本章先决条件
本节包含一些信息,用来帮助确定您的组织实施 IPsec 解决方案的预备工作。 (预备”是指后勤意识上的预备,而不是商业意识上的预备 — 本指南的第 1 章“服务器和域隔离简介”已讨论过实施本解决方案的商业动机。)
预备知识
您应熟悉 IPsec 的一般概念,非凡要熟悉 Microsoft 的 IPsec 实施。 还需要熟悉 Windows Server 2003 的以下方面:
• |
Active Directory 概念,包括 Active Directory 结构和工具;操纵用户、组和其他 Active Directory 对象;以及组策略的使用 |
• |
Windows 系统安全,包括安全概念,如用户、组、审核和访问控制表 (ACL);使用安全模板;使用组策略或命令行工具应用安全模板 |
• |
了解核心网络和 IPsec 原理 |
在继续本章之前,应先阅读本指南先前各章提供的规划指南并透彻理解本解决方案的体系结构和设计。 还应定义并记录解决方案的业务要求,以作为解决方案要求矩阵的一部分。
组织先决条件
应咨询组织中其他可能需要参与实施本解决方案的人员的意见,包括以下人员:
• |
公司所有者 |
• |
安全和审核人员 |
• |
Active Directory 工程、治理和操作人员 |
• |
DNS(域名系统)、Web 服务器以及网络工程治理和操作人员
注:根据您的信息技术 (IT) 组织结构的具体情况,这些角色可能由许多人担任,也可能由较少的人担任多个角色。 |
IT 基础结构的先决条件
本章还假定存在以下 IT 基础结构:
• |
以混合模式或纯模式运行的 Microsoft Windows Server 2003 Active Directory 域。 此解决方案使用通用组来应用组策略对象 (GPO)。 假如组织不是以混合模式或纯模式运行,仍然可以通过使用标准全局和本地组配置来应用 GPO。 但是,由于这种方法治理起来很复杂,本解决方案未予采用。
注:Windows Server 2003 引入了许多影响 IPsec 策略的改进。 本解决方案没有任何非凡之处会妨碍它与 Windows 2000 一起工作。 但是,只使用 Windows Server 2003 Active Directory 对本解决方案进行了测试。 有关 Windows Server 2003 中对 IPsec 所做的增强的具体信息,请参阅 Microsoft 网站上的“New features for IPsec”页面,网址为 www.microsoft.com/resources/documentation/ WindowsServ/2003/standard/proddocs/en-us/ipsec_whatsnew.asp。 |
• |
Windows 2000 Server、Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 许可证、安装媒体和产品密钥。 |
本章还要求全面了解现有 IT 基础结构,以确保对环境中的既定主机部署正确的策略。 第 3 章“确定 IT 基础结构的当前状态”描述了必需的信息以及获取的方法。 在至少获得以下信息之后,才能执行本章描述的步骤:
• |
该设计的隔离组定义。 每个必需的隔离组应具有传达安全要求和确定这些要求所应用的对象的明确声明(即隔离组成员身份)。 |
• |
如何使用 IPsec 策略实施隔离组的概括描述,包括所需的不同 IPsec 策略的列表以及如何指派它们。 |
• |
应用 IPsec 实施隔离组的影响的概括摘要。 此摘要可能同时包含问题和变通办法的列表。 |
• |
IPsec 策略将如何随着时间变化的概括描述和需要 IPsec 策略更改的过程的列表。 此列表包括一些过程,如安全事件响应、添加网络组件以及在任何隔离组中添加客户端或服务器。 |
• |
了解组织的网络技术和 IP 寻址方案。 |
在 Active Directory 中创建 IPsec 策略
创建支持必需隔离组的必要策略的进程主要包括以下主要任务:
• |
创建筛选器列表。 |
• |
创建筛选器操作。 |
• |
创建 IPsec 策略以实施隔离组。 |
在进行创建这些组件的进程之前,从第 4 章“设计和规划隔离组”获取通信流模型图表以及主机和网络映射表非常重要。 这些表提供必要的信息,以确保策略提供必需的功能且被指派给正确的隔离组。
下图描绘了用于模拟 Woodgrove Bank 方案的网络配置。
图 5.1 Woodgrove Bank 网络配置
Woodgrove Bank 测试实验室配置演示了解决方案的以下要害功能: