在域環(huán)境中傳輸數(shù)據(jù)

在域環(huán)境中，可以更加靈活高效地管理局域網(wǎng)內(nèi)的資源。為了讓域成員主機之間可以安全地傳輸數(shù)據(jù)，可以針對其創(chuàng)建相應(yīng)的連接安全規(guī)則，使其彼此可以利用IPSec來安全通信。為了保證實現(xiàn)上述目的，需要將域服務(wù)器排除在外，即讓域成員和域控制器之間不使用IPSec進行通訊，因為域成員無法通過IPSec與域控制器進行通訊。域成員在使用IPSec驗證域服務(wù)器之前，必須首先保證相互之間可以正常通信。對于某些不支持IPSec或者連接安全規(guī)則中的協(xié)議網(wǎng)絡(luò)設(shè)備（例如路由器、CA服務(wù)器、DHCP服務(wù)器等）來說，也必須將其排除在外。

在本例中，假設(shè)局域網(wǎng)中存在兩臺服務(wù)器，Server 1的IP 為 192.168.6.1，Server 2的IP為192.168.6.2，域控制器的IP為 192.168.6.200，域名為“xxx.com”。該網(wǎng)絡(luò)通過路由器（IP為192.168.6.254）和外網(wǎng)連接。針對不同的主機，分別為其配置合適的IP、子網(wǎng)掩碼、默認網(wǎng)關(guān)、DNS服務(wù)器等參數(shù)。首先需要確保這些網(wǎng)絡(luò)設(shè)備之間可以正常通信，在域控制器上點擊“開始”-“管理工具”-“組策略管理”項，在組策略管理窗口左側(cè)選擇“林：xxx.com”-“域”-“xxx.com”-“Default Domain Policy”項，在其右鍵菜單上點擊“編輯”項，在組策略管理編輯器窗口左側(cè)選擇“計算機配置”-“策略”-“Windows設(shè)置”-“安全設(shè)置”-“高級安全Windos防火墻”-“高級安全Windows防火墻”-“連接安全規(guī)則”項，在其右鍵菜單中點擊“新建規(guī)則”項，在向?qū)Т翱谥羞x擇“身份驗證例外”項，點擊下一步按鈕，點擊“添加”按鈕，在IP地址窗口中選擇“域IP地址或子網(wǎng)”項，輸入需要排除的域控制器IP（本例為“192.168.6.254”）。繼續(xù)點擊“添加”按鈕，在IP地址窗口中選擇“預(yù)定義計算機集”項，在列表中選擇“默認網(wǎng)關(guān)”項。

注意：系統(tǒng)內(nèi)置了一些計算機集，包括默認網(wǎng)關(guān)、DHCP服務(wù)器、WINS服務(wù)器、DNS服務(wù)器、本地子網(wǎng)等對象，便于您進行選擇。

這樣就將域控制器，網(wǎng)關(guān)排除在外了。在向?qū)Т翱谥悬c擊新下一步按鈕，輸入本規(guī)則的名稱，點擊完成按鈕，執(zhí)行本規(guī)則創(chuàng)建動作。

在組策略管理編輯器窗口中雙擊上述規(guī)則名稱，在其屬性窗口中的“計算機”面板中的“終結(jié)點1”欄中選擇“下列IP地址”項，點擊“添加”按鈕，輸入所需的IP地址，這里為“192.168.6.0/24”，在“終結(jié)點2”欄顯示默認網(wǎng)關(guān)和域控制器IP。這樣，就實現(xiàn)了指定子網(wǎng)中的所有主機在進行IPSec安全通信時，將默認網(wǎng)關(guān)和域控制器排除在外的目的。之后在域控制器、域成員主機上分別執(zhí)行“gpupdata/force”命令，應(yīng)用上述控制規(guī)則。在這些主機上打開高級安全Windows防火墻窗口，在左側(cè)選擇“連接安全規(guī)則”項，查看是否顯示上述控制規(guī)則。

