在Win2000建基于IPSec的VPN
前言:
VPN是虚拟专用网(Virtual Private Network)的缩写,VPN就是利用开放的公众网络建立专用数据传输通到,将企业的分支机构、商业伙伴、移动办公等连接起来,并且提供安全的端到端的数据通信的一种广域网技术。目前,VPN的应用越来越广泛,而且大多数的VPN都是用路由器或防火墙等硬件加软件实现的。实现虚拟专用网技术(VPN)的协议虽然很多,但其具体实现都是采用隧道技术,将企业网的数据封装在隧道中进行传输。隧道协议可分第二层和第三层隧道协议。第二层隧道协议包括:点对点隧道协议PPTP(Point-to-Point Tunneling Protocol)、第二层转发协议L2F(Layer 2 Forwarding)、第二层隧道协议L2TP(Layer 2 Tunneling Protocol);第三层隧道协议包括:通用路由封装GRE(Generic
Routing Encapsulation)、IPSec(IP Security )。
微软在Windows 2000中全面实现了PPTP 、L2TP、 IPSec协议,在以前的Windows NT4中只实现了PPTP,本文介绍如何在Windows 2000中配置建立基于IPSec的VPN应用。
IPSec 简介:
IPSec实际上是一套协议包而不是单个的协议,IPSec是在IP网络上保证安全通信的开放标准框架,它在IP层提供数据源验证、数据完整性和数据保密性。其中比较重要的有RFC2409 IKE(Internet Key Exchange)互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH(Authentication Header)验证包头、RFC2406 ESP (Encapsulating Security Payload)加密数据等协议。IPSec独立于密码学算法,这使得不同的用户群可以选择不同一套安全算
法。
IPSec主要由AH(认证头)协议,ESP(封装安全载荷)协议以及负责密钥管理的IKE(因特网密钥交换)协议组成。AH为IP数据包提供无连接的数据完整性和数据源身份认证。数据完整性通过消息认证码(如MD5、SHA1)产生的校验值来保证,数据源身份认证通过在待认证的数据中加入一个共享密钥来实现。ESP为IP数据包提供数据的保密性(通过加密机制)、无连接的数据完整性、数据源身份认证以及防重防攻击保护。AH和ESP可以单独使用,也可以配合使用,通过组合可以配置多种灵活的安全机制。密钥管理包括IKE协议和
安全联盟SA(Security Association)等部分。IKE在通信双方之间建立安全联盟,提供密钥确定、密钥管理机制,是一个产生和交换密钥材料并协商IPSec参数的框架。IKE将密钥
协商的结果保留在SA中,供AH和ESP通信时使用。
IPSec工作模式支持传输模式和隧道模式,在公共IP网上建立私有IP地址的VPN就只
能使用隧道模式。
Windows 2000中IPSec 配置
本例主要介绍的是基于IPSec的VPN中网关到网关的模拟环境配置步骤。其中地址均为假设的。图示如下图1,所需环境为:两台安装Windows 2000 Server的PC机,分别安装两块网卡,我们称其为A机和B机,A机所在私有地址段为192.168.5.0/255.255.255.0,
互联网端网卡IP地址为202.1.1.1/255.255.255.0 ,B机所在私有地址段为192.168.6.0/255.255.255.0 , 互联网端网卡IP地址为202.1.1.2/255.255.255.0,用一交叉网线直连A、B两机模拟互联网,另外一台内网PC机地址192.168.6.2/255.255.255.0,
称为C机。目的是通过VPN将两段内部网络互联。
图1:配置IPSec 的模拟网络环境图
IPSec网关A机和B机需要配置的主要内容为:创建IPSec策略;定义IPSec 筛选器列表(filter list);配置IPSec 筛选器操作(Filter Action);配置身份验证方法。具体步
骤如下:
A机上的配置步骤:
创建IPSec策略:
a) 在A机上运行IPSec策略管理控制台。(方法:“开始”*“程序”*“管理工具”*“本地安全策略”)右击“IP安全策略,在本地机器”,选择“创建IP安全策略”,出现IP
安全策略向导。 b) 单击“下一步”
c) 命名所建的安全策略,比如“A和B的安全通信”, 单击“下一步”
d) 清除“激活默认响应规则”复选框, 单击“下一步”
e) 选中“编辑属性” 复选框, 单击“完成”,至此已创建名为“A和B的安全通信”的
IP安全策略,以下步骤为设置其属性。
定义IPSec 筛选器列表:
a) 在“A和B的安全通信” 属性框中,清除“使用添加向导”复选框,单击“添加”按钮,
添加IP IPSec 筛选器
b) 命名筛选器,比如为“A到B的筛选器”, 清除“使用添加向导”复选框,单击“添加”
按钮,出现筛选器属性对话框
c) “源地址”选择“一个特定的子网”,“目标地址” 也选择“一个特定的子网”,分别填上IP地址,清除“镜像”复选框,在“协议”标签中“选择协议类型”为“任意”,如下图2所示,单击“确定”,再单击“关闭”,至此已添加好名为“A到B的筛选器”的筛
选器。
图2:“A到B的筛选器”具体配置信息
定义IPSec 筛选器操作:
a) 在“编辑规则属性”对话框中,单击“IP筛选器列表”标签,选中新建的“A到B的筛选器”, 再单击“IP筛选器操作”标签,单击“添加”按钮,在“筛选器操作属性” 对话框中,选择“常规”标签,命名该操作,比如“A和B筛选器操作”, 选择“安全措施”
标签,单击“添加”按钮
b) 选择“自定义”单选框,单击“设置” 按钮
c) 在此对话框中,设置AH完整性算法和ESP完整性算法和加密算法,比如AH选MD5,ESP选SHA1和3DES,单击“确定”,再单击“确定”,出现如下对话框(图3),单击“确定”,
至此已添加好名为“A到B的筛选器操作”的筛选器操作。
图3 筛选器操作属性对话框
配置身份验证方法:
身份验证方法定义在筛选器适用的通讯中需如何验证标识。双方都必须至少有一个通用身份验证方法,否则通讯将失败。Windows 2000 提供Kerberos、公钥证书、指定预共享密钥三种身份验证方法,使用Kerberos需合理设置A、B机之间的域关系,使用公钥证书需申请和安装相应证书,甚至需建立CA(Certification Authority)中心,为简化起见,此处只介绍使用指定预共享密钥的身份验证方法配置步骤。
a) 在“编辑规则属性”对话框中,确保在“IP筛选器列表”标签中选中“A到B筛选器”,在“IP筛选器操作”标签中选中“A到B筛选器操作”, 然后单击“身份验证方法”标签。 b) 单击“添加” 按钮,选择“此字串用来保护密钥交换(预共享密钥)”单选框,输入“123456789”, 单击“确定”。 至此已配置好身份验证方法,如下图4。