IPSec 策略
IPsec 策略配置基于 Windows 的计算机如何在 IPsec 环境中工作。 IPsec 策略是通信流要匹配的规则的集合。 Windows 2000 有三种不同的 IPsec 策略:
• |
本地策略 |
• |
Active Directory 域策略 |
• |
动态策略 |
Windows XP 和 Windows Server 2003 支持下列其他策略类型:
• |
启动 IPsec 策略。 本地注册表对它进行存储和治理。 仅 Windows XP SP2 或更高版本支持。 计算机获得 IP 地址之后立即应用,可以在 IPsec 服务启动之前应用。 当服务应用永久策略时被替代。 |
• |
永久 IPsec 策略。 本地计算机上的注册表对它进行存储和治理。 通过命令行工具进行配置。 当 IPsec 服务启动时首先应用。 替代启动策略。 |
• |
本地 IPsec 策略。 本地计算机对它进行存储和治理。 通过 IPsec 策略治理 MMC(Microsoft 治理控制台)治理单元或命令行工具进行配置。 假如没有指派域策略,则除了永久策略之外还可应用该策略。 |
• |
Active Directory 域 IPsec 策略。 存储在 Active Directory 中。 通过 IPsec 策略治理 MMC 治理单元或命令行工具进行治理。 覆盖任何可能已指派的本地策略。 可以使用组策略编辑器 MMC 治理单元或组策略治理控制台,在“Windows 设置”的“安全设置”的“IPsec 策略”下,对 GPO 指派 Active Directory IPsec 策略。 |
• |
动态 IPsec 策略。 仅存储在内存中。 通过命令行工具进行配置。 用于动态地添加到现有策略。 当 IPsec 服务停止时,动态策略将被舍弃。 |
为简单起见,本指南集中讨论如何使用 Active Directory 域 IPsec 策略。
当定义 IPsec 策略时,最好尝试设计一个通用策略,该策略将为所有计算机的 IPsec 基础结构建立一个基础。 然后可以创建附加的策略以对需要附加安全配置的系统实施更严格的设置。 应将每个附加的策略设计成影响最大数目的需要满足特定业务或技术要求的计算机。 使策略的总数最少将更轻易治理策略和解决与策略有关的问题。
IPsec 策略包括名称、描述、规则集以及轮询间隔设置、密钥交换设置和密钥交换方法的配置,以下各节具体描述上述各项。
名称
应给策略(如筛选器操作)取有意义的名称,以便在项目的实施和操作阶段有助于解决方案的治理和疑难解答。
描述
策略的具体说明将帮助治理员确定策略实施的内容,而不必实际打开策略和研究它的规则。
规则
IPsec 规则包括一个筛选器列表、关联的筛选器操作、用于在计算机之间建立信任的身份验证方法、连接类型以及该规则是否是隧道配置。
每条规则定义一个或多个身份验证方法用于在主机之间建立信任。 选项包括 Kerberos V5 协议、来自特定证书颁发机构的证书和预共享密钥。
连接类型定义要应用 IPsec 策略的连接。 可以配置对所有连接、本地连接或基于远程访问的连接应用策略。
隧道类型定义该 IPsec 策略是否定义 IPsec 隧道。 假如禁用了隧道类型,则 IPsec 使用传输模式。
为了支持本指南先前确定的安全隔离组,Woodgrove Bank 实施了四种 IPsec 策略。 它配置了全部四种策略,以便它们使用 Kerberos V5 身份验证协议、应用于所有连接且未定义 IPsec 隧道。
下表显示 Woodgrove Bank 方案中使用的策略:
表 5.6:Woodgrove Bank IPsec 策略
策略名称 |
描述 |
IPSEC – 隔离域 IPsec 策略 (1.0.041001.1600) |
此策略定义隔离域。 当此隔离组中的主机发起与非 IPsec 主机的通信时,能够回退到使用明文。 它配置主机要求 IPsec 通信。 假如支持 IPsec 的客户端之间的协商失败,则通信将失败。 |
IPSEC – 边界隔离组 IPsec 策略 (1.0.041001.1600) |
此策略定义边界隔离组。 它配置主机请求 IPsec 通信,但答应它们在需要与不支持 IPsec 的主机进行通信时回退到使用明文。 |
IPSEC – 无回退隔离组 IPsec 策略 (1.0.041001.1600) |
此策略定义无回退隔离组。 它配置主机要求 IPsec 通信。 假如协商失败或尝试与不使用 IPsec 的客户端通信,则通信将失败。 |
IPSEC – 加密隔离组 IPsec 策略 (1.0.041001.1600) |
此策略定义加密隔离组。 它配置主机要求 IPsec 通信和加密。 假如协商失败或尝试与不使用 IPsec 的客户端通信,则通信将失败。 |
与每个策略名称关联的数字是版本号,稍后的“确定策略版本”一节将进行讨论。
Woodgrove Bank 的每个策略包含相同的免除列表,因为对为某个特定隔离组免除非凡的一组计算机没有要求。 下表显示了在前一表中确定的四个策略中相同的已启用规则:
表 5.7:Woodgrove Bank IPsec 策略中定义的公用规则