meminta
IPSec. Hanya protokol dan pelabuhan trafik yang diminta untuk komunikasi terjamin.
Top Of Page

Server (Permintaan Keselamatan)

Polisi ini adalah untuk komputer yang (bagi majoriti masa itu) komunikasi yang selamat,
seperti pelayan yang menghantar data sensitif. Dasar ini membolehkan komputer untuk
menerima trafik tidak bercagar, tetapi sentiasa cuba untuk mendapatkan komunikasi
tambahan dengan meminta keselamatan dari penghantar asal. Dasar ini membolehkan
keseluruhan komunikasi menjadi tidak selamat jika komputer lain tidak IPSec yang
dibolehkan.
Top Of Page

Pelayan Selamat (diperlukan Keselamatan)

Polisi ini adalah untuk komputer yang sentiasa memerlukan komunikasi yang selamat,
seperti pelayan yang menghantar data yang sangat sensitif. Dasar ini tidak bercagar,
permintaan komunikasi yang diterima, tetapi sentiasa bertindak balas dengan komunikasi
selamat. komunikasi tidak jatuh permintaan sambungan yang diterima dan balasan yang
mula-mula itu adalah tidak dibenarkan.
Top Of Page

Peraturan yang telah ditetapkan

Seperti dasar yang telah ditetapkan, peraturan Response Lalai disediakan dengan
pengaktifan tanpa tindakan lanjut, pengubahsuaian, atau sebagai template untuk
menentukan peraturan adat. Ia ditambah kepada setiap dasar yang baru anda buat, tetapi
tidak diaktifkan secara automatik. Ia adalah untuk mana-mana komputer yang tidak
memerlukan keselamatan, tetapi mesti dapat sewajarnya bertindak balas apabila satu lagi
permintaan komputer memperoleh komunikasi.
Top Of Page

Tindakan penapis yang telah ditetapkan

Seperti kaedah-kaedah yang telah ditetapkan, ini disediakan untuk pengaktifan tanpa
tindakan lanjut, pengubahsuaian, atau sebagai template untuk menentukan Tindakan adat

Penapis. Mereka boleh didapati untuk pengaktifan dalam mana-mana peraturan baru atau
yang sedia ada:

memerlukan Security
keselamatan yang tinggi. komunikasi tidak bercagar adalah tidak dibenarkan kecuali
permintaan perhubungan yang diterima awal.

Permintaan Keselamatan (Pilihan)

Keselamatan sederhana ke rendah. komunikasi tanpa jaminan dibenarkan, bagi
membolehkan komunikasi dengan komputer yang tidak atau tidak boleh berunding
IPSec.

Pertimbangan IPSec Khas

Pertimbangan berikut membantu pentadbiran Memudahkan dasar IPSec:

IP Senarai Penapis
Beberapa cadangan untuk Senarai IP Filter:

Cuba untuk menggunakan penapis umum jika anda mahu untuk menutup
sekumpulan komputer dengan hanya satu penapis. Sebagai contoh, dalam penapis
kotak dialog, gunakan Sebarang Alamat IP atau alamat subnet IP dan bukan
dengan menyatakan alamat IP sumber dan destinasi komputer tertentu ini.

Menentukan penapis yang membolehkan anda untuk kumpulan dan lalu lintas
selamat daripada segmen dikaitkan secara logik rangkaian anda.

Susunan yang penapis terpakai tidak berkaitan dengan pesanan yang dipaparkan
apabila melihat dasar IPSec itu. Semua penapis pada masa yang sama diambil oleh
IPSec Dasar Agent semasa permulaan sistem dan diproses dan disusun dari yang
paling khusus untuk-kurangnya tertentu. Tidak ada jaminan bahawa penapis khusus
akan digunakan sebelum penapis umum sehingga semua penapis telah diproses, dan
yang boleh menjejaskan beberapa tingkah laku komunikasi sewaktu permulaan
sistem.

Top Of Page

Tindakan penapis
Beberapa cadangan Tindakan Filter:

Jika anda perlu untuk menghalang komunikasi dengan komputer penyangak,

memastikan keselamatan yang tidak dirundingkan untuk data yang tidak penting

atau apabila rakan-rakan tidak IPSec yang dibolehkan, gunakan Tindakan penapis
seperti menyekat atau polisi lulus-melalui.

Apabila mengkonfigurasi kaedah keselamatan adat, hanya menetapkan pemilihan

kerahsiaan ESP kepada Tiada apabila protokol lapisan yang lebih tinggi akan
menyediakan penyulitan data.

Untuk senario komunikasi jauh (termasuk IPSec terowong), menimbangkan senarai

kaedah keselamatan yang menentukan tahap keselamatan seperti 3DES sahaja,
hayat kunci pendek (kurang daripada 50 MB), dan Perfect Forward Kerahsiaan untuk
tuan dan sesi kunci. Ini membantu melindungi daripada serangan-key diketahui.

