IPSec 策略
IPsec 策略配置基于 Windows 的计算机如何在 IPsec 环境中工作,
为隔离组打造 IPsec 策略(二)
。 IPsec 策略是通信流要匹配的规则的集合。 Windows 2000 有三种不同的 IPsec 策略:?
本地策略
?
Active Directory 域策略
?
动态策略
Windows XP 和 Windows Server 2003 支持下列其他策略类型:
?
启动 IPsec 策略。 本地注册表对它进行存储和管理。 仅 Windows XP SP2 或更高版本支持。 计算机获得 IP 地址之后立即应用,可以在 IPsec 服务启动之前应用。 当服务应用永久策略时被替代。
?
永久 IPsec 策略。 本地计算机上的注册表对它进行存储和管理。 通过命令行工具进行配置。 当 IPsec 服务启动时首先应用。 替代启动策略。
?
本地 IPsec 策略。 本地计算机对它进行存储和管理。 通过 IPsec 策略管理 MMC(Microsoft 管理控制台)管理单元或命令行工具进行配置。 如果没有指派域策略,则除了永久策略之外还可应用该策略。
?
Active Directory 域 IPsec 策略。 存储在 Active Directory 中。 通过 IPsec 策略管理 MMC 管理单元或命令行工具进行管理。 覆盖任何可能已指派的本地策略。 可以使用组策略编辑器 MMC 管理单元或组策略管理控制台,在“Windows 设置”的“安全设置”的“IPsec 策略”下,对 GPO 指派 Active Directory IPsec 策略。
?
动态 IPsec 策略。 仅存储在内存中。 通过命令行工具进行配置。 用于动态地添加到现有策略。 当 IPsec 服务停止时,动态策略将被舍弃。
为简单起见,本指南集中讨论如何使用 Active Directory 域 IPsec 策略。
当定义 IPsec 策略时,最好尝试设计一个通用策略,该策略将为所有计算机的 IPsec 基础结构建立一个基础。 然后可以创建附加的策略以对需要附加安全配置的系统实施更严格的设置。 应将每个附加的策略设计成影响最大数目的需要满足特定业务或技术要求的计算机。 使策略的总数最少将更容易管理策略和解决与策略有关的问题。
IPsec 策略包括名称、描述、规则集以及轮询间隔设置、密钥交换设置和密钥交换方法的配置,以下各节详细描述上述各项。
名称
应给策略(如筛选器操作)取有意义的名称,以便在项目的实施和操作阶段有助于解决方案的管理和疑难解答。
描述
策略的详细说明将帮助管理员确定策略实施的内容,而不必实际打开策略和研究它的规则。
规则
IPsec 规则包括一个筛选器列表、关联的筛选器操作、用于在计算机之间建立信任的身份验证方法、连接类型以及该规则是否是隧道配置。
每条规则定义一个或多个身份验证方法用于在主机之间建立信任。 选项包括 Kerberos V5 协议、来自特定证书颁发机构的证书和预共享密钥。
连接类型定义要应用 IPsec 策略的连接。 可以配置对所有连接、本地连接或基于远程访问的连接应用策略。
隧道类型定义该 IPsec 策略是否定义 IPsec 隧道。 如果禁用了隧道类型,则 IPsec 使用传输模式。
为了支持本指南先前确定的安全隔离组,Woodgrove Bank 实施了四种 IPsec 策略。 它配置了全部四种策略,以便它们使用 Kerberos V5 身份验证协议、应用于所有连接且未定义 IPsec 隧道。
下表显示 Woodgrove Bank 方案中使用的策略:
表 5.6:Woodgrove Bank IPsec 策略
策略名称描述
IPSEC ?C 隔离域 IPsec 策略 (1.0.041001.1600)
此策略定义隔离域,
电脑资料
《为隔离组打造 IPsec 策略(二)》(https://www.unjs.com)。 当此隔离组中的主机发起与非 IPsec 主机的通信时,能够回退到使用明文。 它配置主机要求 IPsec 通信。 如果支持 IPsec 的客户端之间的协商失败,则通信将失败。IPSEC ?C 边界隔离组 IPsec 策略 (1.0.041001.1600)
此策略定义边界隔离组。 它配置主机请求 IPsec 通信,但允许它们在需要与不支持 IPsec 的主机进行通信时回退到使用明文。
IPSEC ?C 无回退隔离组 IPsec 策略 (1.0.041001.1600)
此策略定义无回退隔离组。 它配置主机要求 IPsec 通信。 如果协商失败或尝试与不使用 IPsec 的客户端通信,则通信将失败。
IPSEC ?C 加密隔离组 IPsec 策略 (1.0.041001.1600)
此策略定义加密隔离组。 它配置主机要求 IPsec 通信和加密。 如果协商失败或尝试与不使用 IPsec 的客户端通信,则通信将失败。
与每个策略名称关联的数字是版本号,稍后的“确定策略版本”一节将进行讨论。
Woodgrove Bank 的每个策略包含相同的免除列表,因为对为某个特定隔离组免除特殊的一组计算机没有要求。 下表显示了在前一表中确定的四个策略中相同的已启用规则:
表 5.7:Woodgrove Bank IPsec 策略中定义的公用规则
筛选器列表筛选器操作身份验证方法隧道终结点连接类型
DNS 免除列表
IPSEC ?C 允许
无
无
全部
域控制器免除列表
IPSEC ?C 允许
无
无
全部
WINS 免除列表
IPSEC ?C 允许
无
无
全部
DHCP,协商通信流
IPSEC ?C 允许
无
无
全部
ICMP,所有通信流
IPSEC ?C 允许
无
无
全部
除了表中列出的规则之外,还禁用了每个策略中的默认客户端响应规则。
Woodgrove Bank 定义的四个策略只是在如何处理未被任何免除筛选器列表处理的剩余通信流方面有所不同。 对于每个这些规则,身份验证方法设置为“Kerberos V5 协议”,隧道终结点设置为“无”,连接类型设置为“全部”。
下表显示 Woodgrove Bank 实施四个隔离组的规则:
表 5.8:Woodgrove Bank 实施隔离组的基本规则
策略名称筛选器列表筛选器操作
IPSEC ?C 隔离域 IPsec 策略 (1.0.041001.1600)
Woodgrove Bank 安全子网
IPsec ?C 安全请求模式(忽略入站,允许出站)
IPSEC ?C 边界隔离组 IPsec 策略 (1.0.041001.1600)
Woodgrove Bank 安全子网
IPsec ?C 请求模式(接受入站,允许出站)
IPSEC ?C 无回退隔离组 IPsec 策略 (1.0.041001.1600)
Woodgrove Bank 安全子网
IPsec ?C 完全要求模式(忽略入站,禁止出站)
IPSEC ?C 加密隔离组 IPsec 策略 (1.0.041001.1600)
Woodgrove Bank 安全子网
IPsec ?C 要求加密模式(忽略入站,禁止出站)