文章編號: 265112 - 上次校閱: 2007年10月12日 - 版次: 11.6

在 Windows 2000 中的 IPsec 和 L2TP 實作

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您,IP 通訊協定安全性 (IPsec) 以及它在 Windows 2000 及 Windows Server 2003 中的實作。它也討論 IPsec 並 Layer 2 與第三方廠商產品的通道通訊協定 (L2TP) 互通。
回此頁最上方

其他相關資訊

IPsec 的描述

IPsec 是設計用來加密資料,如從修改及解譯保護資料的兩部電腦之間傳輸機密。IPsec 是防禦的索引鍵的線條的內部的私人網路和外部攻擊。 雖然大部分的網路安全性策略有致力於防止從組織的網路外部的攻擊,極大的機密資訊可以遺失由解譯資料在網路上的內部攻擊。大部分的資料不保護傳輸機密在網路上因此支援員工成員或訪客的員工可能不能插入您的網路和複製資料,供稍後分析。它們也可以裝載網路層級的攻擊,對其他電腦。防火牆通常提供沒有防護,以對抗這類內部威脅,以便使用 IPsec 提供大幅更高的安全性,為公司的資料。

IPsec 是的安全性,讓系統管理員能夠監視流量、 檢查地址,並套用至 IP 資料封包,不管哪一個程式的各種安全性方法的服務會產生資料。

使用 IP 篩選,IPsec 會檢查位址、 連接埠及傳輸通訊協定的所有 IP 封包。本機或群組原則中所包含的規則告訴 IPsec 若要忽略或安全的定址及通訊協定的資訊而定的特定封包。
回此頁最上方

在 Windows 2000 及 Windows Server 2003 中的 IPsec 實作

在 Windows 2000 和 Windows Server 2003 中,將只會包含 IPsec 和網際網路金鑰交換 (IKE)。這些作業系統遵守 IPsec RFC 套件 (2401年 +),儘可以第一版--仍然有某些方面不已實作的 RFC。它是緊密地整合這些作業系統來說在例如 TCP/IP 堆疊裝置隨插即用插憑證服務 」 和 「 密碼編譯模組 (CAPIv2) 以及某些範圍內的目錄為基礎的 IPsec 原則傳遞的群組原則的許多其他方面。

只 L2TP 根據預設值使用 IPsec 來保護是通道的 UDP 1701 IP 封包。IPsec 並不包含在 Microsoft Windows 98。IPsec 和相關的服務在 Windows 2000 及 Windows Server 2003 中聯合開發由 Microsoft 和 Cisco 系統,Inc.L2TP 實作本身已由 Microsoft 所執行,並與 IPsec 整合之後 Beta 2。

元件

  • IPsec 驅動程式,監視、 篩選器,以及保護流量。
  • [網際網路安全性關聯金鑰管理通訊協定 (ISAKMP/Oakley) 金鑰交換及管理服務監督主機,之間的安全性交涉,並提供安全性的演算法使用的快速鍵。
  • 原則代理程式,尋找的原則,並會將它們送到 IPsec 驅動程式和 ISAKMP。
  • 從這些原則定義兩個主機進行通訊的安全性環境衍生 IP 安全性原則及安全性關聯。
  • 安全性關聯 API,提供 IPsec 驅動程式、 ISAKMP 和原則代理程式之間的介面。
  • 建立原則,管理工具監視 IP 安全性統計資料和記錄 IP 安全性事件。

元件的互動

  • IP 封包符合 IP 篩選器之一部份的 IP 安全性原則。
  • IP 安全性原則可以有數個選擇性的安全性方法。IPsec 驅動程式必須知道要使用安全的封包哪一個方法。IPsec 驅動程式要求 ISAKMP 交涉安全性方法和安全性金鑰。
  • ISAKMP 會交涉安全性方法,並將其與安全性金鑰傳送至 IPsec 驅動程式。
  • 方法和索引鍵會成為 IPsec 安全性關聯 (SA)。IPsec 驅動程式會將此 SA 儲存在其資料庫。
  • 這兩種通訊的主機需要安全的或不安全的 IP 流量,所以兩者都需要知道儲存 SA。

IP 安全性方法

IP 安全性方法會套用至 IP 封包在 IPsec 驅動程式。有兩種可用於,分別或 unison 中的安全性方法。兩種方法是:
  • 透過索引鍵的雜湊 (HMAC) 的資料及位址完整性
  • 資料完整性加上透過加密的機密性

