如何在 Windows 2000 中使用網際網路通訊協定安全性保護兩部主機之間的網路傳輸

文章翻譯 文章翻譯
文章編號: 301284 - 檢視此文章適用的產品。
本文曾發行於 CHT301284
全部展開 | 全部摺疊

在此頁中

結論

本文提供逐步說明指引,讓進階使用者能夠設定網際網路通訊協定安全性 (IPSec),以保護兩部主機電腦之間的通訊。

IPSec 詞彙

在執行下列指示之前,請先確定您瞭解下列名詞的意義:
  • 驗證:判斷電腦的身份是否合法的程序。Windows 2000 IPSec 支援三種驗證方式:Kerberos、憑證以及預先共用金鑰。Kerberos 驗證只能用在兩個結束點 (電腦) 都位於相同 Windows 2000 網域的情況中。這種驗證是其中較佳的方式。如果兩部電腦位於不同網域,或者其中至少一部電腦不在網域中,您就只能選擇使用憑證或預先共用金鑰。憑證只能用在每個結束點都含有由另一個結束點所信任的授權單位簽署的憑證。預先共用金鑰有著與密碼相同的問題:無法維持長時間的保密。如果結束點不在相同網域中,並且您無法取得憑證,那麼就只剩下預先共用金鑰這個驗證選擇了。
  • 加密:使資料變得不容易辨識,以便在兩個結束點之間傳輸的程序。利用經過完整測試的演算法,兩邊的結束點會建構及交換密碼編譯金鑰。這個程序可以確保只有結束點知道金鑰;如果交換金鑰的過程遭到攔截,攔截者也無法得到任何值。
  • 篩選器:可以觸發建立 IPSec 安全性關聯程序的網際網路通訊協定 (IP) 位址和通訊協定的描述。
  • 篩選器動作:可以在傳輸流量符合篩選器清單中的篩選器時加以啟用的安全性需求。
  • 篩選器清單:篩選器的集合。
  • 網際網路通訊協定安全性原則:規則的集合,說明如何保護電腦之間的通訊。
  • 規則:篩選器清單與篩選器動作之間的連結。當傳輸與某個篩選器清單相符時,可能觸發對應的篩選器動作。IPSec 原則可以含有多個規則。
  • 安全性關聯:驗證與加密方法的集合,由兩個結束點所協商出來,以建立安全的工作階段。

在 Microsoft Management Console 中尋找 IPSec

IPSec 是從 Microsoft Management Console (MMC) 設定的。Windows 2000 會在安裝期間使用 IPSec 嵌入式管理單元建立 MMC。如果要找出 IPSec,請按一下 [開始],指向 [程式集],再按 [系統管理工具],然後按一下 [本機安全性原則]。在開啟的 MMC 中,按一下左窗格中的 [本機電腦上的 IP 安全性原則]。接著,MMC 會在右窗格中顯示現有的預設原則。

變更 IP 位址、電腦名稱和使用者名稱

舉例來說,使用者 Alice 的電腦名為 "Alicepc",IP 位址為 172.16.98.231,Bob 的電腦名為 "Bobslap",IP 位址為 172.31.67.244。這兩位使用者的電腦都使用 Abczz 程式連線。

在使用 Abczz 程式直接相連之前,Alice 和 Bob 必須確定傳輸已加密。當 Abczz 建立連線時,啟動此程序的使用者會使用隨機高位連接埠並連線 (此範例的目的) 至連接埠 6667/TCP 或 6668/TCP 上的目的地 (TCP 是「傳輸控制通訊協定」的縮寫)。這些連接埠通常都用於「多人線上交談系統」(Internet Relay Chat,IRC)。由於 Alice 和 Bob 都能啟動連線,因此兩端都必須有此原則。

建立篩選器清單

在 MMC 主控台中,用滑鼠右鍵按一下 [IP 安全性原則],就會出現建立 IPSec 原則的功能表。第一個功能表項目是 [建立 IP 安全性原則]。這個位置看起來似乎是正確的起點,但實際上並不是。在建立原則及關聯的規則之前,您必須先定義篩選器清單及篩選器動作,這些都是 IPSec 原則的必要元件。要開始這項工作,請按一下 [管理 IP 篩選器清單和篩選器動作]

