作者:許本新
在上兩篇中我們一起討論了關於利用IPsec實現禁用協議和端口的相關知識,其實IPsec真正能夠讓用戶感覺到安全放心的功能並不侷限於此,IPsec的功能是相當的強大,今天我們就繼續來討論如何利用IPsec實現身份驗證和數據加密的功能。
一般的網絡,特別是用戶在借用Internet進行數據傳輸的過程中,用戶的數據往往都是直接暴露在Internet中,大家可以想象直接暴露的數據是多麼的危險,特別是一些企業的重要的機密數據,商業間諜或者一些別有用心的人可以很輕易的獲取這些沒有任何處理直接暴露的數據。其實windows server 2003系統中本身就繼承一個非常優秀的工具IPsec利用它就可以實現對數據的加密和身份驗證,從而實現對數據的保護。
Ping命令我想大家都是非常熟悉的,一次Ping需要經過4個來回也就8組數據,這些數據其實都是沒有加密的,我們先來看看Ping包內部的數據是什麼。如圖1所示。
步驟三、驗證 最後可以看見Ping包內部的數據已經是不可見的了,協商成功,加密成功,另外利用IPsec還可以實現對***隧道實現保護,方法與上類似,所以就不再敘述了。圖1
這裏我使用的是NM31_Release_x86.msi(微軟站點下載)軟件抓的Ping包,大家可以清晰的看到紅色方框中的數據就是Ping包數據,是沒有經過加密的,當網絡***通過相關工具就可以解讀出數據包中的數據,其實網絡中其他協議都存在類似的現象。所以需要大家特別注意。
下面我就以Ping命名爲例,通過IPsec對Ping包加密,然後大家可以依此爲契機舉一反三,得出對其它協議的處理。
步驟一、
利用MMC打開IPsec,然後通過右擊“IP安全策略,在本地計算機”,給策略取一個名字。注意IPsec也可以針對域計算機生效。
步驟二、右擊新建立的策略,選擇“屬性”對當前策略編輯。
