为隔离组创建IPsec策略（二）

IPSec 策略

IPsec 策略配置基于 Windows 的计算机如何在 IPsec 环境中工作。 IPsec 策略是通信流要匹配的规则的集合。 Windows 2000 有三种不同的 IPsec 策略：

Windows XP 和 Windows Server 2003 支持下列其他策略类型：

为简单起见，本指南集中讨论如何使用 Active Directory 域 IPsec 策略。

当定义 IPsec 策略时，最好尝试设计一个通用策略，该策略将为所有计算机的 IPsec 基础结构建立一个基础。 然后可以创建附加的策略以对需要附加安全配置的系统实施更严格的设置。 应将每个附加的策略设计成影响最大数目的需要满足特定业务或技术要求的计算机。 使策略的总数最少将更轻易治理策略和解决与策略有关的问题。

IPsec 策略包括名称、描述、规则集以及轮询间隔设置、密钥交换设置和密钥交换方法的配置，以下各节具体描述上述各项。

名称

应给策略（如筛选器操作）取有意义的名称，以便在项目的实施和操作阶段有助于解决方案的治理和疑难解答。

描述

策略的具体说明将帮助治理员确定策略实施的内容，而不必实际打开策略和研究它的规则。

规则

IPsec 规则包括一个筛选器列表、关联的筛选器操作、用于在计算机之间建立信任的身份验证方法、连接类型以及该规则是否是隧道配置。

每条规则定义一个或多个身份验证方法用于在主机之间建立信任。 选项包括 Kerberos V5 协议、来自特定证书颁发机构的证书和预共享密钥。

连接类型定义要应用 IPsec 策略的连接。 可以配置对所有连接、本地连接或基于远程访问的连接应用策略。

隧道类型定义该 IPsec 策略是否定义 IPsec 隧道。 假如禁用了隧道类型，则 IPsec 使用传输模式。

为了支持本指南先前确定的安全隔离组，Woodgrove Bank 实施了四种 IPsec 策略。 它配置了全部四种策略，以便它们使用 Kerberos V5 身份验证协议、应用于所有连接且未定义 IPsec 隧道。

下表显示 Woodgrove Bank 方案中使用的策略：

表 5.6：Woodgrove Bank IPsec 策略

与每个策略名称关联的数字是版本号，稍后的“确定策略版本”一节将进行讨论。

Woodgrove Bank 的每个策略包含相同的免除列表，因为对为某个特定隔离组免除非凡的一组计算机没有要求。 下表显示了在前一表中确定的四个策略中相同的已启用规则：

表 5.7：Woodgrove Bank IPsec 策略中定义的公用规则