開辟數(shù)據(jù)傳輸安全通道

■

利用IPSec安全策略

其實(shí)，利用系統(tǒng)IPSec安全策略，就可以對(duì)數(shù)據(jù)傳輸進(jìn)行加密處理，來(lái)防止黑客的嗅探，攔截和破譯。

IPSec（即 Internet Protocol Security，Internet協(xié)議安全）就是我們常說(shuō)的IP安全。

IPSec是由IETF所設(shè)計(jì)和制定的，為了保證TCP/IP協(xié)議數(shù)據(jù)傳輸?shù)陌踩?，IPSec提供了一套完整的IP安全協(xié)議和密鑰管控機(jī)制，提供了一個(gè)完善的安全體系，因此IPSec不是單純的安全服務(wù)而是相關(guān)安全協(xié)議的集合。

這里以終端服務(wù)/遠(yuǎn)程桌面為例，來(lái)說(shuō)明如何保證其數(shù)據(jù)傳輸?shù)陌踩浴?/p>

運(yùn)行“control admintools”命令，在管理工具窗口中雙擊“本地安全策略”項(xiàng)，在彈出窗口左側(cè)選擇“IP安全策略”項(xiàng)，在右側(cè)窗口中可以看到，系統(tǒng)已經(jīng)預(yù)設(shè)了三種安全策略，我們可以直接選擇使用。

注意：一臺(tái)主機(jī)制定了IPSec安全策略是沒(méi)有意義的，與之通訊的其它主機(jī)必須配置與之相同的安全策略，才可以實(shí)現(xiàn)數(shù)據(jù)加密傳輸。

這里手工創(chuàng)建所需的安全策略，來(lái)適應(yīng)我們的實(shí)際需要。在窗口空白處的右鍵菜單中點(diǎn)擊“創(chuàng)建IP安全策略”項(xiàng)，在操作向?qū)Ы缑孑斎肫涿Q和描述信息，在下一步窗口中不選擇“激活默認(rèn)響應(yīng)規(guī)則”項(xiàng)，之后完成該策略的創(chuàng)建操作。

在該策略屬性窗口中的“規(guī)則”面板中不選擇“使用添加向?qū)А表?xiàng)。

與之類似，以下各設(shè)置面板均使用手工配置。

點(diǎn)擊“添加”按鈕，為該IP安全策略添加規(guī)則。規(guī)則是IPSec策略的核心，任何一條規(guī)則都包含篩選器、加密和身份驗(yàn)證三要素。在該規(guī)則屬性窗口中打開“IP篩選器”面板，連續(xù)點(diǎn)擊“添加”按鈕，在篩選器屬性窗口中的“尋址”面板（如圖1所示）中的“源地址”列表中選擇“任何IP地址”項(xiàng)，在“目標(biāo)地址”列表中選擇“我的IP地址”項(xiàng)。在“協(xié)議”面板中的“選擇協(xié)議類型”列表中選擇“TCP”項(xiàng)，在“設(shè)置IP協(xié)議端口”欄中選擇“從任意端口”和“到此端口”項(xiàng)，并將端口設(shè)置為3389，點(diǎn)擊確定按鈕保存配置信息。

返回到規(guī)則屬性窗口，在“篩選器”面板中點(diǎn)擊“添加”按鈕，在彈出窗口中的“安全措施”面板中點(diǎn)擊“添加”按鈕。選擇“加密并保持安全性”項(xiàng)，在“常規(guī)”面板可以為該加密操作設(shè)置名稱和描述信息。在規(guī)則屬性窗口中打開“身份驗(yàn)證方法”面板，可以看到，系統(tǒng)已經(jīng)默認(rèn)使用Kerberos這種身份驗(yàn)證方式。

圖1 設(shè)置與安全策略關(guān)聯(lián)的端口地址

圖2 更改傳輸密鑰

圖3 設(shè)置傳輸模式

但是，該方式只能使用于域環(huán)境，如果連接的雙方有一方?jīng)]有加入到域中，該方式就處于無(wú)效狀態(tài)。

選擇該方式，點(diǎn)擊“編輯”按鈕，在其屬性窗口（如圖2所示）中選擇“使用此字符串（預(yù)共享密鑰）”項(xiàng)，在其下輸入密碼信息。

注意：與共享密鑰不能是全數(shù)字格式，應(yīng)該使用字母加符號(hào)的格式，來(lái)提高安全性。

在“隧道設(shè)置”面板（如圖3所示）中可以看到，系統(tǒng)默認(rèn)選擇“此規(guī)則不指定IPSec隧道”項(xiàng)，這表明IPSec默認(rèn)使用的是傳送模式，該模式主要適用于局域網(wǎng)。

