使用 IPsec 与组策略隔离服务器和域

请确保您充分理解下列 IPsec 术语：

• IPSec 策略。 在 IP 层上处理网络通信流的一组安全规则。 安全规则包含与允许、阻止或协商操作关联的数据包筛选器。 当需要协商时，可使用 IPsec 策略中的身份验证和安全措施与对等计算机协商。

• 永久 IPsec 策略。 在 Windows XP 和 Windows Server 2003 中引入的一种 IPsec 策略，可允许永久应用 IPsec 策略设置。 永久策略首次应用于启动 IPsec 服务，因此它会覆盖本地或域 IPsec 策略中的设置。

• IKE 协商。 启动网络连接以确定使用 IPsec 的计算机是否会允许连接的过程。

• 安全关联 (SA)。 两台主机对如何使用定义此协商的 IPsec 和各种参数进行通信而达成的协议。

• 主模式 SA。 在发起方和响应方计算机之间进行 IKE 协商时首先建立这些 SA。
 
• 快速模式 SA。 在为主机间的通信的每个会话建立主模式 SA 之后协商这些 SA。
 
• 回退到使用明文。 如果响应方未回复 IKE，则此选项允许 IKE 发起方传输普通的 TCP/IP 通信流（非 IKE 或 IPsec）。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“允许和不支持 IPSec 的计算机进行不安全的通讯”的选项。

• 入站通过。 此选项允许支持 IPsec 的计算机接收来自远程计算机的普通 TCP/IP（非 IKE 或 IPsec）入站数据包。 上层协议通常以出站数据包回应，然后启动 IKE 返回到远程计算机上。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“接受不安全的通讯，但总是用 IPSec 响应”的选项。

注。 如果已启用“入站通过”，但未启用响应方的“回退到使用明文”，则响应方无法与不支持 IPsec 的发起方成功通信。

了解其他术语也很重要，特别是与 IPsec 元素有关的术语。 本指南的附录 A“IPsec 策略概念概述”提供这些 IPsec 术语的概述并解释在本解决方案中创建的隔离组中的计算机将使用的 IPsec 全过程。

如何实现服务器和域隔离？
隔离计算机风险的概念并不陌生。 使用防火墙提供分段、对路由器应用访问控制和筛选及对网络通信流进行物理分段等技术都提供了一个级别的隔离。

本指南中介绍的解决方案可以与网络基础结构中的现有设备和技术配合使用。 关键在于隔离是通过对 Windows 2000 和更新平台中的现有主机软件进行更改来实施的。 网络分段、VLAN、外围网络访问控制、网络隔离和基于网络的入侵检测等技术和过程都通过实施或更改网络设备的配置来实现。 服务器和域隔离对所有这些现有的技术进行了补充，并为受管理的 Windows 域成员提供新的保护级别。 Windows IT 管理员可使用现有的 Windows 2000 或 Windows Server 2003 域基础结构来实施服务器和域隔离，而几乎不更改现有网络路径和连接方法以及应用程序。

服务器和域隔离组件
服务器和域隔离解决方案由共同实现本解决方案的几个重要组件组成。 以下几小节对这些组件进行了描述。

受信任主机
受信任主机是 IT 组织可以对其管理以满足最低安全要求的计算机。 通常，只要计算机正在运行安全和受管理的操作系统、防病毒软件以及当前应用程序和操作系统更新时，就可实现这种受信任状态。 确定计算机受信任之后，本解决方案的下一个组件就是通过身份验证确认计算机的状态。 有关确定状态的详细信息，请参阅第 3 章“确定 IT 基础结构的当前状态”。

注：IPsec 本身无法确定计算机是否符合特定的主机标准。 需要监视技术来确定计算机的基准配置并报告该配置的任何更改。

主机身份验证
主机身份验证机制确定试图启动会话的计算机是否具有有效的身份验证凭据，例如来自 Kerberos 票证的凭据、证书或可能是预共享密钥。 当前有两种技术可提供这种基于 Windows 的计算机上的身份验证机制。 以下各节对这两种技术进行了解释。

802.1X 协议
802.1X 是一种验证用户和设备以便授权它们通过链接层网络端口连接的标准协议，如 802.11 无线链接或 802.3 以太网端口。 这允许控制用户体验（如计费等目的）、控制授权和其他功能。 此协议需要一台或多台专用服务器（例如，远程身份验证拨入用户服务 [RADIUS]）及支持此协议的网络基础结构。 802.1X 旨在提供客户端与无线访问点之间的无线通信流的 802.11 有线对等保密 (WEP) 加密的网络访问和加密密钥的控制。 设备被授予网络访问权限之后，通常就可与其余的内部网络进行开放式连接。 数据在无线访问点上被解密之后，以普通 TCP/IP 明文格式被发送至目标端，并可能由各种应用层机制确保安全。

Woodgrove 安全要求从内部网络上的不受信任计算机中保护所有受信任主机。 虽然 802.1X 可强制实施只是受信任的计算机才被允许通过无线和某些有线链接访问，但用于大多数内部 802.1X 以太网端口的交换机不支持 802.1X 身份验证。 要更新每一个物理 LAN 访问墙上端口和全球所有的建筑物需要巨大的硬件购买和安装成本。 因此，Woodgrove 已决定使用 802.1X 用于无线安全，但不用于硬线以太网端口。

另一个 Woodgrove 安全要求是对受信任客户端和加密服务器之间的通信流进行端到端加密。 802.1X 还无法为有线连接提供加密，只能对无线连接加密。 即使加密了无线连接，将无线访问点解密后的数据包发送至内部 LAN 后也不能保护数据。 因此，802.1X 无法满足端到端加密要求。

虽然 802.1X 不符合所有 Woodgrove 的安全要求，但它仍可用于无线安全。 Microsoft 建议使用 802.1X 确保无线网络的安全并尽可能地为有线网络提供访问控制。 有关如何使用 802.1X 的详细信息，请参阅 Microsoft 网站上的“windowsserver2003/technologies/networking/wifi/default.mspx" target=_blank>Wi-Fi”页面，网址为 http://www.microsoft.com/wifi。

IPSec
IPsec 是 Internet 协议的 IETF 标准安全协议。 它提供一般的、基于策略的 IP 层安全机制，此安全机制特别适合提供逐个主机身份验证。 IPsec 策略被定义为具有控制主机上的入站和出站 IP 通信流的安全规则和设置。 通过使用组策略对象将策略分配给域成员可在 Active Directory 中集中管理策略。 IPsec 提供在主机间建立安全通信的能力。 IPsec 使用 Internet 密钥交换 (IKE) 协商协议来协商两个主机间的选项如何使用 IPsec 进行安全通信。 两台主机对如何使用定义此协商的 IPsec 和各种参数进行通信而达成的协议称为“安全关联”或 SA。 IKE 协商建立一个主模式 SA（也称为 ISAKMP SA）和一对快速模式 SA（称为 IPsec SA，一个用于入站通信流，另一个用于出站通信流）。 要建立主模式 SA，IKE 要求进行相互身份验证。 Windows IKE 可使用以下三种方法之一：

• Kerberos V5 身份验证协议
 
• 使用相应的公共和私有 Rivest、Shamir 和 Adleman (RSA) 密钥对的 X.509 数字证书
 
• 预共享密钥（密语，不完全是密码）
不部署 IPsec 最常见的原因是误认为它需要通常很难部署的公钥基础结构 (PKI) 证书。 为了不需要 PKI，Microsoft 将 Windows 2000 域身份验证 (Kerberos) 集成在 IKE 协商协议中。