Windows下數(shù)據(jù)安全傳輸之道

郭建偉

在Windows中如何安全地傳輸數(shù)據(jù)，防止敏感數(shù)據(jù)被別有用心之人竊聽，是數(shù)據(jù)管理不可忽視的問題。利用系統(tǒng)IPSec安全策略，就可以對數(shù)據(jù)傳輸進行加密處理，保護數(shù)據(jù)的安全性。IPSec即InternetProtocol Security、Internet協(xié)議安全）是由IETF所設計和制定的。為了保證TCP/IP協(xié)議數(shù)據(jù)傳輸?shù)陌踩?，IPSec提供了一套完整的IP安全協(xié)議和密鑰管控機制，提供了一個完善的安全體系。IPSec不僅僅是單純的安全服務，其實更是相關安全協(xié)議的集合。

一、利用密鑰安全傳輸數(shù)據(jù)

這里以在同一網(wǎng)絡中兩臺主機之間安全傳輸數(shù)據(jù)為例，來說明如何使用預共享密鑰安全傳輸數(shù)據(jù)。在Serverl主機上打開高級安全windows防火墻窗口，點擊左側的“連接安全規(guī)則”項，在右側點擊“新建規(guī)則”連接，在彈出窗口中選擇“隔離”項，點擊下一步按鈕。如果選擇“入站和出站請求身份驗證”項（圖1），表示數(shù)據(jù)的進出都會請求對方采用IPSec，如果對方?jīng)]有提供IPSec功能導致協(xié)商失敗的話，就采用普通的連接方式。如果選擇“入站連接要求身份驗證，出站連接請求身份驗證”項，表示接收數(shù)據(jù)必須采用IPSec，否則拒絕連接。出站連接會請求對方采用IPSec，如果與對方協(xié)商失敗，就采用一般的連接方式。選擇“人站和出站要求身份驗證”項，表示無論出站和入站連接，都必須采用IPSec，否則的話拒絕連接。

在下一步窗口中選擇“高級”項，點擊“自定義按鈕，在彈出窗口中的“第一身份驗證”欄中點擊“添加”按鈕，在打開窗口（圖2）中選擇“預共享密鑰”項，輸入所需的密鑰。當然，在Server2主機上也必須按照同樣的方法，設置相同的密鑰值。在上述向導界面中點擊下一步按鈕，在配置文件窗口中選擇本機何時應用該規(guī)則。如果選擇“域”項，表示當本機連接到網(wǎng)絡時，如果能夠與域控制器通信，就應用此規(guī)則。如果選擇“專用”項，表示當本機連接到專用網(wǎng)絡時，如果無法與域控制器通信或者該機是非域成員，就應用此規(guī)則。如果選擇‘公用”項，表示本機連接到公用網(wǎng)絡時應用此規(guī)則。在下一步窗口中輸入本規(guī)則的名稱和描述信息，點擊“完成”按鈕，執(zhí)行該規(guī)則的創(chuàng)建操作。

注意，為了在Serverl和Server2上順利進行安全通訊，必須在雙方的主機上均執(zhí)行上述配置操作，創(chuàng)建同樣的連接安全規(guī)則。在此期間，在任意主機上的高級安全Windows防火墻窗口左側選擇“監(jiān)視一安全關聯(lián)一主模式”或者“快速模式”項，就可以在監(jiān)控界面中查看加密傳輸參數(shù)了，包括本機地址，遠程地址、本地端口、遠程端口、協(xié)議、AH完整性、ESP完整性、ESP加密等信息。如果想更改IPSec默認值的話，可以在窗口左側的“本地計算機”節(jié)點右鍵菜單上點擊“屬性”項，在彈出窗口（圖3）中的“IPSec免除”欄中的“從IPSec免除ICMP”列表中選擇“是”項，可以讓PING操作不受IPSec影響直接進行探測操作。在“IPSec設置”面板中的“IPSec默認值”欄中點擊“自定義”按鈕，在打開窗口中可以在密鑰交換、數(shù)據(jù)保護、身份驗證方法等欄中點擊對應的“自定義”按鈕，對這些參數(shù)進行自定義設置。

