使用 IPsec 与组策略隔离服务器和域

Windows IKE 协商可被配置为允许与不回应 IKE 协商请求的计算机通信。 此功能被称为“回退到使用明文”并且在部署 IPsec 期间很有必要。 只在受信任主机发出连接请求时才允许受信任主机与不受信任计算机和设备进行会话的常规操作很有用。 IPsec 使用术语“软安全关联”来描述使用验证标头 (AH) 或封装式安全措施负载 (ESP) 格式 IPsec 都无法保护的通信。 IPsec 记录与包含目标 IP 地址的安全日志成功审核的通信并监视通信流的活动。 当空闲一段时间（默认为 5 分钟）后通信流停止时，建立新的出站连接时要求重新尝试协商安全。

IPsec 不支持出站通信流的状态筛选，不管是 AH 或 ESP 安全关联内的通信流，还是涉及软 SA 的明文通信流。 因此，当您对服务器和域隔离使用此处介绍的 IPsec 策略设计时，受信任主机可接收从不受信任计算机到通过软 SA 的任何打开的端口的入站连接。 这是一个易受攻击的漏洞。 但按照设计，它也支持协商打开的端口接收入站连接的某些协议。 使用基于主机的防火墙产品（如 Windows 防火墙）除了可添加 IPsec 保护，还可添加出站连接的状态筛选。 由 IPsec AH 或 ESP 保护的未加密的网络通信流不认为是明文格式，因为它针对哄骗和修改提供身份验证和保护。

由于 IPsec 以安全形式封装普通 IP 数据包，因此在遍历网络时数据包不再显示为传输控制协议 (TCP) 和用户数据报协议 (UDP) 数据包。 试图在 Woodgrove Bank 内部部署 IPsec 可确定大多数网络管理工具都假定应用程序可被其 TCP 或 UDP 端口号轻松识别（例如，电子邮件通信流的端口 25 和 Web 通信流的端口 80）。 使用 IPsec 时，通信流变得不透明，并且路由器和网络入侵检测系统无法辨别正在使用哪个应用程序或哪个应用程序检查数据包中的数据。 这一因素产生了一个网络管理问题，因为它降低了当前用于通信流监视、安全筛选、加强公平队列和服务质量分类的工具的值。

遗憾的是，有关通信流可见性的假定不完全准确，并且很快就会过时，即使没有 IPsec 的时候也是如此。 端口号和应用程序之间的关系越来越弱。 例如，可在任意端口号上运行 Web 服务器并且在站点的 URL 中记录此端口号。 通过在备用端口号上运行邮件服务器也可省去一些 Internet 服务提供商 (ISP) 的电子邮件筛选工作。 许多对等 (P2P) 应用程序可灵活使用端口；即它们使用随意挑选的端口号来试图避免检测。 基于远程过程调用 (RPC) 服务的应用程序也可灵活使用端口，因为 RPC 服务在各种服务的受限范围内（1024 以上）可随意挑选端口。

频繁使用 Web 服务很可能会加大通信标识问题，因为这些服务的通信流使用端口 80 或端口 443 在 HTTP 或 HTTPS 的顶部运行。 然后客户端和服务器使用 HTTP URL 来标识通信流。 移至 Web 服务体系结构的所有应用程序将显示为传输到路由器的单个无差别的数据流，因为这些 Web 服务的通信流将在一个端口或少量端口上运行，而不是每个应用程序或服务在其自己的离散端口号上运行。 对 HTTPS 连接和 RPC 加密使用 SSL 和 TLS 降低作为防御攻击的基于网络的检查的值。由于网络管理应用程序仍然可以分析数据包的地址并且对于所有其他不是 IPsec 保护的通信流仍具有可见性，因此 Woodgrove 确定某些网络管理功能的丢失不足以影响此项目的规划。 此外，某些网络管理工具供应商愿意修改他们的工具以便检查内部无加密形式的 IPsec 数据包。

大多数基于主机的应用程序不需要修改便可与 IPsec 一起正常使用以确保 IP 地址间的所有通信流的安全。 由于在其他网络服务上存在网络攻击的风险，因此本解决方案不尝试仅对特定应用程序或协议使用 IPsec。 如果应用程序与 IPsec 无法一起正常工作，则管理员可选择允许此通信流不受基于服务器使用的 IP 地址的 IPsec 的保护。建议不允许应用程序使用已知端口，因为这样做会产生一个静态入站漏洞供攻击者建立与任何打开的端口的入站连接，从而达不到隔离目的。使用动态分配的端口的应用程序必须受 IPsec 的保护。 使用多播和广播 IP 地址的应用程序与服务器和域隔离的 IPsec 设计配合使用时可能会出现问题。 Windows IPsec 支持允许所有多播和广播通信流的功能，但对于某些类型不支持。如果出现应用程序的兼容性问题，则应与供应商一起研究确定是否（或何时）可提供修复程序或升级以解决此问题。如果应用程序无法升级或用兼容的应用程序替换，则必须使用此应用程序的计算机可能无法参与隔离域或组。

