筛选器列表 |
筛选器操作 |
身份验证方法 |
隧道终结点 |
连接类型 |
DNS 免除列表 |
IPSEC – 答应 |
无 |
无 |
全部 |
域控制器免除列表 |
IPSEC – 答应 |
无 |
无 |
全部 |
WINS 免除列表 |
IPSEC – 答应 |
无 |
无 |
全部 |
DHCP,协商通信流 |
IPSEC – 答应 |
无 |
无 |
全部 |
ICMP,所有通信流 |
IPSEC – 答应 |
无 |
无 |
全部 |
除了表中列出的规则之外,还禁用了每个策略中的默认客户端响应规则。
Woodgrove Bank 定义的四个策略只是在如何处理未被任何免除筛选器列表处理的剩余通信流方面有所不同。 对于每个这些规则,身份验证方法设置为“Kerberos V5 协议”,隧道终结点设置为“无”,连接类型设置为“全部”。
下表显示 Woodgrove Bank 实施四个隔离组的规则:
表 5.8:Woodgrove Bank 实施隔离组的基本规则
策略名称 |
筛选器列表 |
筛选器操作 |
IPSEC – 隔离域 IPsec 策略 (1.0.041001.1600) |
Woodgrove Bank 安全子网 |
IPsec – 安全请求模式(忽略入站,答应出站) |
IPSEC – 边界隔离组 IPsec 策略 (1.0.041001.1600) |
Woodgrove Bank 安全子网 |
IPsec – 请求模式(接受入站,答应出站) |
IPSEC – 无回退隔离组 IPsec 策略 (1.0.041001.1600) |
Woodgrove Bank 安全子网 |
IPsec – 完全要求模式(忽略入站,禁止出站) |
IPSEC – 加密隔离组 IPsec 策略 (1.0.041001.1600) |
Woodgrove Bank 安全子网 |
IPsec – 要求加密模式(忽略入站,禁止出站) |
Woodgrove Bank 选择使用 Kerberos V5 协议作为它的唯一身份验证协议。 Woodgrove 没有使用预共享密钥,因为身份验证密钥值可被注册表中的本地治理员读取,也可被域中任何经过身份验证的用户和计算机读取。 Woodgrove 没有选择证书,因为该银行没有已部署的公钥基础结构 (PKI)。
通过使用 Kerberos V5 协议,所有加入域的计算机能够参与 IPsec 基础结构,因为它们可以进行身份验证并获得策略。 未加入域的计算机不能方便地参与 IPsec 环境,因为没有身份验证机制和策略分发系统。 假如这些计算机满足受信任主机条件,您可以使用证书身份验证配置 IPsec 本地策略,以使它们能够与其他受信任主机通信。 Woodgrove Bank 目前将非域计算机当作不受信任计算机处理。
注:对 IKE 身份验证使用 Kerberos V5 协议不会防止不属于域的计算机参与 IPsec 环境。 例如,假如已正确配置 UNIX 系统使用 Active Directory 作为它的 Kerberos 领域且 IKE 实施支持 Kerberos 身份验证,则它有可能能够参与隔离域。 但是,这种配置越出本文的范围且没有经过 Microsoft 测试。
轮询间隔
有两个轮询间隔需要考虑:组策略轮询间隔和 IPsec 服务轮询间隔。 IPsec 服务策略更改轮询间隔的默认设置是连续轮询之间的间隔为 180 分钟,这些轮询检查那些基于 Active Directory 的 IPsec 策略中的更改。 这些轮询只检查 IPsec 策略中的更改,不检查域或组织单元 (OU) 成员身份中的更改,也不检查 GPO 中 IPsec 策略的指派或删除。 通过组策略服务轮询检测对计算机的 OU 成员身份和 GPO 指派的更改,默认情况下每隔 90 分钟进行一次。
Woodgrove Bank 选择将两个轮询间隔都设置为 60 分钟,以便当需要安全响应时,可以在 1 小时内更新和部署策略以降低风险。 轮询频率增加引入了附加的轮询通信流,因为来自客户端的 LDAP 查询要检查 IPsec 策略上的时间戳。 虽然在 Woodgrove Bank 方案中,这没有带来显著的开销,但是在具有大量客户端的部署中,这种增加可能变得非常显著。
密钥交换设置
以下密钥交换设置定义如何派生新密钥以及每隔多久续订它们。 术语“主密钥”意思是 IKE 主模式中生成的 Diffie-Hellman 共享密钥资料。 术语“会话密钥”指的是 IKE 快速模式生成的密钥,这些密钥将用于 IPsec 完整性和加密算法。 会话密钥是从主密钥派生出来的。