IPSec应用方案设计

如下内容摘自业界惟一一本真正从全局视角介绍网络安全系统设计的图书——《网络工程师必读——网络安全系统设计》一书。目前该书在卓越网上仅须要70折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360

 8.10 IPSec应用方案设计

IPSec是一个能够在许多情形下用来帮助提升网络通讯安全的通用安全技术。但不管如何，你得在复杂的IPSec策略配置基础上平衡考虑安全性需求。另外，因为一些适当标准的缺少，IPSec对一些类型的链接并不支持。本部分讨论建议或不建议使用IPSec的情形，以及选择IPSec所需的一些特定考虑。下列特殊IPSec考虑有助于简化IPSec策略管理。

8.10.1 IPSec安全通讯方案的主要应用

如下是对于Windows Server 2003家族IPSec实现的推荐方案。

推荐将Windows Server 2003家族IPSec的实现用于如下状况：

1. 包筛选

IPSec为终端系统提供受限的防火墙功能。您还可使用带有“Internet链接防火墙”、“Windows防火墙”和“路由和远程访问”的IPSec来容许或阻止入站或出站通讯。

IPSec能够经过主机包筛选为终端系统提供有限的防火墙功能。你能够配置基于源和目的地址（包括通讯协议类型和端口号）的IPSec策略去容许，或者阻止特定非广播包通讯。例如，你能够按图8-58所示，在链接内/外部网络路由器上限制仅指定地址和端口的IP数据包能够经过。你能够经过使用IPSec包筛选功能来精确控制通讯双方容许通讯的类型来增强网络通讯安全保护能力。

图8-58 IPSec包筛选功能的典型应用示例

示例中，咱们能够建立如下IPSec包筛选策略：

n 内部网络域管理员能够分配基于活动目录的IPSec策略去阻止全部来自外部网络的通讯。外部网络管理员能够指派一个基于活动目录的IPSec策略来阻止全部到内部网络的通讯。

n 内部网络中运行SQL服务器（SQL Server）的管理员能够建立专门的一个基于活动目录的IPSec容许到外部网络中的Web应用服务器的结构化查询协议通讯。

n 外部网络中的Web服务器管理员能够建立专门的一个基于活动目录的IPSec策略容许到内部网络的SQL服务器的通讯。

n 外部网络中的Web服务器（Web Application Server）管理员能够建立专门的一个基于活动目录的IPSec策略阻止全部来自互联网上采用TCP协议80端口的HTTP或者HTTPS Web访问。这就是当防火墙万一出现崩溃或者遭受***时另外的安全保障。

n 外部网络域管理员能够阻止全部到管理控制台计算机（Management Computer）的通讯，可是容许到外部网络的通讯。

你也可使用IPSec的IP包筛选功能，或者路由器的基本NAT和防火，以及远程访问服务来容许或阻止流入，或者流出通讯，或者使用带有Windows系统自带的Windows防火墙，提供提供状态包筛选。不管如何，为了确保进行正确的IPSec安全关联的互联网密钥交换（IKE）管理，你必须配置Windows防火墙去容许UDP 500和4500端口的通讯，由于这是IKE消息传递所必需的。

2. 保护特定路径上主机对主机的通讯的安全

您可使用IPSec为服务器或其它静态IP地址或子地址之间的通讯提供共同的身份认证和加密保护。IPSec能够在非广播的源IP地址到非广播的目的IP地址之间创建信任和安全通讯，这也就是一般所说的点对点全通讯。例如，你能够在Web服务器和位于不一样站点的数据库服务器，或者域控制器之间创建安全通讯。如图8-59所示，仅须要发送和接收的计算机双方配置IPSec策略。客户端和服务器端计算机独立处理本身端的安全，而假设经过中间设备进行的通讯是不安全的。

图8-59 客户端与服务器端之间的IPSec安全通讯

3. 两个分离林之间域控制器的安全通讯

图8-60中显示了在两个林了的域控制器是受对方防火墙的通讯控制。除此以外，使用IPSec加强在两个分离林中的域控制器之间的所通讯安全。你也可使用IPSec保护在同一个域中的两个域控制器，以及父域与子域间的通讯。

图8-60 不一样林域控制器之间的安全保护

4. 经过ISA安全NAT进行的端到端安全通讯

Windows Server 2003支持IPSec NAT穿越（NAT-T）。IPSec NAT-T容许经过IPSec安全通讯，也能够经过NAT穿越。例如，你可使用Ipsec传输模式在运行ISA服务器和NAT服务的计算机之间提供安全的主机到主机通讯，而在两主机间无需进行包筛选。IPSec传输模式一般用来保护主机间的通讯，以及位于同一个局域网，或者经过广域网链接的局域网间的通讯安全。图8-61中，一台计算机是运行Windows Server 2003系统和提供NAT功能的ISA服务器。在服务器A上的IPSec策略是仅容许与IP地址为服务器B进行安全通讯，同时在服务器B上的IPSec策略是配置容许与外部地址的ISA服务器进行安全通讯。

