IPSec應用方案設計

如下內容摘自業界惟一一本真正從全局視角介紹網絡安全系統設計的圖書——《網絡工程師必讀——網絡安全系統設計》一書。目前該書在卓越網上僅須要70折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360

 8.10 IPSec應用方案設計

IPSec是一個能夠在許多情形下用來幫助提升網絡通訊安全的通用安全技術。但不管如何，你得在複雜的IPSec策略配置基礎上平衡考慮安全性需求。另外，因爲一些適當標準的缺少，IPSec對一些類型的鏈接並不支持。本部分討論建議或不建議使用IPSec的情形，以及選擇IPSec所需的一些特定考慮。下列特殊IPSec考慮有助於簡化IPSec策略管理。

8.10.1 IPSec安全通訊方案的主要應用

如下是對於Windows Server 2003家族IPSec實現的推薦方案。

推薦將Windows Server 2003家族IPSec的實現用於如下狀況：

1. 包篩選

IPSec爲終端系統提供受限的防火牆功能。您還可使用帶有「Internet鏈接防火牆」、「Windows防火牆」和「路由和遠程訪問」的IPSec來容許或阻止入站或出站通訊。

IPSec能夠經過主機包篩選爲終端系統提供有限的防火牆功能。你能夠配置基於源和目的地址（包括通訊協議類型和端口號）的IPSec策略去容許，或者阻止特定非廣播包通訊。例如，你能夠按圖8-58所示，在鏈接內/外部網絡路由器上限制僅指定地址和端口的IP數據包能夠經過。你能夠經過使用IPSec包篩選功能來精確控制通訊雙方容許通訊的類型來增強網絡通訊安全保護能力。

圖8-58 IPSec包篩選功能的典型應用示例

示例中，咱們能夠建立如下IPSec包篩選策略：

n 內部網絡域管理員能夠分配基於活動目錄的IPSec策略去阻止全部來自外部網絡的通訊。外部網絡管理員能夠指派一個基於活動目錄的IPSec策略來阻止全部到內部網絡的通訊。

n 內部網絡中運行SQL服務器（SQL Server）的管理員能夠建立專門的一個基於活動目錄的IPSec容許到外部網絡中的Web應用服務器的結構化查詢協議通訊。

n 外部網絡中的Web服務器管理員能夠建立專門的一個基於活動目錄的IPSec策略容許到內部網絡的SQL服務器的通訊。

n 外部網絡中的Web服務器（Web Application Server）管理員能夠建立專門的一個基於活動目錄的IPSec策略阻止全部來自互聯網上採用TCP協議80端口的HTTP或者HTTPS Web訪問。這就是當防火牆萬一出現崩潰或者遭受***時另外的安全保障。

n 外部網絡域管理員能夠阻止全部到管理控制檯計算機（Management Computer）的通訊，可是容許到外部網絡的通訊。

你也可使用IPSec的IP包篩選功能，或者路由器的基本NAT和防火，以及遠程訪問服務來容許或阻止流入，或者流出通訊，或者使用帶有Windows系統自帶的Windows防火牆，提供提供狀態包篩選。不管如何，爲了確保進行正確的IPSec安全關聯的互聯網密鑰交換（IKE）管理，你必須配置Windows防火牆去容許UDP 500和4500端口的通訊，由於這是IKE消息傳遞所必需的。

2. 保護特定路徑上主機對主機的通訊的安全

您可使用IPSec爲服務器或其它靜態IP地址或子地址之間的通訊提供共同的身份認證和加密保護。IPSec能夠在非廣播的源IP地址到非廣播的目的IP地址之間創建信任和安全通訊，這也就是一般所說的點對點全通訊。例如，你能夠在Web服務器和位於不一樣站點的數據庫服務器，或者域控制器之間創建安全通訊。如圖8-59所示，僅須要發送和接收的計算機雙方配置IPSec策略。客戶端和服務器端計算機獨立處理本身端的安全，而假設經過中間設備進行的通訊是不安全的。

圖8-59 客戶端與服務器端之間的IPSec安全通訊

3. 兩個分離林之間域控制器的安全通訊

圖8-60中顯示了在兩個林了的域控制器是受對方防火牆的通訊控制。除此以外，使用IPSec加強在兩個分離林中的域控制器之間的所通訊安全。你也可使用IPSec保護在同一個域中的兩個域控制器，以及父域與子域間的通訊。

圖8-60 不一樣林域控制器之間的安全保護

4. 經過ISA安全NAT進行的端到端安全通訊

Windows Server 2003支持IPSec NAT穿越（NAT-T）。IPSec NAT-T容許經過IPSec安全通訊，也能夠經過NAT穿越。例如，你可使用Ipsec傳輸模式在運行ISA服務器和NAT服務的計算機之間提供安全的主機到主機通訊，而在兩主機間無需進行包篩選。IPSec傳輸模式一般用來保護主機間的通訊，以及位於同一個局域網，或者經過廣域網鏈接的局域網間的通訊安全。圖8-61中，一臺計算機是運行Windows Server 2003系統和提供NAT功能的ISA服務器。在服務器A上的IPSec策略是僅容許與IP地址爲服務器B進行安全通訊，同時在服務器B上的IPSec策略是配置容許與外部地址的ISA服務器進行安全通訊。

