Cara untuk menggunakan Internet protokol keamanan aman lalu-lintas jaringan antara dua host pada Windows 2000

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 301284 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini adalah instruksi langkah demi langkah panduan untuk mengaktifkan Advanced pengguna untuk mengkonfigurasi keamanan protokol Internet (IPSec) sehingga mereka dapat Secure komunikasi antara dua komputer.

IPSec terminologi

Memastikan bahwa Anda tahu maksud istilah berikut sebelum Anda menjalankan instruksi berikut:
  • Otentikasi: Proses untuk menentukan jika identitas komputer sah. Windows 2000 IPSec mendukung tiga jenis dari otentikasi: Kerberos, sertifikat, dan kunci preshared. Kerberos otentikasi dapat bekerja hanya jika kedua Endpoint (komputer) adalah sama dalam satu Domain Windows 2000. Jenis otentikasi adalah metode yang disukai. Jika komputer berada dalam domain yang berbeda, atau setidaknya salah satu dari mereka tidak di domain, Anda harus menggunakan sertifikat atau tombol preshared. Sertifikat dapat bekerja hanya jika endpoint masing-masing berisi sertifikat yang ditandatangani oleh otoritas yang endpoint lain percaya. Kunci preshared memiliki masalah yang sama bahwa password melakukan: mereka tidak tetap rahasia untuk jangka waktu yang sangat lama. Jika Endpoint tidak berada dalam domain yang sama dan Anda tidak dapat memperoleh sertifikat, kunci preshared adalah satu-satunya pilihan otentikasi.
  • Enkripsi: Proses pembuatan data tidak jelas dalam Persiapan untuk transmisi antara dua Endpoint. Dengan menggunakan diuji dengan baik algoritma, masing-masing titik akhir konstruksi dan pertukaran kunci kriptografi. The proses menjamin bahwa hanya Endpoint tahu tombol; dan jika setiap pertukaran kunci urutan dicegat, pencegat memperoleh apa-apa tentang nilai.
  • Filter: Deskripsi dari Internet Protocol (IP) alamat dan protokol yang dapat memicu pembentukan keamanan IPSec Asosiasi.
  • Menyaring tindakan: persyaratan keamanan yang dapat diaktifkan ketika lalu lintas cocok dengan filter dalam daftar penyaring.
  • Saringan: koleksi filter.
  • Kebijakan keamanan Internet Protocol: kumpulan aturan yang menggambarkan bagaimana komunikasi antara komputer dijamin.
  • Aturan: Link antara saringan dan penyaring tindakan. Ketika lalu lintas cocok saringan, penyaring tindakan yang terkait dapat dipicu. Kebijakan IPSec dapat berisi beberapa aturan.
  • Keamanan Asosiasi: koleksi otentikasi dan metode enkripsi yang Endpoint bernegosiasi untuk mendirikan aman sesi.

Menemukan IPSec di Microsoft Management Console

Anda mengkonfigurasi IPSec dengan menggunakan konsol manajemen Microsoft (MMC). Windows 2000 menciptakan MMC dengan IPSec snap-in selama instalasi proses. Untuk menemukan IPSec, klik Mulai, arahkan ke Program, klik Alat administratif, lalu klik Kebijakan keamanan lokal. Di MMC yang terbuka, klik Kebijakan keamanan IP pada mesin lokal dalam pane kiri. Kemudian, MMC menampilkan yang ada kebijakan default dalam pane kanan.

Mengubah alamat IP, nama komputer dan nama pengguna

Untuk keperluan contoh ini, Alice adalah pengguna yang telah komputer bernama "Alicepc" dengan alamat IP 172.16.98.231 dan Bob telah komputer bernama "Bobslap" dengan alamat IP 172.31.67.244. Mereka menghubungkan komputer mereka oleh menggunakan Abczz program.

Alice dan Bob harus memastikan bahwa lalu lintas dienkripsi ketika mereka secara langsung terhubung ke satu sama lain dengan menggunakan Abczz program. Ketika Abczz membuat koneksi, inisiator menggunakan port tinggi acak pada dirinya sendiri dan menghubungkan (untuk keperluan contoh ini) untuk tujuan pada pelabuhan 6667/TCP atau 6668/TCP (di mana TCP adalah singkatan untuk transmisi Control Protocol). Biasanya, port ini digunakan untuk Internet Relay Chat (IRC). Karena baik Alice atau Bob dapat memulai koneksi, kebijakan harus ada pada kedua ujungnya.

Membuat daftar Filter

Menu untuk menciptakan IPSec kebijakan dapat diakses jika Anda Klik kanan Kebijakan keamanan IP di konsol MMC. Pertama menu item adalah "membuat kebijakan keamanan IP." Meskipun lokasi ini mungkin tampak menjadi tempat untuk memulai, hal ini tidak benar lokasi. Sebelum Anda dapat membuat kebijakan dan aturan terkait, Anda harus menentukan penyaring daftar dan filter tindakan, yang diperlukan komponen dari kebijakan IPSec. Mulai pekerjaan Anda oleh mengklik Mengelola daftar penyaring IP dan menyaring tindakan.

