高級安全Windows防火墻

1、高級安全Windows防火墻（上）之IPSec - Windows2008新功能系列之三   大家都知道，安全無疑是當前企業(yè)最為關(guān)心的話題，windows2008已經(jīng)誕生一年多了，相信朋友們對于2008的部署及各項新功能，已經(jīng)了如指掌了吧？！今天我們就來看看如何利用2008的改進功能來實現(xiàn)企業(yè)的安全通信。網(wǎng)絡拓樸：單域，雙子網(wǎng)，具體IP如上圖所設(shè)置，其中w08a是DC，w08b是文件服務器，其余均是加入域的客戶端。域名，w08a兼作DNS服務器，CA服務器、DHCP服務器等。 企業(yè)要求：1. 實現(xiàn)域內(nèi)所有客戶端之間通信全部加密（ICMP除外）2. 實現(xiàn)域內(nèi)所有客戶

2、端和文件服務器之間通信全部加密。3. 若用戶不登錄域，則無法和域內(nèi)的客戶端或文件服務器通信。 分析：針對企業(yè)目的，可以實現(xiàn)的方法很多，但最簡單最直接的方法還是利用IPSec，我在安全系列中已經(jīng)講到使用IPSEC實現(xiàn)，各位可以參考。但如果用2003的IPSEC的話，實現(xiàn)起來有些麻煩，而且2003的IPSEC的身份驗證只是針對計算機，不能實現(xiàn)第3點功能，即針對用戶進行身份驗證，要想實現(xiàn)只能另辟溪徑。在這里我們使用windows 2008的IPSec可以輕松搞定。    Windows Server 2008的IPSec和高級安全Windows防火墻（以下簡稱

3、WFAS），集中到了一起，如下圖所示： 在“連接安全規(guī)則”里可以設(shè)置IPSec策略。具體的打開方式有兩種：1. 利用MMC，添加刪除管理單元-WFAS即可（適合于vista、WIN7）2. 管理工具-WFAS（適合于windows 2008）注意：通過WFAS新建的“連接安全規(guī)則”，只適用于windows 2008、vista、win7，如果使用原來的IPSec，只能通過IP安全策略管理來完成，即在MMC中添加IP安全策略管理。解決思路：由于企業(yè)是域環(huán)境，所以我們通過域中的組策略統(tǒng)一為客戶端部署IPSec。首先我們需要在DC上利用ADUC新建一個GPO，并鏈接到域上。然后在這個GPO

4、中設(shè)置相應的策略即可。這樣域里的所有客戶端均要加載，包括DC自己，但在本例中DC和其它客戶端的通信不需要IPSEC加密，因此DC在我們免除列表里（即不需要身份驗證和加密通信）。一、在DC上新建GPO，取名為IPSec，鏈接到域上。打開gpmc.msc后，如下圖所示：單擊后，如下圖所示，輸入名字：再次單擊確定，然后在此GPO上右擊，如下圖所示：選擇“編輯”，如下圖所示：對于windows2008、vista、win7我們可以選擇“連接安全規(guī)則”來設(shè)置IPSEC通信，如果是老版本的操作系統(tǒng)，我們可以選擇“IP安全策略.”這一項進行設(shè)置。二、創(chuàng)建免除列表通信規(guī)則1. 右擊“連接安全規(guī)則”，選擇“新規(guī)

5、則”，如下圖所示：如下圖我們選擇第二項，所示： 選擇第二項的含義，指的是這個通信不需要進行身份驗證。單擊下一步：在這里，我們需要輸入不進行身份驗證的計算機的IP或地址范圍，再次單擊下一步，如下圖所示：選擇默認不變，將這個應用于這三種環(huán)境，再次單擊下一步，如下圖所示，并給這條規(guī)則取名，單擊完成。注意，設(shè)置完這條規(guī)則后，一定要使所有的客戶端加載此條策略設(shè)置，有三種方法：第一種方法，客戶端運行g(shù)pupdate /force，包括DC第二種方法，客戶端等一段時間，一般是90-120分鐘不等第三種方法，所有客戶端重啟。當然在企業(yè)里我們部署時，建議做完上述后，第二天或等一段時間后，再進行下面的第

6、三步。  在這里，我們是實驗環(huán)境，直接在DC和客戶端上運行Gpupdate /force就可以了。  運行完后，建議在客戶端上ping 下DC，正常能通信就OK了。注意：這個通信是不使用IPSEC進行身份驗證和加密的。三、創(chuàng)建域內(nèi)IPSec通信規(guī)則同上所述，我們再次創(chuàng)建一條IPSEC規(guī)則，如下圖所示：我們選擇“隔離”，意味著必須要進行身份驗證和加密通信，否則將不允許通信。單擊下一步，如圖所示我們選擇第三項，意味著通信雙方不管如何訪問（入站或出站），均需身份驗證。單擊下一步，如下圖所示：我們選擇相應的身份驗證方式，第二項，即用戶或計算機均需要Kerberos V5，

7、只有在域環(huán)境下方可進行。單擊下一步，如下圖所示：再次單擊下一步，如下圖，我們?nèi)∶螅瑔螕敉瓿?。做完后，如下圖，我們已經(jīng)有了兩條策略規(guī)則：讓我們的所有客戶端都立即應用一下，gpupdate /force吧。四、測試我們怎么知道客戶端是否應用了相應的組策略了呢？兩種方式得知：1. 打開客戶端的WFAS，展開如下圖所示，看有沒有在域的GPO上所設(shè)置的兩條規(guī)則：2. 我們在w08c上ping 一下w08b和w08a，如：其實你在快速模式中也可以看到。這里主模式和快速模式是IPSEC通信的兩個階段。五、排除ICMP通信，完成實驗。但我們企業(yè)要求ICMP的通信不需要身份驗證和加密，因此我們再次回到DC的組策略管理控制臺，再次編輯IPSEC這個GPO，如下圖所示：選擇“屬性”后，如下圖所設(shè)置即可：  全部實驗結(jié)束！小結(jié)：其實這個實驗難度并不大，關(guān)鍵在于合理的應用組策略來統(tǒng)一設(shè)置IPSEC。其中有兩條策略，這兩條策略一定不能先做第二條，否則你會發(fā)現(xiàn)實驗不成功，原理很簡單，記住一點，在企業(yè)環(huán)境里，有一些特殊