在廣域網(wǎng)中，需要使用隧道模式，來(lái)提高數(shù)據(jù)加密的安全性。

因此，如果是在Internet上互訪的話，雙方需要選擇“隧道終點(diǎn)由此IP地址指定”項(xiàng)，并分別輸入各自在Internet上的IP地址。完成以上操作后，必須在“IP篩選器列表”和“篩選器操作”面板中分別選擇上述預(yù)設(shè)的項(xiàng)目，點(diǎn)擊“應(yīng)用”按鈕保存配置。

在本地安全策略窗口中選擇“IP安全策略”項(xiàng)，在右側(cè)窗口中選擇我們創(chuàng)建的策略項(xiàng)目，在其右鍵菜單中點(diǎn)擊“指派”項(xiàng)，激活該安全策略。之后在別的電腦上運(yùn)行“mstsc.exe”程序，打開遠(yuǎn)程桌面連接窗口，當(dāng)試圖連接本機(jī)提供的終端服務(wù)/遠(yuǎn)程桌面服務(wù)時(shí)，就會(huì)出現(xiàn)無(wú)法連接的提示。這就說(shuō)明，在本機(jī)上配置的針對(duì)終端服務(wù)/遠(yuǎn)程桌面的IPSec策略發(fā)揮了作用。要想實(shí)現(xiàn)順利連接，需要對(duì)客戶機(jī)也添加對(duì)應(yīng)的IPSec規(guī)則。具體的配置方法和上述完全相同，即雙方必須使用完全一致的加密方式、身份驗(yàn)證方式、連接密碼等。所不同的是在客戶端創(chuàng)建篩選器時(shí)，在其屬性窗口的“尋址”面板中的“源地址”需要選擇“我的IP地址”項(xiàng)，在“目標(biāo)地址”列表中選擇“一個(gè)特定的IP”項(xiàng)，并輸入提供終端服務(wù)/遠(yuǎn)程桌面服務(wù)的主機(jī)IP地址。

這樣，當(dāng)客戶機(jī)在連接服破譯的。

圖4 Comodo EasyVPN主窗口

當(dāng)然，對(duì)于內(nèi)網(wǎng)用戶來(lái)說(shuō)，為了讓局域網(wǎng)中的所有主機(jī)都執(zhí)行相同的IPSec策略，可以在域控制器上打開DC的組策略窗口，打開“計(jì)算機(jī)配置”-“Windows 設(shè)置”-“安全設(shè)置”-“IP安全策略”項(xiàng)，在其中創(chuàng)建或者選擇合適的安全策略，之后指派該安全策略即可。務(wù)器的終端服務(wù)/遠(yuǎn)程桌面服務(wù)時(shí)，就可以順利連接，并對(duì)服務(wù)器進(jìn)行遠(yuǎn)程控制了。

圖5 添加組賬戶

因?yàn)殡p方都啟用了IPSec安全策略，因此傳輸?shù)臄?shù)據(jù)是加密的，別人是無(wú)法攔截和分析

打造VPN虛擬網(wǎng)

現(xiàn)在很多網(wǎng)絡(luò)協(xié)議（例如HTTP，F(xiàn)TP等）都使用未經(jīng)加密的數(shù)據(jù)格式，其安全性無(wú)法得到保障。而使用VPN（即 Virtual Private Network，虛擬專用網(wǎng)絡(luò)）可以通過(guò)特殊的加密的通訊協(xié)議，來(lái)有效保護(hù)數(shù)據(jù)傳輸?shù)陌踩浴Ｊ褂肅omodo EasyVPN這款網(wǎng)絡(luò)軟件，就可以讓您毫不費(fèi)力的快速架設(shè)自己的VPN安全網(wǎng)絡(luò)。

對(duì)于初次使用COMODO EasyVPN來(lái)說(shuō)，需要在其登錄界面底部點(diǎn)擊“Register a new account”按 鈕。 在 注 冊(cè)窗口中輸入郵箱地址、名稱、密碼等信息，之后點(diǎn)擊“Register”按鈕完成注冊(cè)操作，之后打開您的注冊(cè)郵箱，在其中會(huì)收到Comodo EasyVPN發(fā)給您的確認(rèn)郵件，點(diǎn)擊其中的激活鏈接來(lái)激活您的注冊(cè)信息。之后在Comodo EasyVPN登錄窗口中的“User name”欄中輸入您的注冊(cè)郵箱，在“Password”欄中輸入密碼，點(diǎn)擊“Sign me in”按鈕，即可進(jìn)入VPN虛擬網(wǎng)。在Comodo EasyVPN主窗口（如圖4所示）頂部顯示您的名稱和IP地址。

