如何使 IPSec 通讯能够通过防火墙

文章翻译 文章翻译
文章编号: 233256 - 查看本文应用于的产品
本文的发布号曾为 CHS233256
展开全部 | 关闭全部

概要

IP Security (IPSec) 被用来实现在计算机之间安全地传输数据。 它被实施于开放式系统互联 (OSI) 模型的网络层(第 3 层)。 它为 TCP/IP 协议组中的所有 IP 及上层协议提供保护。 在第 3 层进行信息安全保护的主要好处是:使通过 IP 进行数据传输的所有程序和服务都能得到保护。

更多信息

IPSec 不会打乱原始的 IP 头信息,并且可以作为常规 IP 通讯来路由。 在通讯主机之间的数据路径中的路由器和交换器只需要简单地将数据包转发给它们的下一个目标。 但是,如果数据路径中有防火墙或网关,那么,必须在防火墙上为如下 IP 协议和 UDP 端口启用 IP 转发:
  • IP 协议 ID 50:
    同时用于传入和传出筛选器。 应当设置为允许封装安全协议 (ESP) 通讯被转发。
  • IP 协议 ID 51:
    同时用于传入和传出筛选器。 应当设置为允许身份验证标头 (AH) 通讯被转发。
  • UDP 端口 500:
    同时用于传入和传出筛选器。 应当设置为允许 ISAKMP 通讯被转发。
L2TP/IPSec 通讯在线路上类似于 IPSec 通讯。 防火墙必须允许 IKE (UDP 500) 和 IPSec ESP 格式的数据包(IP 协议 = 50)。

可能需要允许 Kerberos 通信通过防火墙,这样的话 UDP 端口 88 和 TCP 端口 88 还需要进行转发。 有关其它信息,请单击下列文章编号查看相应的 Microsoft Knowledge Base 文章:
253169 Traffic That Can--and Cannot--Be Secured by IPSec
254949 Client-to-Domain Controller and Domain Controller-to-Domain Controller IPSec Support
254728 IPSec Does Not Secure Kerberos Traffic Between Domain Controllers

属性

文章编号: 233256 - 最后修改: 2003年10月7日 - 修订: 1.1
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
关键字:?
kbinfo kbenv kbnetwork KB233256
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com