Top Of Page

Communications Capaian Jauh

Beberapa cadangan untuk komunikasi akses jauh:

Senarai kaedah pengesahan mesti termasuk sijil, dan sijil kunci awam sekurangkurangnya satu komputer peringkat mesti dikonfigurasi pada setiap rakan sebaya
(pelanggan jauh atau pelayan akses jauh). Windows 2000 pengawal domain boleh
dikonfigurasikan untuk ahli domain automatik mendaftar dalam pihak berkuasa sijil.

Jika anda memerlukan kemampuan untuk jarak jauh mentadbir komputer di syarikat
anda, anda mesti menambah peraturan dasar IPSec aktif anda untuk mengelakkan
trafik TCP RPC daripada disekat apabila ia datang dari rangkaian dalaman. (Ini jenis
trafik digunakan oleh alat konfigurasi akses jauh dalam Windows 2000). Sebagai
contoh:
o

Senarai Penapis IP dalam peraturan harus menentukan alamat keluar

daripada subnet korporat (lokasi konsol pentadbiran anda), dan alamat yang
diterima untuk alamat IP dalaman komputer terurus. Jenis protokol harus
ditetapkan kepada TCP.

Penapis Tindakan dalam kaedah harus mempunyai Terima komunikasi

tidak bercagar dan Benarkan komunikasi dengan komputer bukan
IPSec dibolehkan aktif.

Top Of Page

SNMP
Jika komputer yang menjalankan perkhidmatan SNMP, anda mesti menambah satu
peraturan untuk mengelakkan mesej SNMP daripada disekat:

Senarai Penapis IP harus menentukan sumber dan destinasi alamat sistem dan ejen
pengurusan SNMP. Jenis Protokol harus ditetapkan kepada UDP, ke dan dari

pelabuhan 161 dan 162. Ini memerlukan dua penapis: satu untuk UDP, ke dan dari
pelabuhan 161, dan satu lagi untuk UDP, ke dan dari pelabuhan 162.

Set Tindakan Penapis untuk Permit, yang menghalang rundingan untuk keselamatan
dan melalui sebarang trafik yang sepadan dengan Senarai IP Filter.

Top Of Page

Gerbang Keselamatan
Untuk pintu masuk keselamatan, firewall, pelayan proksi, router atau mana-mana pelayan
yang merupakan pusat akses daripada intranet kepada dunia luar, penapisan khas mesti
diaktifkan pada komputer itu untuk memastikan bahawa paket dijamin dengan IPSec tidak
ditolak. Sekurang-kurangnya, input dan output penapis berikut mesti ditakrifkan untuk
antara muka Internet pada komputer:
Top Of Page

Penapis Input

Protokol IP ID 51 (0x33) untuk masuk trafik IPSec Pengesahan Header.

Protokol IP ID 50 (0x32) untuk masuk trafik Protokol Keselamatan IPSec menghimpun.

UDP port 500 (0x1F4) untuk masuk trafik rundingan IKE.

Top Of Page

Penapis output

Protokol IP ID 51 (0x33) untuk keluar trafik IPSec Pengesahan Header.

Protokol IP ID 50 (0x32) untuk keluar trafik Protokol Keselamatan IPSec menghimpun.

UDP port 500 (0x1F4) untuk keluar trafik rundingan IKE.

Top Of Page

DHCP, DNS, dan MENANG Perkhidmatan; Pengawal domain

Sebelum membolehkan IPSec untuk komputer berfungsi sebagai DHCP, DNS, MENANG
pelayan, atau pengawal domain, menentukan sama ada semua pelanggan juga IPSecmampu. Jika tidak, jika dasar IPSec tidak dikonfigurasikan untuk membenarkan kembali
untuk membersihkan atau untuk membenarkan trafik tidak bercagar untuk menampung
pelanggan yang lebih tua, rundingan selamat mungkin tersilap gagal, dan akses kepada
perkhidmatan rangkaian mungkin disekat.

Common IPSec Contoh

Common IPSec Contoh

Ini menerangkan contoh penempatan untuk konfigurasi IPSec biasa. Walaupun konfigurasi
rangkaian anda mungkin berbeza daripada apa yang dibincangkan di sini, konsep asas
dikenakan.
Menyediakan jaminan untuk kumpulan yang biasanya bertukar-tukar maklumat yang sangat
sensitif sering diperlukan membahagikan intranet. Kumpulan komputer pada berbeza,
segmen fizikal menghalang pelanggaran keselamatan.IPSec menyediakan perlindungan
sementara masih membenarkan kumpulan komputer selamat untuk tinggal di dalam
intranet fizikal yang sama.
Rajah 8.14 mewakili domain terdiri daripada komputer di jabatan kewangan. Kebanyakan
pelanggan intranet tidak perlu untuk berkomunikasi dengan selamat. Walau bagaimanapun,
sekumpulan pelayan di kedai rangkaian maklumat yang sangat sensitif yang beberapa
pelanggan intranet perlu akses. Semua komputer mempunyai akaun komputer dalam
Direktori Aktif.