圖5 高級身份驗證方法窗口

為了讓域成員主機之間進行IPSec通訊，在域控制器上的組策略管理編輯器窗口左側(cè)選擇“計算機配置”-“策略”-“Windows設(shè)置”-“安全設(shè)置”-“高級安全Windos防火墻”-“高級安全Windows防火墻”-“連接安全規(guī)則”項，在右鍵菜單上點擊“新建規(guī)則”項，在向?qū)Т翱谥羞x擇“服務(wù)器到服務(wù)器”項，在下一步窗口中的“終結(jié)點1中的計算機”和“終結(jié)點2中的計算機”欄中分別選擇“下列IP地址”項，分別點擊“添加”按鈕，輸入“192.168.6.0/24”。這樣，就確定了所需的網(wǎng)絡(luò)范圍。點擊下一步按鈕，選擇“入站和出站連接需要身份驗證”項，在下一步窗口中選擇“高級”項，點擊“自定義”按鈕，在自定義高級身份驗證方法窗口（如圖5所示）中的“第一身份驗證方法”欄中點擊“添加”按鈕，在第一身份驗證方法窗口中選擇“計算機（Kerberos V5）”項，點擊確定按鈕保存配置信息。

注意：所謂第一身份驗證方法針對的目標是計算機身份，即相互通訊的主機。

為了加強安全性，可以對用戶身份進行安全驗證，即驗證發(fā)起數(shù)據(jù)通訊的用戶賬戶。方法是在“第二身份驗證”欄中點擊“添加”按鈕，在彈出窗口中選擇“用戶（Kerberos V5）”。這樣，在連接對方主機時，必須使用與賬戶身份來操作，在向?qū)Ы缑嬷悬c擊下一步按鈕，輸入本規(guī)則名稱和描述信息，點擊完成按鈕，完成本規(guī)則的創(chuàng)建操作。在域成員，域控制器上執(zhí)行“gpupdate/force”命令，來手動應(yīng)用該規(guī)則。經(jīng)過以上操作后，在域成員主機之間，就可以利用IPSec來安全傳輸數(shù)據(jù)。例如在Server 1上打開高級安全Windows防火墻窗口，在左側(cè)選擇“監(jiān)視”-“安全關(guān)聯(lián)”-“主模式”或者“快速模式”項，可以看到相關(guān)的IPSec通信信息。但是在其中觀察不到Server 1和域控制器，默認網(wǎng)關(guān)之間的IPSec連接，這是因為Server 1與這些設(shè)備之間的通訊不需要IPSec。

順便說一下，如果內(nèi)網(wǎng)采用 NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，可以讓局域網(wǎng)中多臺主機共享一個公用IP，就可以和外網(wǎng)主機通訊。如果采用IPSec傳輸數(shù)據(jù)的話，因為NAT會更改數(shù)據(jù)包中的頭信息，這和IPSex的要求完全相反，IPSec是不允許隨意修改數(shù)據(jù)包的頭信息的。在高級安全Windows防火墻窗口左側(cè)的“本地計算機上的高級安全Windows防火墻”節(jié)點的右鍵菜單上點擊“屬性”項，在屬性窗口的“IPSec設(shè)置”面板中點擊“IPSec默認值”欄中的“自定義”按鈕，在彈出窗口中的“數(shù)據(jù)保護”欄中選擇“高級”項，點擊“自定義”按鈕，在自定義數(shù)據(jù)保護設(shè)置窗口中點擊“添加”按鈕，在彈出窗口（如圖6）中可以看到IPSec可以使用ESP和AH兩種協(xié)議。

圖6 選擇選擇加密傳輸相關(guān)協(xié)議

對于AH信道模式中，IPSec會簽署整個數(shù)據(jù)包，因此是不允許隨意修改包中數(shù)據(jù)。而NAT在操作時，會更改數(shù)據(jù)包中的IP地址以及端口號等信息，這會導(dǎo)致IPSec無法正常運作。在ESP傳輸模式中，數(shù)據(jù)包頭信息雖然沒有被IPSec簽署，不過其中的端口號卻處于加密狀態(tài)無法修改，這雖然可以滿足NAT更改數(shù)據(jù)包中IP地址的需求，但是卻無法修改端口信息。不過，在大多數(shù)的Windows系統(tǒng)中，都可以支持NAT-T（NATTraversal，即NAT穿越）技術(shù)，該技術(shù)可以讓ESP數(shù)據(jù)包穿越NAT，因此，可以在IPSec中采用ESP傳輸信道，安全可靠地使用NAT，讓局域網(wǎng)中多臺主機共享一個公用IP。