IPsec 原則設定

您可以使用 Microsoft 管理主控台 (MMC) 可以用來增加使用的設定 '原則' 建置用戶端和伺服器或路由器上的單點傳播 IP 流量保護。您可以在本機 (透過使用 [本機電腦] 嵌入式管理單元上的 [IP 安全性原則]) 設定此原則或在 Active Directory 中 (使用 [Active Directory 上的 [IP 安全性原則工具)。當您將原則套用 IPsec 會使用封包篩選器來判斷哪一個流量到安全,區塊或許可。當它保護流量時,IKE 用來交涉安全性設定及執行密碼編譯金鑰交換和 IPsec SA 建立自動重設金鑰。IPsec 的函式至圖層上方 IP 盡可能透明的。

如果 IPsec 原則指定它,IKE 可以使用 Windows Kerberos 5 安全性通訊協定進行電腦驗證,以避免憑證部署的需求。Windows 2000 及 Windows Server 2003 的實作根據 Derrell Piper 草稿,(如本文稍後所述)。Kerberos 不能用於 IPsec 金鑰僅供 IKE 主要模式的電腦驗證。因為不是使用者或服務票證--是電腦票證中--它應該可以運作 MIT 相容性設定任一作業系統時,所以票證中使用沒有 Kerberos 延伸模式的 Kerberos 5 與成員 Kerberos 5 領域的其他電腦。 如需詳細資訊請參閱下列網站:
http://technet.microsoft.com/en-us/windowsserver/2000/bb735396.aspx (http://technet.microsoft.com/en-us/windowsserver/2000/bb735396.aspx)
http://technet.microsoft.com/en-us/library/bb742432.aspx (http://technet.microsoft.com/en-us/library/bb742432.aspx)
http://www.ietf.org/ (http://www.ietf.org)
Microsoft 提供協力廠商連絡資訊可協助您尋找技術支援。 此連絡人資訊若有變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。

IPsec API 和原則

Windows 2000 及 Windows Server 2003 IPsec API 和原則結構描述尚未發行還。IPsec 和 IKE 識別身分保護模式 (主要模式及快速模式) 執行不適合程式為基礎的連線導向的 API。IPsec 不是 SSL/TLS 連線導向方法通常用來保護 Web 的替代文字通訊。

Windows 2000 及 Windows Server 2003 的 '原則' 定義是一組的 IPsec 特定傳遞給,然後套用至主應用程式的設定。'原則' 暗示靜態設定/資料評估強制點接收這些設定之結束電腦上沒有的。一般的 IPsec 部署為網域系統管理員,才能在 Active Directory 中設定 IPsec 原則,視需要為用戶端、 伺服器及其他特殊用途的電腦,然後將它指派並使用群組原則系統來傳遞。您也完全可以設定 IPsec 原則。

Microsoft 打算來變更原則儲存體格式,在未來版本的 Windows 中。因此,目錄的 Windows IPsec 原則及本機登錄儲存體格式會被視為 Microsoft 私用而未發行的資料結構。

您仍然可以建立 IPsec 原則的批次指令檔。 Ipsecpol.exe 是在 「 Microsoft Windows 2000 資源工具箱 」,您可以用以指令碼原則建構的命令列工具 (文件是隨附於工具)。光碟片上的 [支援工具] 資料夾中,您可以使用 netdiag.exe /test:ipsec/v/debug 命令如果要看到的 IPsec 原則的詳細資料篩選,等等 (以使用者身份指派的原則相同的權限登入)。

Future 的發行 (不一定是下一版),Microsoft 是否運作上允許 API 的 API plumb 的用戶端篩選,並提供至引擎。Microsoft 會讓 API 可用之後詳細的協力廠商設計檢閱。原則管理解決方案都能夠設計他們自己的原則格式,然後它們 plumb IPsec 系統使用 API。

工作完成的提案的 IPsec 原則模型/結構描述,為的系統管理的原則導向 API 可能支援的第一個草案。不過,廠商及興趣的客戶需要檢閱此草稿大幅以查看是否將工時模型。如需詳細資訊請參閱下列網站:
http://www.ietf.org/proceedings/01aug/slides/ipsp-3/ (http://ietf.org/proceedings/01aug/slides/ipsp-3/)
Microsoft 提供協力廠商連絡資訊可協助您尋找技術支援。 此連絡人資訊若有變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。