隨即出現的對話方塊中有兩個索引標籤:一個用於定義篩選器清單,另一個用於篩選器動作。首先,[管理 IP 篩選器清單] 索引標籤會開啟。這裡已經有兩個預先定義的篩選器清單,但是您用不到。不過,您可以建立特定篩選器清單,對應到您要連線的另一部電腦。

假設您在屬於 Alice 的電腦上建立原則:
  1. 按一下 [新增] 建立新的篩選器清單。將此清單命名為 "Abczz to Bob's PC"。
  2. 按一下 [新增] 以新增篩選器。此時會出現一個精靈。
  3. 按一下 [我的 IP 位址] 作為來源。
  4. 按一下特定 IP 位址作為目的地,再輸入 Bob 電腦的 IP 位址 (172.31.67.244)。如果 Bob 的電腦已在網域名稱系統 (DNS) 或 Windows Internet 名稱服務 (WINS) 中登錄,您可以選取特定的 DNS 名稱,然後改為輸入屬於 Bob 的電腦名稱,即 "Bobslap"。
  5. Abczz 使用 TCP 進行通訊,因此,請按一下 [TCP] 作為通訊協定類型。
  6. 如果是 IP 通訊協定連接埠,請按一下 [從任意連接埠]。按一下 [到這個連接埠],輸入:6667,再按一下 [完成] 以完成此精靈。
  7. 重複執行前述步驟,但這次輸入:6668 作為連接埠編號,再按一下 [關閉]
您的篩選器清單包含兩個篩選器:一個使用連接埠 6667 (屬於 Bob) 用於從 Alice 到 Bob 的通訊,另一個使用連接埠 6668 (屬於 Bob)(Bob 的電腦上已經設定了連接埠 6667 和 6668:一個用於連出的通訊,另一個用於連入的通訊)。這些篩選器已經過鏡像處理,您在建立 IPSec 篩選器時通常都必須使用。就每個鏡像處理的篩選器而言,清單可以包含 (但不顯示) 完全相反的篩選器,其中的來源和目的地位址恰好相反。如果少了鏡像處理的篩選器,IPSec 通訊通常都無法成功。

建立篩選器動作

現在,您已經定義好要保護的傳輸類型。接下來必須指定安全性機制。按一下 [管理篩選器動作] 索引標籤。其中列出了三個預設值。您必須建立更嚴格的動作,而不是使用 [需要安全性] 動作。

如果要建立新動作:
  1. 按一下 [新增],以建立新的篩選器動作。此時會出現一個精靈。請將此動作命名為 "Encrypt Abczz"。
  2. [一般] 選項中按一下 [交涉安全性],然後按一下 [不要和不支援 IPsec 的電腦進行通訊]
  3. 按一下 [將 IP 傳輸設定成高度安全性] 選項,然後按一下 [完成] 關閉精靈。
  4. 按兩下新的篩選器動作 (即先前命名為 "Encrypt Abczz" 的動作)。
  5. 按一下以清除 [接受無安全性的通訊,但永遠使用 IPsec 來回應] 核取方塊。這個步驟可以確保在送出 Abczz 封包之前,電腦必須先協商好 IPSec。
  6. 按一下 [工作階段識別碼完整轉寄密碼],以確保金鑰資料不會重複使用,再按 [確定],然後按一下 [關閉]

建立 IPSec 原則

現在您已經取得原則元素。接下來就可以建立原則了。用滑鼠右鍵按一下 MMC 的右窗格,然後按一下 [建立 IP 安全性原則]。精靈啟動之後:
  1. 將此原則命名為 "Alice's IPSec"。
  2. 按一下以清除 [啟動預設的回應規則] 核取方塊。
  3. 如果尚未選取 [編輯內容],請按一下選取,然後完成精靈。此時原則的 [內容] 對話方塊會開啟。
為了讓 IPSec 原則正常運作,其中必須至少含有一個規則,將篩選器清單連結到篩選器動作。