二、利用安全策略。安全傳輸數(shù)據(jù)

除了使用防護墻控制規(guī)則，來保證數(shù)據(jù)傳輸?shù)陌踩灾?，還可以使用安全策略，來實現(xiàn)數(shù)據(jù)的安全傳輸。例如，在Serverl3：安裝了FTP服務，就需要對來自客戶端的連接進行安全控制，保證數(shù)據(jù)安全傳送。注意，一臺主機制定了IPSec安全策略是沒有意義的，與之通訊的其他主機必須配置與之相同的安全策略，才可以實現(xiàn)數(shù)據(jù)加密傳輸。點擊“Win+R”鍵，運行“control admintools”命令，在管理工具窗口中雙擊“本地安全策略”項，在窗口空白處的右鍵菜單中點擊“創(chuàng)建IP安全策略”項，在操作向導界面輸入其名稱和描述信息，在下一步窗口中不選擇“激活默認響應規(guī)則”項，之后完成該策略的創(chuàng)建操作。

在該策略屬性窗口中的“規(guī)則”面板中不選擇“使用添加向導”項。點擊“添加”按鈕，為該IP安全策略添加規(guī)則。規(guī)則是IPSec策略的核心，任何一條規(guī)則都包含篩選器、加密和身份驗證三要素。在該規(guī)則屬性窗口中打開“IP篩選器”面板，連續(xù)點擊“添加”按鈕，在篩選器屬性窗口（圖4）中的“地址”面板中的“源地址”列表中選擇“任何IP地址”項，在“目標地址”列表中選擇“我的IP地址”項。在“協(xié)議”面板中的“選擇協(xié)議類型”列表中選擇“TCP”項，在“設置IP協(xié)議端口”欄中選擇‘從任意端口”和“到此端口”項，并將端口設置為21。當然，可以根據(jù)需要設置別的端口，點擊確定按鈕保存配置信息。

返回到規(guī)則屬性窗口，在“篩選器”面板中點擊“添加”按鈕，在彈出窗口中的“安全方法”面板中點擊“添加”按鈕。選擇“完整性和加密”項（圖5），在“常規(guī)”面板可以為該加密操作設置名稱和描述信息。在規(guī)則屬性窗口中打開‘身份驗證方法”面板，可以看到，系統(tǒng)已經(jīng)默認使用Kerberos這種身份驗證方式。但是，該方式只能使用于域環(huán)境。如果連接的雙方有—方?jīng)]有加入域中，該方式就處于無效狀態(tài)。選擇該方式，點擊“編輯”按鈕，在其屬性窗口（圖6）中選擇“使用此字符串（預共享密鑰）”項，在其下輸入密碼信息，注意預共享密鑰不能是全數(shù)字格式，應該使用字母加符號的格式，來提高安全性。

在“隧道設置”面板中可以看到，系統(tǒng)默認選擇“此規(guī)則不指定IPSec隧道”項，這表明IPSec默認使用的是傳送模式，該模式主要適用于局域網(wǎng)。在廣域網(wǎng)中，需要使用隧道模式來提高數(shù)據(jù)加密的安全性。因此，如果是在Interne止互訪的話，雙方需要選擇“隧道終點由此IP地址指定”項，并分別輸入各自在Interne止的IP地址。完成以上操作后，必須在“IP篩選器列表”和“篩選器操作”面板中分別選擇上述預設的項目，點擊“應用”按鈕保存配置。