注意這里的IP不是您的真實(shí)IP，而是Comodo EasyVPN分配給您的虛擬IP（例如5.1.224.140）。

Comodo EasyVPN類似于聊天軟件，可以將好友添加到聯(lián)系人列表和安全網(wǎng)中，當(dāng)然您的好友也必須安裝Comodo EasyVPN并進(jìn)入其提供的VPN虛擬網(wǎng)。

如何添加好友呢？在“Contacts”面板中預(yù)設(shè)了名稱為“General”的用戶組，在其空白處點(diǎn)擊右鍵，在彈出菜單中點(diǎn)擊“Create a new group”項(xiàng)，輸 入組名后可以創(chuàng)建新的用戶組（如圖6所示）。這樣您可以根據(jù)需要，創(chuàng)建不同類別的用戶組。點(diǎn)擊菜單“Contacts” →“Add a new contact”項(xiàng)，在 彈出窗口（如圖5所示）中的“Contact’s ID”欄中輸入對(duì)方的注冊(cè)郵箱名稱，在“Group ID”列表中選擇對(duì)應(yīng)的組名，點(diǎn)擊OK按鈕完成新用戶的添加操作。

圖6 Comodo EasyVPN設(shè)置界面

Comodo EasyVPN將添加好友信息發(fā)送給對(duì)方，經(jīng)對(duì)方確認(rèn)后，可以互相加為好友。

按照上述方法，您可以添加任意多個(gè)好友。在對(duì)應(yīng)組中選中好友名稱，如果其圖標(biāo)顯示為藍(lán)色，表示其在線。如果其圖標(biāo)顯示為灰色，表示其離線。如果其圖標(biāo)帶有藍(lán)色的表盤標(biāo)記，表示其暫時(shí)離開。如果其圖標(biāo)帶有紅色標(biāo)記，表示其處于忙碌狀態(tài)。

選中對(duì)應(yīng)的好友，在其右鍵菜單中點(diǎn)擊“Chat”項(xiàng)，可以執(zhí)行聊天功能，在聊天窗口中輸入文本信息，之后點(diǎn)擊“Send”按鈕，完成信息的發(fā)送操作。點(diǎn)擊其工具欄上的“Sound off”按鈕，可以執(zhí)行語(yǔ)音聊天功能。點(diǎn)擊工具欄上的“Invite”按鈕，可以向其它好友發(fā)送聊天請(qǐng)求，實(shí)現(xiàn)多人聊天功能。在上述菜單中點(diǎn)擊“Delete”項(xiàng)，可以刪除好友。點(diǎn)擊“Move to”項(xiàng)，可以將好友轉(zhuǎn)移到指定組中。點(diǎn)擊“Rename”項(xiàng)，可以更改其名稱。點(diǎn)擊“Desktop Control”項(xiàng)，可以遠(yuǎn)程控制對(duì)方的屏幕，當(dāng)然其前提是必須經(jīng)過(guò)必要的認(rèn)證才行。

和普通的聊天軟件不同，Comodo EasyVPN可以對(duì)虛擬網(wǎng)中的聊天，遠(yuǎn)程控制操作進(jìn)行128位高強(qiáng)度加密，通過(guò)專用SSL安全連接來(lái)發(fā)送相關(guān)數(shù)據(jù)，從而有力的保護(hù)數(shù)據(jù)的安全性。