除其身份验证功能外，IPsec 还可为主机通信提供两个其他有用的服务：确保地址完整性和加密网络通信流。

• 确保地址完整性。 IPsec 可使用 AH 为每个数据包提供数据和地址完整性。 Windows AH 使用 Windows IPsec 驱动程序中的密钥哈希机制。 使用 AH 可避免发生重放攻击，并通过确认每个接收到的数据包在成功接收到之前从发送时间起未经过修改提供强完整性。 AH 在通过执行网络地址转换 (NAT) 的设备时无法正常工作，因为 NAT 替代了 IP 标头中的源地址，从而违背了 AH 提供的安全。

• 加密网络通信流。 IPsec 可确保数据完整性和机密性，方法是使用 IP 协议的封装式安全措施负载 (ESP) 选项进行加密。 虽然 ESP 不提供地址完整性（除非与 AH 配合使用），但使用 UDP 封装可使它成功遍历 NAT 设备。 如果利用使用 NAT 的设备对内部网络分段，则 ESP 是合理的选择，因为 ESP 不会强制加密数据包。 Windows IPsec 支持确定将 ESP 与空加密 (ESP/null) 配合使用的 RFC 2410。 ESP/null 允许数据的真实性、完整性和反重放不需要加密。 Windows Server 2003 网络监视器能够分析公开普通 TCP/IP 上层协议的未加密的 ESP。 如果使用 ESP 加密，则只在计算机使用首先解密传入数据包的 IPsec 硬件加速网卡时才可能监视数据包。

注：使用加密的 ESP 或使用空加密的 ESP 提供与身份验证的强 IPsec 对等关系，就象 AH 一样。它还提供重放保护并可正确遍历 NAT 设备。 基于这些原因，Woodgrove 决定不实施 AH，而只将 ESP/null 和 ESP 与其公司网络上的加密配合使用。

IPsec 的工作模式有两种 — 隧道模式或传输模式：

• IPsec 传输模式。 IPsec 传输模式是确保端到端主机间的通信流的安全而建议使用的方法。 IPsec 驱动程序仅在原始 IP 标头后插入 IPsec 标头。 原始 IP 标头已保留下来，并且其余的数据包经 AH 或 ESP 加密处理也保存下来。 IPsec 筛选器控制什么通信流被 IPsec 阻止、允许或封装。 IPsec 筛选器指定源和目标 IP 地址（或子网）、协议（如 ICMP 或 TCP）及源和目标端口。 这样，筛选器就可非常准确地应用于一台计算机或可应用于所有可能的目标地址和协议。传输模式旨在通过自动更新使用“我的 IP 地址”配置的筛选器来适应动态 IP 地址，比较 IPsec 隧道模式，其开销更低且总体上更易于使用。因此，IKE 协商传输模式是授权入站 IPsec 保护的连接的有效方式。 使用 IPsec 传输模式的问题包括：

• 初始延迟。 IKE 启动和完成整个成功协商需要 1 到 2 秒的初始延迟。 继续通信时，IKE 尝试刷新自动保护通信的密钥。
 
• 为筛选器预定义的优先级顺序。 IPsec 策略筛选器可重叠，因此预定义了一个优先级顺序，最特殊的筛选器排在首位。 这要求通信双方都有一组兼容的 IPsec 传输模式筛选器用于 IKE 协商。 例如，本解决方案对协商 IPsec 安全的“所有通信流”使用较普通的筛选器，同时使用较特殊的筛选器以便允许仅 ICMP 通信流，而不是使用 IPsec 确保此通信流的安全。
 
• 计算费用。 IPsec ESP 传输模式加密很费计算机资源。 加密文件副本时，CPU 利用率可高达百分之八十到百分之百。 Windows 2000、Windows XP 和 Windows Server 2003 都配有网卡接口可加速硬件中的 IPsec 加密操作。
 
• IPsec 隧道模式。 IPsec 隧道模式通常用于 VPN 网关的静态 IP 地址间的网关对网关 VPN 隧道。 因此，隧道模式创建了带有 IPsec 标头的新 IP 标头。 带有原始 IP 标头的原始数据包被完全封装为组成一个隧道数据包。 对于服务器和域隔离方案，隧道模式可用于确保从静态 IP 服务器到支持 IPsec 的路由器的通信流的安全。 这在目标主机不支持 IPsec 时很有必要。 Woodgrove 没有需要隧道模式的方案。

有关 IPsec 中的传输模式和隧道模式的技术详细资料的更多信息，请参阅 Windows Server 2003 部署工具包“Deploying Network Services”部分中的“Deploying IPsec”一章的“Determining Your IPSec Needs”一节，网址为 www.microsoft.com/resources/documentation/
WindowsServ/2003/all/deployguide/
en-us/dnsbj_ips_wclw.asp。

主机授权
主机确定接收到的通信是来自可验证源之后，需确定是否允许访问源计算机和用户。 此步骤很重要，因为设备能够进行验证的事实并不保证也允许它访问给定的主机。