劉景云

當(dāng)在網(wǎng)絡(luò)傳輸數(shù)據(jù)（尤其是機(jī)密信息）時，我們最擔(dān)心黑客使用Sniffer Pro等嗅探工具對其進(jìn)行攔截，一旦讓其得逞，您的敏感信息就沒有秘密可言。為了保護(hù)數(shù)據(jù)傳輸?shù)陌踩?，不僅要對傳輸?shù)臄?shù)據(jù)進(jìn)行高強(qiáng)度的加密，而且還需要對數(shù)據(jù)進(jìn)行完整性檢查，防止黑客中途對其進(jìn)行非法竄改。其實，我們無需使用復(fù)雜的加密工具，僅僅依靠系統(tǒng)提供的安全連接規(guī)則，就可以對網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行完美保護(hù)。

在本文中，以在兩臺Windows 7主機(jī)之間安全傳輸數(shù)據(jù)為例進(jìn)行說明。這兩臺主機(jī)可以在局域網(wǎng)中也可以位于Internet上，兩機(jī)都擁有獨立的IP。在其中一臺（假設(shè)為PC1）上打開控制面板，在系統(tǒng)和安全窗口中點擊“Windows防火墻”項，在左側(cè)點擊“打開或關(guān)閉Windows防火墻”項，啟用Windows防火墻。在上述窗口左側(cè)點擊“高級設(shè)置”項，在高級安全Windows防火墻窗口左側(cè)選擇“連接安全規(guī)則”項，在右側(cè)點擊“新建規(guī)則”連接，在彈出窗口（如圖1）中選擇“隔離”項，點擊下一步按鈕，如果選擇“入站和出站請求身份驗證”項，表示數(shù)據(jù)的進(jìn)出都會請求對方采用IPSec，如果對方?jīng)]有提供IPSec功能導(dǎo)致協(xié)商失敗的話，就采用普通的連接方式。

如果選擇“入站連接要求身份驗證，出站連接請求身份驗證”項，表示接收數(shù)據(jù)必須采用IPSec，否則拒絕連接。出站連接會請求對方采用IPSec，如果與對方協(xié)商失敗，就采用一般的連接方式。選擇“入站和出站要求身份驗證”項，表示無論出站和入站連接，都必須采用IPSec，否則的話拒絕連接（如圖2）。這里選擇“入站和出站要求身份驗證”項，來提高傳輸?shù)陌踩?。在下一步窗口（如圖3）中選擇“高級”項，點擊“自定義”按鈕，在彈出窗口（如圖4）中的“第一身份驗證”欄中點擊“添加”按鈕，在打開窗口（如圖5）中選擇身份驗證方法，包括計算機(jī)Kerberos V5、計算機(jī)NTLMv2、證書，預(yù)共享密鑰等類型。例如，可以選擇“預(yù)共享密鑰”項，輸入所需的密鑰。

當(dāng)然，在對方主機(jī)上也必須按照同樣的方法，設(shè)置相同的密鑰值。也可以使用數(shù)字證書，來保護(hù)數(shù)據(jù)傳輸?shù)陌踩?。選擇“來自下列證書頒發(fā)機(jī)構(gòu)（CA）的計算機(jī)證書”項，點擊瀏覽按鈕，選擇所需的數(shù)字證書即可。當(dāng)然，在兩臺電腦上都必須安裝同樣的數(shù)字證書。注意，所謂第一身份驗證方法針對的目標(biāo)是計算機(jī)身份，即相互通訊的主機(jī)。為了加強(qiáng)安全性，可以對用戶身份進(jìn)行安全驗證，即驗證發(fā)起數(shù)據(jù)通訊的用戶賬戶。方法是在“第二身份驗證”欄中點擊“添加”按鈕，在彈出窗口中選擇合適的驗證方式（例如“用戶Kerberos V5）”。這樣，在連接對方主機(jī)時，必須使用指定賬戶身份來操作。

在上述向?qū)Ы缑嬷悬c擊下一步按鈕，在配置文件窗口中選擇本機(jī)何時應(yīng)用該規(guī)則。如果選擇“域”項，表示當(dāng)本機(jī)連接到網(wǎng)絡(luò)時，如果能夠與域控制器通信，就應(yīng)用此規(guī)則。如果選擇“專用”項，表示當(dāng)本機(jī)連接到專用網(wǎng)絡(luò)時，如果無法與域控制器通信或者該機(jī)是非域成員，就應(yīng)用此規(guī)則。如果選擇“公用”項，表示本機(jī)連接到公用網(wǎng)絡(luò)時應(yīng)用此規(guī)則。在下一步窗口中輸入本規(guī)則的名稱和描述信息，點擊“完成”按鈕，執(zhí)行該規(guī)則的創(chuàng)建操作。如果在另外一臺主機(jī)（假設(shè)PC2）上沒有配置同樣的IPSec規(guī)則，那么當(dāng)其試圖與本機(jī)通訊時，就會遭到本機(jī)的拒絕。因此，需要在另一臺主機(jī)上執(zhí)行上述操作，創(chuàng)建同樣的連接安全規(guī)則。

這樣，在兩臺主機(jī)之間進(jìn)行數(shù)據(jù)傳輸時，別人是無法進(jìn)行嗅探和竄改的，因為使用了數(shù)據(jù)加密技術(shù)，黑客是無法破譯其內(nèi)容的。例如，在PC1共享某個文件夾，之后從PC2對其進(jìn)行訪問，并遠(yuǎn)程復(fù)制和存儲其中的數(shù)據(jù)，在此期間，數(shù)據(jù)處于加密傳輸狀態(tài)，黑客即使使用Cain等工具對其進(jìn)行探測，也只能得到一些雜亂的代碼。在數(shù)據(jù)傳輸過程中，在PC1或者PC2主機(jī)上的高級安全Windows防火墻窗口左側(cè)選擇“監(jiān)視”-“安全關(guān)聯(lián)”-“主模式”或者“快速模式”項，就可以在監(jiān)控界面中查看加密傳輸參數(shù)了，包括本機(jī)地址、遠(yuǎn)程地址、本地端口、遠(yuǎn)程端口、協(xié)議、AH完整性、ESP完整性、ESP加密等信息。注意，為了順利使用PING命令。在兩機(jī)之間進(jìn)行探測，可以在如果想更改IPSec默認(rèn)值的話，可以在高級安全Windows防火墻窗口左側(cè)的“本地計算機(jī)”節(jié)點右鍵菜單上點擊“屬性”項，在彈出窗口（如圖6）中的“IPSec 免除”欄中的“從IPSec免除 ICMP”列表中選擇“是”項，可以讓PING操作不受IPSec影響直接進(jìn)行探測操作。