09-配置IPSEC.pptxVIP

6421课程：Windows Server 2008网络基础结构配置和排错第九讲：配置IPSec课程概览IPSec概览配置连接安全规则配置IPSec NAP强制IPSEC概览IPSEC优势IPSEC建议的使用方式配置IPSEC的工具什么是连接安全规则？IPSec的优势IPSec是一个安全协议套件，允许在不安全的网络中的两台计算机之间执行安全加密的通信IPSEC的两个目标：保护IP数据包，抵御网络攻击在计算机的发送方和接收方配置IPSEC使得他们能够进行安全通信IPSEC通过加密和数据签名加密网络完全IPSEC策略定义了IPSEC检查烈性，IPSEC如何加密和保证安全，IPSEC如何进行身份验证IPSEC的建议使用方式推荐使用IPSEC的场景：Authenticating and encrypting host-to-host trafficAuthenticating and encrypting traffic to serversL2TP/IPsec for VPN connectionsSite-to-site tunnelingEnforcing logical networks配置IPSEC的工具To configure IPsec, you can use:Windows Firewall with Advanced Security MMC(used for Windows Server 2008 and Windows Vista)IP Security Policy MMC (Used for mixed environments and to configure policies that apply to all Windows versions)Netsh command-line tool什么是连接安全规则？连接安全规则包括：在计算机进行通知之前的身份验证在计算机之间加密通信使用密钥交换，身份验证，数据完整性和加密防火墙规则和连接安全规则如何关联：防火墙规则允许流量通过，但是并不进行通信的安全保障连接安全规则可以确保通信的安全，但是创建了连接安全规则并不意 味着防火墙会自动打开通信端口配置连接安全规则选择连接安全规则类型什么是端点选择认证需求认证方法使用配置文件选择连接安全规则类型Rule TypeDescription隔离在定义的认证标准的基础上限制连接认证排除排除一组计算机或一个范围内的计算机而不需要身份验证用于那种需要在认证前必须进行初始化通信的计算机服务器到服务器验证两个特定的计算机，计算机组，两个子网或其他部分之间的关系隧道提供通过两个计算机的隧道的端点的安全通信自定义使得您可以创建一个特殊的安全规则DataIP HDRESPTRLRIP HDR ESPAuthESPHDREncryptedData什么是端点？IP HDRDataNewIP HDR ESPTRLRESPAuthESPHDREncryptedIP PacketESP Transport ModeESP Tunnel Mode选择认证需求OptionDescriptionRequest Authentication for inbound and outbound connections请求所有的入站/出站流量进行身份验证，但是如果身份验证失败就允许连接Require authentication for inbound connections and request authentication for outbound connections要求进行入站身份验证，否则将被阻止请求出站身份验证，但是如果身份验证失败允许连接Require authentication for inbound and outbound connections要求所有的入站/出站流量进行身份验证，否则将被阻止认证方式MethodKey PointsDefault 使用IPSEC配置的身份验证的选项卡下的默认设置Computer and User (Kerberos V5)您可以在进行通信前要求或需求用户或计算机的身份验证（域）Computer (Kerberos V5)要求或需求计算机使用Kerberos V5进行身份验证（域）User (Kerberos V5)要求或需求用户使用Kerberos V5进行身份验证（域）Computer certificate要求或需求计算机有一个有效的计算机证书，需要一个CA只接受健康证书：要求或需求一个有效的健康证书提供验证，需要IPSEC NAP方案Advanced 配置任何可用的配置方法，您可以指定第一认证和第二认证的方法使用配置文件安全设置可以根据网络位置进行动态的变更Windows支持三种类型的网络，