圖8-61 經過ISA安全NAT使用IPSec NAT-T的安全通訊

5. 安全服務器

你能夠爲全部客戶端計算機到服務器的訪問請求IPSec保護。圖8-62顯示了在傳輸模式中的在線商務應用服務器的安全保護。

圖8-62 安全服務器的IPSec應用

在這種應用情形中，內部網絡的全部應用服務器必須與運行Windows 2000或Windows XP Professional系統的客戶端，WINS服務器、DNS服務器、DHCP服務器、域控制器、非微軟數據備份服務器進行通訊。由於客戶端與應用服務器之間的通訊包含機密信息，服務器應當只容許與域中其餘成員進行會話，因此客戶端計算機用戶是本公司員工，想要訪問應用服務器以查看他們的薪水信息。網絡管理員使用須要ESP加密的IPSec策略，僅容許域活動目錄中信任的計算機進行會話。

其餘容許的通訊包括：

n 在WINS、DNS、DHCP和應用服務器之間的通訊是容許的，由於WINS、DNS、DHCP服務器必須爲最普遍的客戶端操做系統提供服務，而有些客戶端系統可能不支持IPSec。

n 域控制器與應用服務器之間的通訊是容許的，由於使用IPSec保護這二者的通訊安全是不建議的。

n 非微軟數據備份服務器和應用服務器之間是容許的，由於非微軟數據備份服務器不支持IPSec。

6. 爲遠程訪問和站點到站點×××鏈接中使用L2TP /IPSec

你能夠在全部×××環境中應用L2TP /IPSec，而並不須要爲IPSec策略作任何配置和部署。在L2TP和IPSec二者之間的共同點就是在遠程訪問客戶端和公司網絡之間經過互聯網的安全通訊，以及在分支機構之間的安全通訊。

【注意】Windows IPSec支持IPSec的傳輸模式和隧道模式兩種。儘管×××一般是指隧道方式，但在L2TP/IPSec ×××鏈接中使用的是IPSec傳輸模式，IPSec隧道模式最主要應用在保護站點到站點的網絡通訊安全，如經過互聯網的站點到站點網絡通訊。

n 在遠程訪問×××鏈接中使用L2TP/IPSec

在經過互聯網的遠程訪問客戶端和公司網絡之間的通訊一般建議採用安全通訊方式。例如客戶端多是一個常常在外的採購商，或者員工是在家裏工做的。在圖8-63中，遠程網關是爲公司內部網絡（Intranet）邊緣提供安全保護的服務器；遠程客戶端是一個常常在外，而又須要常常訪問內部網絡資源的用戶；ISP爲客戶端訪問互聯網提供途經；ISP提供的L2TP/IPSec服務是用來構建×××隧道，幫助保護數據經過互聯網的。

圖8-63 客戶端遠程訪問L2TP/IPSec ×××示例

n 在站點到站點×××鏈接中使用L2TP/IPSec

一個大的公司一般有多個須要相互通訊的站點。例如，在上海和廣州兩地的分公司。在這種情形下，L2TP/IPSec就能夠爲站點之間的×××鏈接，幫助保護站點間的數據通訊安全。在圖8-64中，運行Windows Server 2003系統的路由器（通訊雙方邊緣都有一個這樣的路由器）提供了邊緣安全服務。路由器上鍊接的是租用專線、撥號或者其餘類型互聯網接入線路。L2TP/IPSec ×××隧道僅在路由器之間運行，保護經過互聯網的數據通訊。

圖8-64 站點到站點L2TP/IPSec ×××示例

n 非微軟網關的站點到站點IPSec隧道

若是網關，或者終端系統不支持L2TP/IPSec，或者PPTP（Point-to-Point Tunneling Protocol，點對點隧道協議）的站點到站點×××鏈接，你能夠以隧道模式來使用IPSec。這樣，發送到網關的數據的整個IP數據報都將從新進行封裝，造成一個由IPSec協議保護的新的IP數據包。圖8-65是一個站點到站點IPSec隧道應用示例。

圖8-65 在站點間創建網關到網關的IPSec隧道示例

在這個示例中，通訊是在供應商站點（Site A）客戶計算機和公司總部站點（Site B）FTP服務器之間進行。供應商使用非微軟的IPSec網關，而公司總部是使用運行Windows Server 2003系統的服務器做爲網關的。IPSec隧道是在非微軟網關和運行Windows Server 2003系統的網關之間，提供安全通訊。

【注意】Windows Server 2003操做系統的原始發行版中不包括Windows防火牆。「Internet鏈接防火牆」只包括在Windows Server 2003 Standard Edition和Windows Server 2003 Enterprise Edition的原始發行版中。