Rajah 8.14 Satu Intranet Domain dengan End-to-End Communications

Komputer akaun dikumpulkan ke dalam Active Directory Unit Organisasi (OU) atas sebabsebab keselamatan. Ini membolehkan tugasan yang sesuai dasar IPSec, berdasarkan fungsi
komputer:

Pelayan yang menyimpan dan pertukaran maklumat yang sangat sensitif milik
Tertinggi Keselamatan pelayan OU.

Pelayan yang mungkin menggunakan komunikasi tanpa jaminan untuk membolehkan

pertukaran data dengan bukan Windows 2000 komputer dalam domain yang
tergolong dalam pelayan OU Selamat.

Pelanggan yang memerlukan keupayaan untuk bertindak balas sewajarnya apabila

komunikasi yang selamat adalah diperlukan. Ini adalah dalam kumpulan lalai
Computers.

Mengumpulkan komputer ke dalam ous membolehkan tugasan dasar IPSec hanya kepada
mereka yang memerlukan IPSec. Ia juga membolehkan tahap keselamatan yang sesuai yang
akan diberikan, mengelakkan overhed keselamatan yang berlebihan. Dalam senario ini,
Direktori Aktif menyimpan dasar IPSec untuk semua komputer.
keselamatan yang tinggi antara pelanggan dan pengawal domain adalah tidak perlu:
pertukaran Kerberos berkaitan antara pelanggan dan pengawal domain sudah disulitkan,
dan penghantaran dasar IPSec daripada Direktori Aktif kepada komputer ahli dilindungi oleh
Windows 2000 keselamatan LDAP.
Dalam contoh ini, IPSec perlu digabungkan dengan kawalan akses. kebenaran pengguna
masih sebahagian yang perlu menggunakan keselamatan untuk melindungi akses kepada
saham fail ada di mana-mana Keselamatan Tertinggi atau Pelayan Selamat. IPSec menjamin
lalu lintas peringkat rangkaian, supaya penyerang tidak boleh menterjemah atau mengubah
suai data. Untuk maklumat mengenai menetapkan kebenaran pengguna, lihat 2000 Bantuan
Windows.

Polisi yang diperlukan

Berikut adalah jenis polisi IPSec diperlukan untuk dipertimbangkan.
Top Of Page

Komputer: Client (Bertindak balas Sahaja)

komputer ahli Domain menerima polisi IPSec yang diberikan kepada dasar keselamatan
domain. Dasar yang telah ditetapkan, Pelanggan (Bertindak balas Sahaja), ditugaskan untuk
dasar jaminan kumpulan domain untuk memastikan komputer ini boleh bertindak balas
seperti yang diperlukan kepada permintaan untuk komunikasi yang selamat.
Top Of Page

Pelayan Selamat: Server (Permintaan Keselamatan)

akaun komputer di OU ini biasanya berkomunikasi dengan selamat, tetapi juga mungkin
perlu untuk berkomunikasi dengan komputer yang tidak boleh bertindak balas untuk

menjamin permintaan. Menetapkan dasar yang telah ditetapkan, Server (Permintaan

Keselamatan), membolehkan permulaan komunikasi yang selamat apabila perlu, tetapi juga
memulakan komunikasi dengan bukan Windows 2000 sistem legasi yang mungkin menjadi
sebahagian daripada domain.
Top Of Page

Tertinggi Pelayan Keselamatan: Pelayan Selamat (diperlukan

Keselamatan)
akaun komputer di OU ini tidak berkomunikasi dengan mana-mana komputer yang tidak
atau tidak boleh memulakan dan berjaya berunding keselamatan. Ini kedai pelayan dan
menghantar data yang sangat sensitif. Dasar yang telah ditetapkan, Server Selamat
(Memerlukan Security), ditugaskan untuk memastikan bahawa komunikasi keluar tidak jatuh
kembali ke tidak selamat jika rundingan gagal atau komputer lain tidak IPSecmampu. Walaupun komunikasi dengan pengawal domain dirundingkan dan terjamin. Oleh
kerana ketegasan dasar ini, anda mungkin perlu menambah pengecualian bagi jenis trafik
khas seperti SNMP lalu lintas. Untuk maklumat mengenai mengubah dasar IPSec, lihat
"Pertimbangan Khas IPSec" sebelum ini dalam bab ini.

Penyelesaian masalah

Penyelesaian masalah
Bahagian ini mengandungi kaedah untuk menentukan punca masalah komunikasi IPSec
bercagar, dan alat-alat yang boleh mengesahkan komunikasi IPSec bercagar.
Nota
Kegagalan dalam perkhidmatan rangkaian teras, seperti DHCP, DNS, dan WINS, boleh
menyebabkan kegagalan IPSec tidak menentu.

Top Of Page

Maklumat berkaitan dalam Kit Sumber yang

Untuk maklumat umum mengenai Protokol Internet (IP), lihat "Pengenalan kepada
TCP / IP" di dalam buku ini ..

Untuk maklumat lanjut mengenai konsep VPN, lihat "Maya Rangkaian persendirian"
dalam Windows 2000 Internetworking Guide.

Untuk maklumat keselamatan umum, lihat bab di bawah "Keselamatan Diedarkan"

dalam Microsoft Windows 2000 Kit Sumber Server Sistem Teragih Guide.