图8-61 经过ISA安全NAT使用IPSec NAT-T的安全通讯

5. 安全服务器

你能够为全部客户端计算机到服务器的访问请求IPSec保护。图8-62显示了在传输模式中的在线商务应用服务器的安全保护。

图8-62 安全服务器的IPSec应用

在这种应用情形中，内部网络的全部应用服务器必须与运行Windows 2000或Windows XP Professional系统的客户端，WINS服务器、DNS服务器、DHCP服务器、域控制器、非微软数据备份服务器进行通讯。由于客户端与应用服务器之间的通讯包含机密信息，服务器应当只容许与域中其余成员进行会话，因此客户端计算机用户是本公司员工，想要访问应用服务器以查看他们的薪水信息。网络管理员使用须要ESP加密的IPSec策略，仅容许域活动目录中信任的计算机进行会话。

其余容许的通讯包括：

n 在WINS、DNS、DHCP和应用服务器之间的通讯是容许的，由于WINS、DNS、DHCP服务器必须为最普遍的客户端操做系统提供服务，而有些客户端系统可能不支持IPSec。

n 域控制器与应用服务器之间的通讯是容许的，由于使用IPSec保护这二者的通讯安全是不建议的。

n 非微软数据备份服务器和应用服务器之间是容许的，由于非微软数据备份服务器不支持IPSec。

6. 为远程访问和站点到站点×××链接中使用L2TP /IPSec

你能够在全部×××环境中应用L2TP /IPSec，而并不须要为IPSec策略作任何配置和部署。在L2TP和IPSec二者之间的共同点就是在远程访问客户端和公司网络之间经过互联网的安全通讯，以及在分支机构之间的安全通讯。

【注意】Windows IPSec支持IPSec的传输模式和隧道模式两种。尽管×××一般是指隧道方式，但在L2TP/IPSec ×××链接中使用的是IPSec传输模式，IPSec隧道模式最主要应用在保护站点到站点的网络通讯安全，如经过互联网的站点到站点网络通讯。

n 在远程访问×××链接中使用L2TP/IPSec

在经过互联网的远程访问客户端和公司网络之间的通讯一般建议采用安全通讯方式。例如客户端多是一个常常在外的采购商，或者员工是在家里工做的。在图8-63中，远程网关是为公司内部网络（Intranet）边缘提供安全保护的服务器；远程客户端是一个常常在外，而又须要常常访问内部网络资源的用户；ISP为客户端访问互联网提供途经；ISP提供的L2TP/IPSec服务是用来构建×××隧道，帮助保护数据经过互联网的。

图8-63 客户端远程访问L2TP/IPSec ×××示例

n 在站点到站点×××链接中使用L2TP/IPSec

一个大的公司一般有多个须要相互通讯的站点。例如，在上海和广州两地的分公司。在这种情形下，L2TP/IPSec就能够为站点之间的×××链接，帮助保护站点间的数据通讯安全。在图8-64中，运行Windows Server 2003系统的路由器（通讯双方边缘都有一个这样的路由器）提供了边缘安全服务。路由器上链接的是租用专线、拨号或者其余类型互联网接入线路。L2TP/IPSec ×××隧道仅在路由器之间运行，保护经过互联网的数据通讯。

图8-64 站点到站点L2TP/IPSec ×××示例

n 非微软网关的站点到站点IPSec隧道

若是网关，或者终端系统不支持L2TP/IPSec，或者PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议）的站点到站点×××链接，你能够以隧道模式来使用IPSec。这样，发送到网关的数据的整个IP数据报都将从新进行封装，造成一个由IPSec协议保护的新的IP数据包。图8-65是一个站点到站点IPSec隧道应用示例。

图8-65 在站点间创建网关到网关的IPSec隧道示例

在这个示例中，通讯是在供应商站点（Site A）客户计算机和公司总部站点（Site B）FTP服务器之间进行。供应商使用非微软的IPSec网关，而公司总部是使用运行Windows Server 2003系统的服务器做为网关的。IPSec隧道是在非微软网关和运行Windows Server 2003系统的网关之间，提供安全通讯。

【注意】Windows Server 2003操做系统的原始发行版中不包括Windows防火墙。“Internet链接防火墙”只包括在Windows Server 2003 Standard Edition和Windows Server 2003 Enterprise Edition的原始发行版中。