在本地安全策略窗口中選擇“IP安全策略”項，在右側窗口中選擇我們創(chuàng)建的策略項目，在其右鍵菜單中點擊‘‘分配”項，激活該安全策略。之后在Server2等別的主機上也需要添加與上述完全對應的IPSec規(guī)則，即雙方必須使用完全一致的加密方式、身份驗證方式、連接密碼等。所不同的是在客戶端創(chuàng)建篩選器時，在其屬性窗口的“尋址”面板中的“源地址”需要選擇“我的IP地址”項，在“目標地址”列表中選擇“一個特定的IP”項，并輸入Serverl主機的IP地址。

這樣，當Server2等主機使用FTP連接工具連接Serverl4的FTP服務時，就可以順利連接，并可以順利上傳和下載數(shù)據(jù)。因為雙方都啟用了IPSec安全策略，因此傳輸?shù)臄?shù)據(jù)是加密的，別人是無法攔截和分析破譯的。當然，對于內網(wǎng)用戶來說，為了讓局域網(wǎng)中的所有主機都執(zhí)行相同的IPSec策略，可以在域控制器上打開DC的組策略窗口，打開“計算機配置-Windows設置一安全設置-IP安全策略”項，在其中創(chuàng)建或者選擇合適的安全策略，之后指派該安全策略即可。

三、使用隧道技術。安全傳輸數(shù)據(jù)

在同一網(wǎng)段中，主機之間可以使用IPSec策略安全傳輸數(shù)據(jù)。如果雙方處于不同的網(wǎng)段中，則需要使用IPSec隧道傳輸模式，來快速安全地進行訪問。例如Serverl主機位于172.16.1.0/24網(wǎng)段，其外網(wǎng)地址為100.111.69.10，Server2主機位于172.168.2.0/24網(wǎng)段，其外網(wǎng)地址為100.11 1.79.10。Serverl4打開高級安全Windows.防火墻窗口，點擊左側的“連接安全規(guī)則”項，在右側點擊“新建規(guī)則”連接，在向導界面（圖7）中選擇“隧道”項，在下一步隧道類型窗口中選擇“自定義設置”項，點擊下一步按鈕，選擇進行身份驗證的時機。

在下一步窗口（圖8）中的“終結點1中的計算機”欄中點擊“添加”按鈕，輸入其連接的網(wǎng)絡內的主機地址或者網(wǎng)絡標識符（例如“172.16.1.0/24”），在“什么是本地隧道終結點”欄中的“IPv4”欄中輸入Serverl的外網(wǎng)地址，例如100.111.69.10。在“什么是遠程隧道終結點”欄中點擊“編輯”按鈕，在彈出窗口中的“IPv4”欄中輸入Server2的外網(wǎng)地址，例如100.111.79.10。在“終結點2中的計算機”欄中點擊“編輯”按鈕，在彈出窗口中的“IPv4”欄中點擊“添加”按鈕，輸入Server2連接的網(wǎng)絡內的主機IP或者網(wǎng)絡標識符，例如172.16.2.0/24。在下一步窗口中選擇“高級”按鈕，在彈出窗口中按照上述方法，設置合適的預共享密鑰。之后輸入規(guī)則名和描述信息，完成該規(guī)則的創(chuàng)建操作。

在Server 2主機上打開高級安全Windows防火墻窗口，設置與上述相同的IPSec安全連接規(guī)則。之后，在與其連接的兩個網(wǎng)絡的主機之間，就可以安全地通信70例如，與Server 1連接的內網(wǎng)中A主機需要和與Server 2連接的內網(wǎng)中的B主機通訊，A主機發(fā)送的數(shù)據(jù)先傳給了Server 1，Server 1自動和IPSec隧道連接，將數(shù)據(jù)安全傳輸給Server 2，之后Server 2將數(shù)據(jù)傳輸給B主機。當然，在兩個不同的網(wǎng)絡中的主機進行通信時，需要使用路由器進行連接方可。實際上，使用Windows Server 2003/2008/2012等系統(tǒng)，也可以實現(xiàn)路由轉發(fā)功能，具體配置都比較簡單，這里限于篇幅就不再贅述了。