高級安全Windows防火牆（上）之IPSec --- Windows2008新功能系列之三

    你們都知道，安全無疑是當前企業最爲關心的話題，windows2008已經誕生一年多了，相信朋友們對於2008的部署及各項新功能，已經瞭如指掌了吧？！今天咱們就來看看如何利用2008的改進功能來實現企業的安全通訊。

網絡拓樸：

單域，雙子網，具體IP如上圖所設置，其中w08a是DC，w08b是文件服務器，其他均是加入域的客戶端。域名contoso.com，w08a兼做DNS服務器，CA服務器、DHCP服務器等。

 

企業要求：
1. 實現域內全部客戶端之間通訊所有加密（ICMP除外）
2. 實現域內全部客戶端和文件服務器10.1.1.6之間通訊所有加密。
3. 若用戶不登陸域，則沒法和域內的客戶端或文件服務器通訊。

 

分析：針對企業目的，能夠實現的方法不少，但最簡單最直接的方法仍是利用IPSec，我在《安全系列》中已經講到使用IPSEC實現，各位能夠參考。但若是用2003的IPSEC的話，實現起來有些麻煩，並且2003的IPSEC的身份驗證只是針對計算機，不能實現第3點功能，即針對用戶進行身份驗證，要想實現只能另闢溪徑。在這裏咱們使用windows 2008的IPSec能夠輕鬆搞定。

    Windows Server 2008的IPSec和高級安全Windows防火牆（如下簡稱WFAS），集中到了一塊兒，以下圖所示：

 

在「鏈接安全規則」裏能夠設置IPSec策略。

具體的打開方式有兩種：

1. 利用MMC，添加刪除管理單元---WFAS便可（適合於vista、WIN7）

2. 管理工具---WFAS（適合於windows 2008）

注意：經過WFAS新建的「鏈接安全規則」，只適用於windows 200八、vista、win7，若是使用原來的IPSec，只能經過IP安全策略管理來完成，即在MMC中添加IP安全策略管理。

 

解決思路：

因爲企業是域環境，因此咱們經過域中的組策略統一爲客戶端部署IPSec。首先咱們須要在DC上利用ADUC新建一個GPO，並連接到域上。而後在這個GPO中設置相應的策略便可。這樣域裏的全部客戶端均要加載，包括DC本身，但在本例中DC和其它客戶端的通訊不須要IPSEC加密，所以DC在咱們免除列表裏（即不須要身份驗證和加密通訊）。

 

1、在DC上新建GPO，取名爲IPSec，連接到域上。

打開gpmc.msc後，以下圖所示：

單擊後，以下圖所示，輸入名字：

 

再次單擊肯定，而後在此GPO上右擊，以下圖所示：

 

選擇「編輯」，以下圖所示：

 

對於windows200八、vista、win7咱們能夠選擇「鏈接安全規則」來設置IPSEC通訊，若是是老版本的操做系統，咱們能夠選擇「IP安全策略.....」這一項進行設置。

 

2、建立免除列表通訊規則

1. 右擊「鏈接安全規則」，選擇「新規則」，以下圖所示：

 

以下圖咱們選擇第二項，所示：

 

選擇第二項的含義，指的是這個通訊不須要進行身份驗證。單擊下一步：

 

在這裏，咱們須要輸入不進行身份驗證的計算機的IP或地址範圍，再次單擊下一步，以下圖所示：

 

選擇默認不變，將這個應用於這三種環境，再次單擊下一步，以下圖所示，並給這條規則取名，單擊完成。

 

注意，設置完這條規則後，必定要使全部的客戶端加載此條策略設置，有三種方法：

第一種方法，客戶端運行gpupdate /force，包括DC

第二種方法，客戶端等一段時間，通常是90-120分鐘不等

第三種方法，全部客戶端重啓。固然在企業裏咱們部署時，建議作完上述後，次日或等一段時間後，再進行下面的第三步。

    在這裏，咱們是實驗環境，直接在DC和客戶端上運行 Gpupdate /force就能夠了。

    運行完後，建議在客戶端上ping 下DC，正常能通訊就OK了。注意：這個通訊是不使用IPSEC進行身份驗證和加密的。

 

3、建立域內IPSec通訊規則

同上所述，咱們再次建立一條IPSEC規則，以下圖所示：

 

咱們選擇「隔離」，意味着必需要進行身份驗證和加密通訊，不然將不容許通訊。單擊下一步，如圖所示：

 

咱們選擇第三項，意味着通訊雙方無論如何訪問（入站或出站），均需身份驗證。單擊下一步，以下圖所示：

 

咱們選擇相應的身份驗證方式，第二項，即用戶或計算機均須要Kerberos V5，只有在域環境下方可進行。單擊下一步，以下圖所示：

 

再次單擊下一步，以下圖，咱們取名後，單擊完成。

 

作完後，以下圖，咱們已經有了兩條策略規則：

 

讓咱們的全部客戶端都當即應用一下，gpupdate /force吧。

 

4、測試

咱們怎麼知道客戶端是否應用了相應的組策略了呢？兩種方式得知：

1. 打開客戶端的WFAS，展開以下圖所示，看有沒有在域的GPO上所設置的兩條規則：

 

2. 咱們在w08c上ping 一下w08b和w08a，如：

ping -t 10.1.1.6

ping -t 10.1.1.5

而後，咱們再次利用WFAS中的監視，以下圖咱們只能看到10.1.1.6，由於它和w08c是須要身份驗證和加密的。而10.1.1.5的通訊卻沒有，這是正常的。以下圖所示：

 

其實你在快速模式中也能夠看到。這裏主模式和快速模式是IPSEC通訊的兩個階段。

 

5、排除ICMP通訊，完成實驗。

但咱們企業要求ICMP的通訊不須要身份驗證和加密，所以咱們再次回到DC的組策略管理控制檯，再次編輯IPSEC這個GPO，以下圖所示：

 

選擇「屬性」後，以下圖所設置便可：

 

而後全部的客戶端gpupdate /force刷新，再次測試ping，發現沒有身份驗證了。而當咱們訪問共享資源時，如從w08c（172.16.1.7）訪問w08b（10.1.1.6）共享資源時，咱們打開監視，看到以下圖所示：

 

下面咱們把w08c註銷，用本地用戶的身份登陸，再次訪問10.1.1.6的共享資源，發現卻不能訪問，原來是用戶的身份驗證通不過。以下圖所示：

 

所有實驗結束！

 

小結：其實這個實驗難度並不大，關鍵在於合理的應用組策略來統一設置IPSEC。其中有兩條策略，這兩條策略必定不能先作第二條，不然你會發現實驗不成功，原理很簡單，記住一點，在企業環境裏，有一些特殊的計算機是不能進行身份驗證和加密的，如DC、DHCP、CA、DNS等，若是非得使用，設置不當會使你的整個網絡的通訊崩潰。

注：必需要讓客戶端成功應用完第一條策略後，再設置並應用第二條策略！！！

 

但願這篇文檔能給你企業應用帶來一些幫助！~