如果要在 [內容] 對話方塊中指定規則:
  1. 按一下 [新增] 建立新規則。精靈啟動之後,請按一下 [這個規則並沒有指定 IPsec 通道]
  2. 按一下 [區域網路 (LAN)] 作為網路類型。
  3. 如果 Alice 和 Bob 的電腦位於相同的 Windows 2000 網域,請按一下 [Windows 2000 預設值 (Kerberos V5 protocol)] 作為驗證方法。如果不是,請按一下 [使用這個字串來保護金鑰間的交換(預先共用金鑰)],再輸入字串 (請使用自己記得住的長字串正確無誤地輸入)。
  4. 選取先前所建立的篩選器清單。在此範例中即為 "Abczz to Bob's PC"。然後,選取先前建立的篩選器動作。在此範例中即為 "Encrypt Abczz"。
  5. 完成此精靈,然後按一下 [關閉]

設定其他結束點

請將先前套用至 Alice 電腦上的所有程序,重複套用到 Bob 的電腦。必要的變更相當明顯,例如 "Abczz to Bob's PC" 必須改為 "Abczz to Alice's PC"。

指派原則

現在,您已經在兩端定義好原則。接下來必須指派原則:
  1. [本機安全性設定值 MMC] 中,用滑鼠右鍵按一下此原則 (此範例中為 [Abczz])。
  2. 按一下 [指派]
一次只能指派一個 IPSec 原則,但是單一原則的規則數目並沒有限制。例如,如果 Alice 也需要以不同的通訊協定與 Eve 進行安全通訊,您就必須建立適當的篩選器清單和動作,然後在連結該特定篩選器清單與篩選器動作的 IPSec (屬於 Alice) 中新增規則。按一下 [此規則使用不同的共用金鑰]。現在 Alice 的原則中有兩個規則:一個用於與 Bob 之間的 Abczz 通訊,另一個用於與 Eve 的通訊。由於 Bob 和 Eve 之間不需要安全通訊,因此 Bob 的原則中不需要新增任何規則,而 Eve 的原則中也只有一個與 Alice 通訊所用的規則。

疑難排解

使用 IPSecMon 來測試原則

Windows 2000 附有一個公用程式 (IPSecMon.exe),可以用來測試 IPSec 安全關聯是否成功地建立。如果要啟動 IPSecMon:
  1. 按一下 [開始],再按一下 [執行]
  2. 輸入:ipsecmon,然後按下 ENTER。
  3. 按一下 [選項]
  4. 將重新整理的間隔變更為 1
您必須建立從一個結束點到另一個結束點的通訊。由於兩個結束點需要一些時間才能交換密碼編譯資訊並完成安全性關聯,因此可能會有點延遲。您可能會在 IPSecMon 中發現這種情形。兩個結束點個別建置安全性關聯時,您可以在 IPSecMon 中看到顯示此動作的項目。

如果您預期會建立安全性關聯,但沒有任何回應,請查看兩個結束點的篩選器清單。因為您可以輕易地反轉來源與目的地位址或反轉連接埠,所以,請確認您已經收到所使用通訊協定的正確定義。您可以考慮建立指定所有傳輸的新篩選器清單。同時,您可以在使用此篩選器清單的原則中新增新的規則,然後停用現有的規則。請在兩個結束點上執行這些步驟。然後,您可以使用 ping 命令來測試連線能力:ping 命令會在安全性關聯階段顯示「正在交涉 IP 安全性」,在安全性關聯建立好之後,就會改為顯示正常的結果。

NAT 和 IPSec 不相容

如果兩個結束點之間有任何網路位址轉譯 (NAT),IPSec 就無法正常運作。IPSec 會將結束點位址內嵌成為承載的一部份。將封包儲放至線上之前,IPSec 計算封包總和檢查碼時,也會用到來源位址。NAT 可以變更傳出封包的來源位址,並且目的地在計算自己的總和檢查碼時會使用標頭中的位址。運載在封包中以原始來源所算出的總和檢查碼,與目的地所算出的總和檢查碼不符,並且目的地可以丟棄封包。IPSec 不能與任何類型的 NAT 裝置搭配使用。




屬性

文章編號: 301284 - 上次校閱: 2006年2月26日 - 版次: 4.0
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbhowto kbhowtomaster KB301284
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com