可以--并无法--通过 IPSec 进行安全通信

文章翻译 文章翻译
文章编号: 253169 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

在 Windows 2000 中的 IP 安全协议 (IPSec) 旨在确保使用其 IP 通信的两台计算机之间的 IP 通信的安全地址。它将使用在 IPSec 策略中定义的筛选器来对其进行分类的 IP 数据包。 一个数据包进行分类 (与筛选器匹配) 后,配置的筛选器操作将会发生。

更多信息

IPSec 将应用到 IP 数据包发送和接收。它们在发送时 (传出),它们应受保护,阻止,与筛选器相匹配或以明文传递数据包。 它们应当有安全,应阻止还是应传递 (允许) 在系统中以明文 (传入) 收到也匹配的数据包。

通过设计,下列类型的 IP 通信被免除,并不能由 Windows 2000 中的 IPSec 进行安全保护:
  • 广播
    要从一个发件人是未知发件人的多个接收方的通信。这种类型的数据包不能通过 IPSec 筛选器来进行分类。例如对于使用 192.168.0.x 标准 C 类子网将具有 192.168.0.255 广播的的地址。您的广播的地址取决于您的子网掩码。
  • 多址广播
    与广播通信一样有一个发件人将 IP 数据包发送到未知发件人的多个接收方。这些是从 224.0.0.0 到 239.255.255.255 的范围内的地址。
  • 资源保留协议 (RSVP)
    此通信流使用 IP 协议 46,用于提供的服务质量 (QoS) 在 Windows 2000 中。 免除的 RSVP 通信是一项要求允许 QOS 标记可能由 IPSec 保护的通信。
  • Internet 密钥交换 (IKE)
    IKE 是一种协议使用 IPSec 来安全地协商安全参数 (如果筛选器操作,指示需要协商安全) 和一个数据包与筛选器相匹配后建立共享的加密密钥。Windows 2000 始终使用用户数据报协议 (UDP) 源和目标端口 500,用于 IKE 通信。
  • Kerberos
    Kerberos 是核心 Windows 2000 安全协议通常用于 IKE 通过 IPSec 身份验证。此通信使用 TCP/UDP 协议源和目标端口 88。Kerberos 是本身不需要由 IPSec 保护的安全协议。Kerberos 免除本质上是: 如果数据包是 TCP 或 UDP,且有一个源或目标端口 = 88,允许。
注意: 这些免除项应用于有该计算机发送数据包的源地址的数据包的 IPSec 传输模式筛选器。 IPSec 隧道可以确保只有单播 IP 通信的安全。IPSec 隧道模式筛选器也不能处理多播或广播数据包。Kerberos、 IKE 或 RSVP 数据包在一个适配器上接收和路由出的另一个适配器 (通过使用数据包转发或路由和远程访问服务),如果它们不受 IPSec 隧道模式筛选器,并且可能执行在隧道内部。

有关 IKE 协议的详细信息,请参阅 RFC 2409:
http://www.ietf.org/rfc/rfc2409.txt
Microsoft 提供了第三方联系人信息可以帮助您找到技术支持。 此联系信息如有更改,恕不另行通知。Microsoft 不能保证此第三方联系人信息的准确性。

有关 RSVP 的其他信息,请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
227261资源保留协议 (RSVP) 的说明
有关 Kerberos 的详细信息,请参阅"Kerberos V5 身份验证"主题中 Windows 2000 帮助,还技术文档和有关 Kerberos 位于在下面的 Microsoft 网站:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/security/kerberos/default.mspx
有关在 Microsoft Windows Server 2003 中的 IPSec 功能的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
810207IPSec 默认免除项在 Windows Server 2003 中删除

属性

文章编号: 253169 - 最后修改: 2007年10月12日 - 修订: 6.4
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbmt kbinfo kbipsec kbnetwork KB253169 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 253169
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com