使用 IPsec 与组策略隔离服务器和域

下列术语是逻辑隔离概念所独有的。 继续阅读本章之前请确保完全理解这些术语：

• 隔离。 将一台或多台计算机从其他计算机中进行逻辑分离。

• 域隔离。 此术语定义将受信任计算机从不受信任计算机中分离的隔离类型。 计算机只需提供有效的凭据和使用 IKE 成功进行身份验证即可进行隔离。 此域是可通过试图确保其通信安全的两台主机间的双向信任可访问的信任路径中的任何域。

• 服务器隔离。 此术语定义服务器如何限制对受信任计算机的特定组使用 IPsec 和“从网络访问此计算机”权限进行入站访问。

• 逻辑隔离。 隔离技术的较广泛的术语，隔离技术包括域隔离、服务器隔离和网络访问保护 (NAP)，这样，可在网络层上隔离计算机。

• 隔离组。 受信任主机的逻辑分组，受信任主机共享相同的通信安全策略、主要是共享相同的入站和出站网络通信流要求。 可通过 IPsec 策略本身使用允许和阻止操作实施隔离组的入站和出站访问控制，或通过将 IPsec 协商安全和组策略网络登录权限一起使用来实施（还可能使用其他网络配置或连接设置）。 单独的应用程序、网络服务和协议应指定一个配置以满足它们层上的通信流的要求。 例如，Exchange 服务器的组要求客户端或服务器计算机是受信任域成员以便建立入站 TCP/IP 连接。 这个组不允许建立与非域成员连接的出站 TCP/IP 连接（某些例外情况除外），此组被称为 Exchange 服务器隔离组。

• 隔离域。 组中的成员身份与 Windows 域中的成员身份相同的隔离组。 如果域有双向受信任域，则那些域的成员是隔离域的一部分。 作为隔离组，入站和出站要求很简单：入站连接只可来自其他受信任的主机域成员。 在服务器隔离组中的服务器可能包括一些客户端是被隔离域的一部分。

• 网络访问组。 此术语指用于控制对计算机的网络访问的 Windows 域安全组，方法是使用网络登录权限的组策略安全设置。 这是专门为实施隔离组的入站访问要求而创建的。 每个隔离组可能都有“允许”网络访问组 (ANAG) 和“拒绝”网络访问组 (DNAG)。

• 信任。 此术语用于确定计算机愿意接受通过身份验证过程验证的身份的事实。域信任暗示域的所有成员都信任域控制器建立身份并为该身份提供正确的组成员信息。 信任对于通过使用 IPsec 与远程计算机进行通信是必要的。信任还意味着与其通信的用户或计算机被视为可接受并且风险可能也很低。

• 可信主机。 此术语用于标识可被配置为满足组织的最低安全要求但当前可能是受信任主机也可能不是受信任主机的计算机。 规划任何受信任隔离组的成员身份时了解哪些计算机可信是很重要的。

• 受信任的主机。 此术语指的是运行至少是 Windows 2000 安全域的成员和能够实施 IPsec 策略的 Windows 2000、Windows XP 或 Windows Server 2003 的计算机平台。 受信任的主机通常定义为符合某些其他管理和安全要求。 控制主机配置以便主机的安全风险被认为较低并可管理。 受信任的主机不太可能是感染或恶意行为的来源。 有关此主题的详细论述，请参阅本指南的第 3 章“确定 IT 基础结构的当前状态”。

• 不受信任的主机。 不是受信任主机的主机。 这种计算机的配置未知或无人管理。 如果主机与网络连接，则无法保证此主机（或主机的用户）不是感染或恶意行为的来源。

• 边界主机。 受信任的主机暴露于来自受信任和不受信任主机的网络通信流，因此一定比其他受信任主机更能密切监视和极大地防御攻击。 边界主机越少越好，因为它们会对其余的受信任主机带来较高的风险。

• 免除。 不使用 IPsec（不论是否加入域）的计算机。 免除分为两种类型。 一种是使用静态 IP 地址的计算机，其地址包括在 IPsec 策略“免除列表”中以便受信任主机不将 IPsec 与这些计算机配合使用。 另一种是不使用 IPsec 策略协商安全连接的计算机。 后一种计算机可能出现在免除列表中，也可能不出现在免除列表中。 免除计算机可能符合受信任主机的要求，但不将 IPsec 保护的通信与隔离域中的其他受信任主机配合使用。

安全术语
请确保您充分理解下列与安全相关的术语：

• 授权。 授权个人、计算机、进程或设备访问某些信息、服务或功能的过程。 授权取决于请求访问的个人、计算机、进程或设备的身份，它通过身份验证来验证身份。

• 身份验证。 验证个人、计算机进程或设备的凭据的过程。身份验证要求做出请求的个人、进程或设备提供一个凭据代表来证明自己的身份。凭据的常见形式包括数字证书的私钥、在两个设备上以管理方式配置的机密（预共享密钥）、用户或计算机域登录的机密密钥或生物对象（如某人的指纹或视网膜扫描）。

• 哄骗。 在本指南中，哄骗指攻击者假冒合法的 IP 地址企图中断通信或截取数据的行为。

• 不可否认性。 用于确保在计算机上执行某一操作的个人无法不实地否认自己操作的技术。 不可否认性提供确凿无疑的证据证明用户或设备采取了特定的操作，例如转帐、授权采购或发送消息。

• 暗文。 已加密的数据。 暗文是加密过程的输出，可通过使用适当的解密密钥转换回可读格式的明文。

• 明文。 未加密格式的通信和数据。

• 哈希。 通过将一种单向数学函数（也称为哈希算法）应用到任意数量的输入数据中获得的一个定长结果。 如果输入数据改变，则哈希也改变。 选择哈希函数以便使两个输入产生相同的哈希输出值的可能性降到最低。 哈希可用于许多操作中，包括身份验证和数字签名。 也称为消息摘要。
网络术语
下列术语指本解决方案的网络元素：

• 发起方。 启动与另一台计算机的网络通信的计算机。
 
• 响应端。 回复网络的通信请求的计算机。
 
• 通信路径。 为在发起方和响应方之间传递的网络通信建立的连接路径。

组策略术语
下列术语与 Windows 组策略有关：

• GPO。 创建的组策略设置包含在组策略对象 (GPO) 中。 通过将 GPO 与所选择的 Active Directory 系统容器（站点、域和组织单位 (OU)）关联，可将 GPO 的策略设置应用于那些 Active Directory 容器中的用户和计算机。使用组策略对象编辑器创建单个 GPO ，使用组策略管理控制台以管理整个企业中的 GPO。
 
• 域策略。 集中存储在 Active Directory 中的策略。
 
• 本地策略。 存储在个别计算机中的策略。