除了進(jìn)行簡(jiǎn)單的聊天操作 外，Comodo EasyVPN還可以創(chuàng)建安全網(wǎng)，類似于QQ中的用戶群，不過(guò)其安全性更高。點(diǎn)擊菜單“Networks” →“Create a new network”項(xiàng)，在彈出窗口中的“Network name”欄中輸入安全網(wǎng)的名稱，在“Password”欄 中 輸 入密碼，勾選“Enable VPN”項(xiàng)，表示激活VPN加密保護(hù)功能，點(diǎn)擊OK按鈕，即可創(chuàng)建對(duì)應(yīng)的安全網(wǎng)。按照上述方法，您可以創(chuàng)建多個(gè)安全網(wǎng)。如何加入安全網(wǎng)呢？您的好友可以點(diǎn)擊菜單“Networks” →“Join a network”項(xiàng)，在彈出窗口中輸入目標(biāo)安全網(wǎng)的名稱和密碼，勾選“Enable VPN”項(xiàng)，表示使用VPN加密功能，點(diǎn)擊OK按鈕，即可向目標(biāo)安全網(wǎng)發(fā)送加入請(qǐng)求，經(jīng)過(guò)您的確認(rèn)后即可完成加入操作。在“Networks”面板中選擇對(duì)應(yīng)的安全網(wǎng)名稱，在其右鍵菜單中點(diǎn)擊“Conference Chat”項(xiàng)，在聊天窗口中可以和該網(wǎng)中的所有好友聊天，點(diǎn)擊“Delete network”項(xiàng)，可以刪除該安全網(wǎng)。點(diǎn)擊“Leave network”項(xiàng)，可以離開該安全網(wǎng)。點(diǎn)擊“Disable VPN”項(xiàng)，可以禁用VPN加密功能。

點(diǎn) 擊 菜 單“Tools”→“Options”項(xiàng)，在設(shè)置窗口（如圖6所示）左側(cè)點(diǎn)擊“My Details”項(xiàng)，在右側(cè)窗口可以顯示您的基本信息，包括郵箱地址、名稱、別名等，您可以對(duì)其進(jìn)行更改操作。在“Log-on Password”欄中點(diǎn)擊“Change”按鈕，可以更改登錄密碼。在窗口左側(cè)點(diǎn)擊“Sound”項(xiàng)，在右側(cè)窗口中可以為相關(guān)事件配置提示音，包括收到信息、好友上線、好友離線等。在窗口右側(cè)點(diǎn)擊“Desktop Control”項(xiàng)，在右側(cè)窗口可以配置遠(yuǎn)程控制操作屬性。

如果勾選“Allow users to remotely connect to this computer”項(xiàng)，表示允許其它用戶遠(yuǎn)程控制本機(jī)。

在“Access Control”欄 中 點(diǎn) 擊“Configure”按鈕，在安全認(rèn)證窗口中點(diǎn)擊“Add”按鈕，可以添加允許遠(yuǎn)程本機(jī)的好友名稱或者組名，在列表中顯示所有允許遠(yuǎn)程控制本機(jī)的好友名稱，默認(rèn)為“All Others”（所有用戶），點(diǎn)擊“Remove”按鈕，可以刪除對(duì)應(yīng)的好友名稱，將其排除在可以控制本機(jī)屏幕用戶范圍之外。

選中對(duì)應(yīng)的好友名稱或 者 組 名，勾 選“Allow remote access when I click Accept”項(xiàng)，表 示 當(dāng)對(duì)方發(fā)送遠(yuǎn)程控制本機(jī)的請(qǐng)求時(shí)，您只需點(diǎn)擊確認(rèn)按鈕，即可允許對(duì)應(yīng)控制本機(jī)。 在“Allow automatic remote access”項(xiàng)中，在其下拉表中選擇“Password Only”項(xiàng)，表示為遠(yuǎn)程控制設(shè)置密碼，點(diǎn)擊“Password”按鈕完成密碼設(shè)置操作，這樣當(dāng)目標(biāo)用戶試圖遠(yuǎn)程控制本機(jī)時(shí)，必須輸入密碼，經(jīng)Comodo EasyVPN認(rèn)證后，才可以其控制本機(jī)。選擇“Certification Only”項(xiàng)，點(diǎn)擊“Choose”按鈕選擇安全證書，當(dāng)目標(biāo)用戶試圖遠(yuǎn)程控制本機(jī)時(shí)，必須經(jīng) 過(guò)Comodo EasyVPN對(duì)安全證書認(rèn)證后，才允許其控制本機(jī)。在列表中 選 擇“Password and Certification”項(xiàng)，表 示 同時(shí)啟用密碼和安全證書認(rèn)證操作。如何配置安全證書呢？在上述配置窗口中點(diǎn)擊“Get and e-mail access certificate now!”鏈接，按照提示即可完成證書配置操作。

在“Performance”欄中拖動(dòng)滑塊，可以在遠(yuǎn)程屏幕控制的連接速度和圖像畫質(zhì)之間合理均衡。在“Hot Key”欄中點(diǎn)擊“Capture”按鈕，可以設(shè)置熱鍵。在遠(yuǎn)程控制過(guò)程中，點(diǎn)擊該熱鍵可以立即中止遠(yuǎn)程控制操作（默 認(rèn) 為“Ctrl＋ Alt＋F10”）。