IPsec 互通

虛擬私人網路 (VPN) 案例 Microsoft 建議您 IPsec 通只用於閘道對閘道案例中的 L2TP/IPsec 將無法運作,和結束閘道案例 (不 VPN 遠端存取用戶端,因為它是 RFC 相容通道實作,因此不支援 IKECFG 或 XAUTH) 其中每個點有靜態的 IP 位址以及因此靜態 IPsec 規則與啟用通道的篩選器。 如需有關如何設定 Windows 2000 中的 IPSec 通道設定的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
252735? (http://support.microsoft.com/kb/252735/ ) 如何設定 Windows 2000 中的 IPsec 通道設定
雖然技術上來說,您可以設定原則來提供 IPsec 通道通訊協定,以篩選和連接埠 (因為原則組態工具是非常一般),Microsoft 不支援這些類型的通道。 不清楚地定義 IPsec 互通性。有些廠商已經決定執行他們自己的程式。這兩個下列的網站會進行交互操作性測試的程式:
http://www.icsa.net (http://www.icsa.net)
http://www.vpnc.org (http://www.vpnc.org)
Windows 2000 及 Windows Server 2003 尚未被提交至任一還。客戶要求和互通的準則用於這些測試的程式,與他們想要的方式,以使用 IPsec 的檢閱,將會決定是否 Microsoft 將適用於這些應用程式中的憑證。

建議的互通性層級

  • 通訊協定相容:
    可以藉著查看支援的選項,如: IKE 功能的技術規格和模式的作業、 驗證方法 (例如憑證廠商支援、 階層、 金鑰大小) 和安全性方法來決定 (例如 DES,3DES MD5 及 PFS)。
  • 可互通的通訊協定:
    工程師可以設定來傳送和接收資料的兩種產品的特定版本。最低版本的這是什麼要測試在廠商交互操作性研討會,最高的版本,這是產品測試團隊會做什麼。
    請注意,交互操作的研討會通常不會測試零售程式碼。已使用在最後一個 workshop,建置 2195年最終版本的 Windows 2000。workshop 交互操作的結果並非公用,因為它們工程研討會進行中開發測試產品。結果會是只以測試其程式碼工程師有意義。
  • 互通性的產品:
    客戶想要在特定的案例 (執行實際工時) 中設定的方式運作,以及會 「 operationally 驗證 」 (它符合可靠性和管理性需求和攜帶真實流量負載)。廠商的測試是可行的方法就是只針對少數的案例,幾個產品,客戶必須確認該測試,因為它們的安全性和操作需求通常都唯一。

L2TP/IPsec 互通

Windows 2000 和 Windows Server 2003 是否符合 RFC 2661 (「 第二層通道通訊協定 」)。RFC 2661 表示 L2TP 流量受到 IPsec,但並不會提供如何實作此安全性的詳細資訊。網際網路草稿文件正在正在處理,將指定保全使用 IPsec 的 L2TP 流量的詳細資料。網際網路草稿文件工作網際網路工程任務推動小組 (IETF)、 其區域和其工作小組的文的件。

因為 L2TP 保護流量與 IPsec 未啟用 (沒有為它沒有 RFC) 的標準,必須測試使用 L2TP/IPsec 這些 Windows 作業系統的互通。

使用下列的基本資訊關於使用 Windows 2000 和 Windows Server 2003 中的 IPsec 作為指引,當您測試與協力廠商的 L2TP 流量的保護:
  • 憑證用來進行電腦驗證--,仍可使用預先共用的金鑰來進行測試。
  • IPsec 傳輸模式用來保護 L2TP 流量。
  • UDP 連接埠 1701年用於來源與目的連接埠。這是未 negotiable。
Microsoft 繼續測試與根據客戶要求其他廠商的 IPsec 只和 L2TP/IPsec。如果找不到問題,將會發行 「 Microsoft 知識庫 」 文件。交互操作的資訊,請造訪下列 Microsoft 網站最新的:
http://support.microsoft.com (http://support.microsoft.com/)
即使 Microsoft 可能不具有有機會與該供應商確認,是很常見的某些廠商可以取得所有權與 Windows 2000 和 Windows Server 2003 的互通。
回此頁最上方

安全性

Microsoft 已經採取一些步驟來確保設計的品質,並已包含了內部和外部 (私人) 的設計和程式碼的實作檢閱。Microsoft 將繼續提供適當用法說明文件,以及客戶的指導。如同任何安全性] 工具很重要的使用者讀取徹底瞭解 IPsec 以及其使用線上說明及資源工具箱 」 文件。IPsec 和 IKE 會實作 IETF RFC 標準但它們仍新技術,這表示它們會下重型審查回來惡意使用者攻擊業界中。