Kotak dialog yang ditampilkan memiliki dua tab: satu untuk penyaring daftar dan lain untuk penyaring tindakan. Pertama, Mengelola daftar penyaring IPtab terbuka. Sudah ada dua daftar penyaring yang tidak digunakan. Sebaliknya, Anda dapat membuat daftar filter khusus yang sesuai dengan yang lain komputer yang Anda ingin terhubung ke.

Asumsikan bahwa Anda membuat kebijakan di komputer yang dimiliki oleh Alice:
  1. Klik Tambahkan untuk membuat daftar filter baru. Nama daftar "Abczz untuk Bob PC".
  2. Klik Tambahkan untuk menambahkan penyaring baru. Wizard dimulai.
  3. Klik Alamat IP saya sebagai sumber.
  4. Klik alamat IP tertentu sebagai tujuan, dan kemudian Masukkan alamat IP (172.31.67.244) dari komputer yang dimiliki oleh Bob. Atau, jika komputer yang milik Bob terdaftar di Domain Name System (DNS) atau layanan nama Internet Windows (WINS), Anda dapat memilih DNS tertentu nama, dan kemudian masukkan nama komputer yang dimiliki oleh Bob Sebaliknya, yang adalah "Bobslap".
  5. Abczz menggunakan TCP untuk komunikasi yang, jadi klik TCP sebagai jenis protokol.
  6. Untuk port protokol IP, klik Dari semua port. Klik Untuk port ini, ketik: 6667, lalu klik Menyelesaikan untuk menyelesaikan Wisaya.
  7. Ulangi langkah-langkah sebelumnya, kecuali jenis waktu:6668 sebagai nomor port, dan kemudian klik Tutup.
Daftar penyaring berisi dua filter: satu untuk komunikasi dari Alice untuk Bob pada port 6667 (yang termasuk Bob) dan satu di pelabuhan 6668 (yang milik Bob). (Bob memiliki kedua port 6667 dan 6668 membuat nya komputer: satu port adalah untuk keluar komunikasi dan lainnya untuk masuk komunikasi.) Filter ini cermin, yang merupakan umumnya diperlukan setiap kali Anda membuat penyaring IPSec. Untuk setiap filter yang dicerminkan, daftar dapat berisi (tetapi tidak menampilkan) tepat berlawanan penyaring di mana sumber dan tujuan alamat terbalik. Tanpa filter cermin, IPSec komunikasi biasanya gagal.

Buat penyaring tindakan

Anda telah menetapkan jenis lalu lintas yang harus diamankan. Sekarang Anda harus menetapkan mekanisme keamanan. Klik Mengelola penyaring tindakan tab. Ada tiga default yang terdaftar. Alih-alih menggunakan The Memerlukan keamanan tindakan, Anda harus membuat tindakan baru yang lebih ketat.

Untuk membuat tindakan baru:
  1. Klik Tambahkan untuk membuat penyaring tindakan baru. Wizard dimulai. Nama tindakan "Mengenkripsi Abczz".
  2. Untuk General pilihan, klik Bernegosiasi keamanan, dan kemudian klik Tidak berkomunikasi dengan komputer yang tidak mendukung IPSec.
  3. Klik Tinggi untuk keamanan trafik IPpilihan, dan kemudian klik Menyelesaikan untuk menutup wizard.
  4. Klik dua kali aksi penyaring baru (yang Anda sebelumnya bernama "Mengenkripsi Abczz").
  5. Klik untuk menghapus Menerima komunikasi tanpa jaminan, tapi selalu menanggapi menggunakan IPSec kotak centang. Langkah ini menjamin bahwa komputer harus bernegosiasi IPSec sebelum Abczz paket dikirim.
  6. Klik Sesi kunci sempurna maju kerahasiaanuntuk memastikan bahwa bahan kunci tidak kembali, klik Oke, lalu klik Tutup.

Membuat kebijakan IPSec

Anda telah memperoleh unsur-unsur kebijakan. Sekarang Anda dapat membuat kebijakan itu sendiri. Klik kanan pada pane kanan MMC, dan kemudian klik Membuat kebijakan keamanan IP. Ketika Wisaya dimulai:
  1. Nama kebijakan "Alice's IPSec".
  2. Klik untuk menghapus Mengaktifkan respon default aturan kotak centang.
  3. Klik Mengedit properti Jika tidak dipilih, dan kemudian menyelesaikan Wisaya. The Properti kotak dialog kebijakan membuka.
IPSec kebijakan untuk bekerja, itu harus berisi setidaknya satu aturan yang link daftar penyaring untuk penyaring tindakan.

