命令行下也玩IPsec

在網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛的今天，一個(gè)重要的問(wèn)題就是有關(guān)計(jì)算機(jī)通信的安全（服務(wù)器租用找：51033397）性問(wèn)題。作為網(wǎng)絡(luò)系統(tǒng)管理員，一項(xiàng)基本職責(zé)就是保證數(shù)據(jù)在網(wǎng)絡(luò)傳輸中，不能被未經(jīng)授權(quán)的人訪問(wèn)、查看或修改，在這中間，同時(shí)要保證數(shù)據(jù)能加密傳輸。怎樣做到這一點(diǎn)呢？

Win2k網(wǎng)絡(luò)中，我們可以通過(guò)IPSec來(lái)保護(hù)網(wǎng)絡(luò)的安全（服務(wù)器租用找：51033397）。IPSec的全稱(chēng)是InternetProtocolSecurity，翻譯成中文就是Internet協(xié)議安全（服務(wù)器租用找：51033397）。它的作用主要有兩個(gè)：一個(gè)是保護(hù)IP數(shù)據(jù)包的內(nèi)容，另外一點(diǎn)就是通過(guò)數(shù)據(jù)包篩選并實(shí)施受信任通訊來(lái)防御網(wǎng)絡(luò)攻擊。這對(duì)于我們當(dāng)有一些重要的數(shù)據(jù)在傳輸?shù)倪^(guò)程中需要加以保護(hù)或者防止監(jiān)聽(tīng)來(lái)說(shuō)無(wú)疑是一個(gè)好消息。

由于是在IP層進(jìn)行對(duì)數(shù)據(jù)的對(duì)稱(chēng)加密，封裝的是整個(gè)的IP數(shù)據(jù)包，所以不需要為T(mén)CP/IP協(xié)議組中的每個(gè)協(xié)議設(shè)置單獨(dú)的安全（服務(wù)器租用找：51033397）性，因?yàn)閼?yīng)用程序使用TCP/IP來(lái)將數(shù)據(jù)傳遞到IP協(xié)議層，并在這里進(jìn)行保護(hù)。相應(yīng)的IPSec配置相對(duì)復(fù)雜，但是對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的，因此不要求應(yīng)用程序必須支持。

Win2k操作系統(tǒng)都支持IPSec，Win2k以前的版本，如Win98與WinNT不支持IPSec。在Win2k的網(wǎng)絡(luò)中，不管是局域網(wǎng)、廣域網(wǎng)，都可以使用IPSec來(lái)保證網(wǎng)絡(luò)的安全（服務(wù)器租用找：51033397）。我們以前見(jiàn)到的文章都是討論在圖形界面下配置IPSec的，因?yàn)椴襟E比較多，所以很容易出錯(cuò)，并且效率不是怎么的高，那么我們是否可以在命令行下配置IPSec呢？答案是肯定的，今天我們就來(lái)講講如何在命令行下配置IPSec。

一：基礎(chǔ)知識(shí)

在開(kāi)始文章前有必要先了解一些基礎(chǔ)的知識(shí)，以便更好的閱讀下面的文章。

1、IPSec的工作的過(guò)程：

兩臺(tái)計(jì)算機(jī)在通訊的時(shí)候，如果已經(jīng)設(shè)置好IPSec的策略，億恩科技主機(jī)在通訊的時(shí)候會(huì)檢查這個(gè)策略，策略在應(yīng)用到億恩科技主機(jī)的時(shí)候會(huì)有一個(gè)協(xié)商的過(guò)程，這個(gè)過(guò)程通過(guò)SecurityAssociation來(lái)實(shí)現(xiàn)。協(xié)商后根據(jù)Policy的配置，兩臺(tái)計(jì)算機(jī)之間建立一個(gè)加密的連接，數(shù)據(jù)進(jìn)行加密傳輸。驅(qū)動(dòng)程序?qū)⒔饷艿臄?shù)據(jù)包傳輸給TCP/IP的驅(qū)動(dòng)程序，然后傳輸給接收端的應(yīng)用程序。

2、IPSec的工作方式：

⑴傳送模式：保護(hù)兩個(gè)億恩科技主機(jī)之間的通訊，是默認(rèn)的IPSec模式。傳送模式只支持Win2k操作系統(tǒng)，提供P2P（點(diǎn)對(duì)點(diǎn)）的安全（服務(wù)器租用找：51033397）性。

⑵隧道模式：封裝、發(fā)送和拆封過(guò)程稱(chēng)之為“隧道”。一般實(shí)現(xiàn)方法是在兩個(gè)路由器上完成的。在路由器兩端配置使用IPSec，保護(hù)兩個(gè)路由器之間的通訊。主要用于廣域網(wǎng)上，不提供各個(gè)網(wǎng)絡(luò)內(nèi)部的安全（服務(wù)器租用找：51033397）性。

3、IPSec的身份驗(yàn)證方法:

⑴KerberosV5：這個(gè)是默認(rèn)的身份驗(yàn)證方法，如果是在一個(gè)域中的成員，又是KerberosV5協(xié)議的客戶(hù)機(jī)，選擇這一項(xiàng)。比如一個(gè)域中的Win2k的計(jì)算機(jī)。

⑵證書(shū)：需要共同配置信任的CA。

⑶預(yù)共享密鑰：雙方在設(shè)置策略的時(shí)候使用一段共同協(xié)商好的密鑰。

以上三種方法都可以作為身份驗(yàn)證的方法，一般在日常工作當(dāng)中，如果是域中的Win2k的計(jì)算機(jī)之間就采用Kerberos的認(rèn)證方式。其他情況下一般可以采用第三種方式，雙方協(xié)商一段密鑰。

4、IPSec的加密模式：

⑴身份驗(yàn)證加密技術(shù)：包括SNA和MD5

⑵數(shù)據(jù)包加密技術(shù)：包括40-bitDES、56-bitDES

⑶3DES：最安全（服務(wù)器租用找：51033397）的加密方法，相應(yīng)的也會(huì)消耗更多的系統(tǒng)資源。

其他的關(guān)于IPSec的一些知識(shí)大家可以借助搜索引擎來(lái)實(shí)現(xiàn)，這里就不再展開(kāi)了。

二：微軟的禮物

在命令行下配置IPSec，我們需要借助第三方的軟件IPSecPol來(lái)實(shí)現(xiàn)（可以在光盤(pán)里找到），它是我們可愛(ài)的微軟的免費(fèi)提供的支持工具。

為什么我們要用IPSecPol這個(gè)工具呢？如果我們需要有大量的IP安全（服務(wù)器租用找：51033397）策略需要配置的話，一般的圖形界面模式即費(fèi)時(shí)又費(fèi)力，而使用IPSecPol之后，我們可以利用腳本來(lái)實(shí)現(xiàn)，并且結(jié)合批處理，只要用戶(hù)輸入幾個(gè)參數(shù)就可以在短短的時(shí)間內(nèi)完成龐大的工作。更重要的是，它可以實(shí)時(shí)配置策略，喜歡命令行下工作的你是否也開(kāi)始對(duì)它感興趣了？

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]