Microsoft 建議下列動作,以維護安全的環境:
  • 安裝增強式密碼編譯更新套件,以取得所有您預期要使用 IPsec 的電腦的 3DES 加密功能。您可以下載這從下列 Microsoft 網站:
    http://windowsupdate.microsoft.com/ (http://windowsupdate.microsoft.com/)
    .
  • 請確定 IPsec 原則需要 3DES 只隱私權的 IPsec 通訊所需的位置。顯示 [DES 加密是足夠強式密碼編譯攻擊。使用 3DES 硬體加速與 IPsec 啟用網路介面卡需要高輸送量的 IPsec 保護流量的電腦。
  • 啟用安全性記錄檔稽核登入和登出問題並監控 IPsec 相關的事件 541 和 542 這些問題。
  • 監視系統記錄檔從 [IPsec 的事件來源。
  • 升級至最新的 Service Pack 發行) 時取得最新的修正檔和您的電腦元件的安全性更新。如果可用的最新 Service Pack 實驗室環境) 中進行操作驗證最終發行之前,請套用發行候選版本。立即連絡產品支援服務代表有關的問題。
  • 當您設計的 IPsec 部署時,請如最新的組態詳細資料、 已知的問題和因應措施請參閱 「 Microsoft 知識庫 (http://support.microsoft.com/search (http://search.support.microsoft.com) ) 」。
  • 監視器 Microsoft 安全性 Web 站台 (http://www.microsoft.com/technet/security (http://www.microsoft.com/technet/security) ),以保持明智的安全性新聞和修補程式。
  • 如果您認為您發現可以重現的安全性弱點,請連絡 secure@microsoft.com。請為了促進調查,盡可能提供詳細資料。
回此頁最上方

Microsoft 點的連絡人

媒體的詢問,請連絡在 425-637-9097 Waggener Edstrom。 識別您正在查詢有關 IPsec 與網路安全性。他們可連絡適當的產品管理和技術的資源,以協助您。

針對 IPsec 作為在 Windows 平台技術,請 ipsecreq@microsoft.com 來傳送電子郵件訊息。

Microsoft 客戶支援合約與能夠存取 Windows 2000 支援專業人員已透過 Windows 2000 Beta 週期課程與產品小組工作。已經部署或部署 Windows 2000 或 Windows Server 2003 IPsec 的端對端或結束路由器案例的客戶應該直接連絡他們 Microsoft 支援人員聯繫。如需有關 Microsoft 支援選項的資訊,請造訪下列 Microsoft 網站 (英文):
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;en-us;cntactms)
Microsoft 需要客戶和供應商意見來改善在平台功能。我們想要知道誰使用及如何,而您的經驗是。若要該結尾是最有幫助如果客戶擴大透過支援通道的問題。如果您是 IPsec 廠商,並且有特定的實作或交互操作問題,看到我們的逐步解說和如何開啟偵錯 「 Microsoft 知識庫 」 文件。調查之後, 互通的測試站台上別名來傳送電子郵件訊息,解釋誰會發生什麼並等等。

線上說明 (在 Windows 2000 專業版和伺服器) 的 IPsec,包含相同的內容,但它在目錄中以不同方式表示。線上說明也是可用在下列 Microsoft 網站:
http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx (http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx)
Windows 2000 Server 資源工具箱 」 是網路與伺服器管理員以 IPsec 不熟悉的方向。Windows 2000 資源工具箱 」 資訊請參閱下列 Microsoft 網站]:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx)
使用 IPsec 保護流量由端到端,以及實作的相關資訊的詳細程序是使用在下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?familyid=501a48d5-a3ee-4094-aeb4-16bbff098810 (http://www.microsoft.com/downloads/details.aspx?familyid=501a48d5-a3ee-4094-aeb4-16bbff098810)
使用 microsoft.public.win2000.networking 在 Windows 2000 網路新聞群組。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
257225? (http://support.microsoft.com/kb/257225/ ) IPsec 在 Microsoft Windows 2000 Server 中的疑難排解
259335? (http://support.microsoft.com/kb/259335/ ) 在 Windows 2000 中的基本 L2TP/IPSec 疑難排解
248750? (http://support.microsoft.com/kb/248750/ ) 建立 L2TP/IPSec 的 IPSec 原則的描述
有關 Windows 2000 為基礎的虛擬私人網路和支援 VPN 互通性,請參閱下列 Microsoft 網站:
http://technet.microsoft.com/en-us/library/bb742565.aspx (http://technet.microsoft.com/en-us/library/bb742565.aspx)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
回此頁最上方
關鍵字:?
kbmt kbinfo kbipsec kbnetwork KB265112 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:265112? (http://support.microsoft.com/kb/265112/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。