在執行以下指導步驟之前,確保您知道以下術語的含義:
身份驗證:確定計算機的身份是否合法的過程。Windows 2000 IPSec 支持三種身份驗證:Kerberos、證書和預共享密鑰。只有當兩個終結點(計算機)都位于同一個 Windows 2000 域時,Kerberos 身份驗證才有效。這種類型的身份驗證是首選方法。如果計算機位于不同的域中,或者至少有一臺計算機不在某個域中,則必須使用證書或預共享密鑰。只有當每個終結點中包含一個由另一個終結點信任的頒發機構簽署的證書時,證書才有效。預共享密鑰與密碼有著相同的問題。它們不會在很長的時間段內保持機密性。如果終結點不在同一個域中,并且無法獲得證書,則預共享密鑰是唯一的身份驗證選擇。
加密:使準備在兩個終結點之間傳輸的數據難以辨認的過程。通過使用充分測試的算法,每個終結點都創建和交換密鑰。該過程確保只有這些終結點知道密鑰,而且如果任何密鑰交換序列被攔截,攔截者不會得到任何有價值的內容。
篩選器:對 Internet 協議 (IP) 地址和協議的描述,可觸發 IPSec 安全關聯的建立。
篩選器操作:安全要求,可在通信與篩選器列表中的篩選器相匹配時啟用。
篩選器列表:篩選器的集合。
Internet 協議安全策略:規則集合,描述計算機之間的通訊是如何得到保護的。
規則:篩選器列表和篩選器操作之間的鏈接。當通信與篩選器列表匹配時,可觸發相應的篩選器操作。IPSec 策略可包含多個規則。
安全關聯:終結點為建立安全會話而協商的身份驗證與加密方法的集合。
在 Microsoft 管理控制臺中查找 IPSec 通過使用 Microsoft 管理控制臺 (MMC) 配置 IPSec。Windows 2000 在安裝過程中創建一個帶有 IPSec 管理單元的 MMC。若要查找 IPSec,請單擊開始,指向程序,單擊管理工具,然后單擊本地安全策略。在打開的 MMC 中的左窗格中,單擊本地計算機上的 IP 安全策略。MMC 將在右窗格中顯示現有的默認策略。
更改 IP 地址、計算機名和用戶名為了此示例的目的,假設 Alice 是一個計算機用戶,該計算機名為"Alicepc"、IP 地址為 172.16.98.231,Bob 的計算機名為"Bobslap",IP 地址為 172.31.67.244。他們使用 Abczz 程序連接他們的計算機。
通過使用 Abczz 程序互相連接時,Alice 和 Bob 必須確保通信是被加密的。當 Abczz 建立其連接時,啟動程序使用其本身上的隨機高端口并連接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目標(其中,TCP 是"傳輸控制協議"的縮寫)。通常,這些端口用作 Internet 多線交談 (IRC)。因為 Alice 或 Bob 均可發起連接,所以該策略必須存在于兩端。
創建篩選器列表
通過在 MMC 控制臺中右鍵單擊 IP 安全策略,可訪問用于創建 IPSec 策略的菜單。第一個菜單項是"創建 IP 安全策略"。盡管此菜單似乎是要開始的位置,但卻不應從此位置開始。在可創建策略及其相關規則之前,您需要定義篩選器列表和篩選器操作,它們是任何 IPSec策略的必需組件。單擊管理 IP 篩選器表和篩選器操作開始工作。
將顯示帶有兩個選項卡的對話框:一個用于篩選器列表,另一個用于篩選器操作。首先,打開管理 IP 篩選器列表選項卡。已經有兩個預先定義的篩選器列表,您不會使用它們。相反,您可以創建一個特定的篩選器列表,使其與要連接到的其他計算機對應。
假設您在 Alice 的計算機上創建策略:
單擊添加創建新的篩選器列表。將該列表命名為"Abczz to Bob's PC"。
單擊添加添加新篩選器。將啟動一個向導。
單擊我的 IP 地址作為源地址。
單擊一個特定的 IP 地址作為目標地址,然后輸入 Bob 的計算機的 IP 地址 (172.31.67.244)。或者,如果 Bob 的計算機已在域名系統 (DNS) 或 Windows Internet 名稱服務 (WINS) 中注冊,則可選擇特定的 DNS 名,然后輸入 Bob 的計算機名,Bobslap。
Abczz 使用 TCP 進行通訊,因此單擊 TCP 作為協議類型。
對于 IP 協議端口,單擊從任意端口。單擊到此端口,鍵入:6667,然后單擊完成完成該向導。
重復上述步驟,但這次鍵入:6668作為端口號,然后單擊關閉。
您的篩選器列表中包含兩個篩選器:一個在端口 6667 (屬于 Bob)上用于從 Alice 到 Bob 的通訊,另一個在端口 6668 (屬于 Bob)上。(Bob 在自己的計算機上設置了 6667 和6668 兩個端口:一個端口用于傳出的通訊,另一個用于傳入的通訊。)這些篩選器是鏡像的,每次創建 IPSec 篩選器時通常都需要如此。對于已鏡像的每個篩選器,該列表可包含(但不顯示)與其正好相反的篩選器(即目標和源地址與其相反的篩選器)。如果沒有鏡像篩選器,IPSec 通訊通常不成功。