Untuk menentukan aturan di Properti kotak dialog:
  1. Klik Tambahkan untuk membuat aturan baru. Ketika Wisaya dimulai, klik Ini aturan tidak menentukan sebuah terowongan.
  2. Klik Jaringan area lokal (LAN) untuk jenis jaringan.
  3. Klik Default Windows 2000 (Kerberos V5 protokol) metode otentikasi jika kedua komputer Alice dan Bob di domain Windows 2000 yang sama. Jika tidak, klik Menggunakan ini string untuk melindungi pertukaran kunci (preshared kunci), dan kemudian masukkan string (menggunakan rangkaian panjang yang dapat Anda ingat dan ketik tanpa membuat kesalahan).
  4. Pilih daftar penyaring yang Anda buat sebelumnya. Dalam hal ini contoh, daftar penyaring adalah "Abczz untuk Bob PC". Kemudian, pilih penyaring tindakan yang Anda buat sebelumnya. Dalam contoh ini, penyaring tindakan adalah "enkripsi Abczz".
  5. Menyelesaikan Wisaya, dan kemudian klik Tutup.

Mengkonfigurasi Endpoint lain

Ulangi pada komputer yang dimiliki oleh Bob semua sebelumnya prosedur yang diterapkan pada komputer yang dimiliki oleh Alice. The diperlukan perubahan jelas, misalnya, "Abczz untuk Bob PC" harus berubah untuk "Abczz ke Alice's PC".

Menetapkan kebijakan

Yang sudah Anda tetapkan kebijakan pada kedua ujungnya. Sekarang Anda harus menetapkan mereka:
  1. Dalam Pengaturan keamanan lokal MMC, Klik kanan (kebijakanAbczz dalam contoh ini).
  2. Klik Menetapkan.
Hanya satu IPSec kebijakan dapat diberikan pada satu waktu, tapi satu kebijakan dapat memiliki banyak aturan yang Anda butuhkan. Sebagai contoh, jika Alice juga kebutuhan komunikasi dengan malam dengan menggunakan protokol yang berbeda, Anda harus membuat daftar sesuai filter dan tindakan, dan kemudian menambahkan aturan untuk IPSec (yang termasuk Alice) yang menghubungkan bersama bahwa saringan khusus dan menyaring tindakan. Klik Menggunakan kunci bersama berbeda untuk ini aturan. Kebijakan untuk Alice sekarang memiliki dua aturan: satu untuk Abczz komunikasi dengan Bob dan satu lagi untuk komunikasi dengan Hawa. Karena Bob dan Hawa tidak perlu berkomunikasi aman untuk satu sama lain, kebijakan untuk Bob tidak memiliki apa pun yang ditambahkan ke dalamnya, dan kebijakan untuk malam berisi satu aturan untuk komunikasi dengan Alice.

Pemecahan Masalah

Gunakan IPSecMon untuk menguji kebijakan Anda

Windows 2000 mencakup sebuah utilitas (IPSecMon.exe) yang dapat Anda gunakan untuk menguji apakah IPSec keamanan Asosiasi berhasil didirikan. Pada mulai IPSecMon:
  1. Klik Mulai, lalu klik Menjalankan.
  2. Jenis: ipsecmon, kemudian tekan MASUKKAN.
  3. Klik Opsi.
  4. Mengubah interval refresh untuk 1.
Anda harus menetapkan komunikasi dari satu endpoint untuk lain. Ada penundaan karena itu memerlukan waktu beberapa detik untuk Endpoint untuk pertukaran informasi kriptografi dan lengkap Asosiasi keamanan. Anda dapat mengamati perilaku ini di IPSecMon. Ketika Endpoint setiap membangun mereka Asosiasi keamanan, Anda dapat melihat entri di IPSecMon yang menampilkan ini perilaku.

Jika Anda mengharapkan Asosiasi keamanan dibangun, tapi tidak ada yang terjadi, kembali dan memeriksa daftar penyaring pada akhir masing-masing. Memastikan bahwa Anda telah menerima definisi benar untuk protokol yang Anda gunakan seperti Anda dapat dengan mudah membalikkan alamat sumber dan tujuan atau membalikkan Port. Anda mungkin ingin mempertimbangkan penciptaan penyaring baru daftar yang menentukan semua lalu lintas. Juga, Anda dapat menambahkan aturan baru untuk kebijakan yang menggunakan ini saringan, dan kemudian menonaktifkan aturan yang ada. Jalankan langkah ini pada Endpoint kedua. Kemudian, Anda dapat menggunakan ping perintah untuk menguji konektivitas: ping perintah dapat menampilkan "Negotiating keamanan IP" selama keamanan Asosiasi fase, dan kemudian menampilkan hasil normal ketika keamanan Asosiasi didirikan.

NAT dan IPSec tidak kompatibel

Jika setiap Network Address Translation (NAT) antara dua Endpoint, IPSec tidak bekerja. IPSec komprehensif endpoint alamat sebagai bagian dari muatan. IPSec juga menggunakan alamat sumber ketika menghitung checksum paket sebelum deposito paket-paket pada kabel. NAT dapat mengubah alamat sumber Paket-Paket Outbound, dan tujuan menggunakan alamat di header ketika itu menghitung checksum sendiri. Asli dihitung sumber checksum, dibawa dalam paket-paket, tidak cocok checksum dihitung tujuan, dan tujuan dapat drop paket-paket. Anda tidak dapat menggunakan IPSec dengan jenis NAT perangkat.

Properti

ID Artikel: 301284 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbhowtomaster kbmt KB301284 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:301284

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com