在域環境中傳輸數據

在域環境中，可以更加靈活高效地管理局域網內的資源。為了讓域成員主機之間可以安全地傳輸數據，可以針對其創建相應的連接安全規則，使其彼此可以利用IPSec來安全通信。為了保證實現上述目的，需要將域服務器排除在外，即讓域成員和域控制器之間不使用IPSec進行通訊，因為域成員無法通過IPSec與域控制器進行通訊。域成員在使用IPSec驗證域服務器之前，必須首先保證相互之間可以正常通信。對于某些不支持IPSec或者連接安全規則中的協議網絡設備（例如路由器、CA服務器、DHCP服務器等）來說，也必須將其排除在外。

在本例中，假設局域網中存在兩臺服務器，Server 1的IP 為 192.168.6.1，Server 2的IP為192.168.6.2，域控制器的IP為 192.168.6.200，域名為“xxx.com”。該網絡通過路由器（IP為192.168.6.254）和外網連接。針對不同的主機，分別為其配置合適的IP、子網掩碼、默認網關、DNS服務器等參數。首先需要確保這些網絡設備之間可以正常通信，在域控制器上點擊“開始”-“管理工具”-“組策略管理”項，在組策略管理窗口左側選擇“林：xxx.com”-“域”-“xxx.com”-“Default Domain Policy”項，在其右鍵菜單上點擊“編輯”項，在組策略管理編輯器窗口左側選擇“計算機配置”-“策略”-“Windows設置”-“安全設置”-“高級安全Windos防火墻”-“高級安全Windows防火墻”-“連接安全規則”項，在其右鍵菜單中點擊“新建規則”項，在向導窗口中選擇“身份驗證例外”項，點擊下一步按鈕，點擊“添加”按鈕，在IP地址窗口中選擇“域IP地址或子網”項，輸入需要排除的域控制器IP（本例為“192.168.6.254”）。繼續點擊“添加”按鈕，在IP地址窗口中選擇“預定義計算機集”項，在列表中選擇“默認網關”項。

注意：系統內置了一些計算機集，包括默認網關、DHCP服務器、WINS服務器、DNS服務器、本地子網等對象，便于您進行選擇。

這樣就將域控制器，網關排除在外了。在向導窗口中點擊新下一步按鈕，輸入本規則的名稱，點擊完成按鈕，執行本規則創建動作。

在組策略管理編輯器窗口中雙擊上述規則名稱，在其屬性窗口中的“計算機”面板中的“終結點1”欄中選擇“下列IP地址”項，點擊“添加”按鈕，輸入所需的IP地址，這里為“192.168.6.0/24”，在“終結點2”欄顯示默認網關和域控制器IP。這樣，就實現了指定子網中的所有主機在進行IPSec安全通信時，將默認網關和域控制器排除在外的目的。之后在域控制器、域成員主機上分別執行“gpupdata/force”命令，應用上述控制規則。在這些主機上打開高級安全Windows防火墻窗口，在左側選擇“連接安全規則”項，查看是否顯示上述控制規則。

圖5 高級身份驗證方法窗口

為了讓域成員主機之間進行IPSec通訊，在域控制器上的組策略管理編輯器窗口左側選擇“計算機配置”-“策略”-“Windows設置”-“安全設置”-“高級安全Windos防火墻”-“高級安全Windows防火墻”-“連接安全規則”項，在右鍵菜單上點擊“新建規則”項，在向導窗口中選擇“服務器到服務器”項，在下一步窗口中的“終結點1中的計算機”和“終結點2中的計算機”欄中分別選擇“下列IP地址”項，分別點擊“添加”按鈕，輸入“192.168.6.0/24”。這樣，就確定了所需的網絡范圍。點擊下一步按鈕，選擇“入站和出站連接需要身份驗證”項，在下一步窗口中選擇“高級”項，點擊“自定義”按鈕，在自定義高級身份驗證方法窗口（如圖5所示）中的“第一身份驗證方法”欄中點擊“添加”按鈕，在第一身份驗證方法窗口中選擇“計算機（Kerberos V5）”項，點擊確定按鈕保存配置信息。

注意：所謂第一身份驗證方法針對的目標是計算機身份，即相互通訊的主機。

為了加強安全性，可以對用戶身份進行安全驗證，即驗證發起數據通訊的用戶賬戶。方法是在“第二身份驗證”欄中點擊“添加”按鈕，在彈出窗口中選擇“用戶（Kerberos V5）”。這樣，在連接對方主機時，必須使用與賬戶身份來操作，在向導界面中點擊下一步按鈕，輸入本規則名稱和描述信息，點擊完成按鈕，完成本規則的創建操作。在域成員，域控制器上執行“gpupdate/force”命令，來手動應用該規則。經過以上操作后，在域成員主機之間，就可以利用IPSec來安全傳輸數據。例如在Server 1上打開高級安全Windows防火墻窗口，在左側選擇“監視”-“安全關聯”-“主模式”或者“快速模式”項，可以看到相關的IPSec通信信息。但是在其中觀察不到Server 1和域控制器，默認網關之間的IPSec連接，這是因為Server 1與這些設備之間的通訊不需要IPSec。

順便說一下，如果內網采用 NAT（Network Address Translation，網絡地址轉換）技術，可以讓局域網中多臺主機共享一個公用IP，就可以和外網主機通訊。如果采用IPSec傳輸數據的話，因為NAT會更改數據包中的頭信息，這和IPSex的要求完全相反，IPSec是不允許隨意修改數據包的頭信息的。在高級安全Windows防火墻窗口左側的“本地計算機上的高級安全Windows防火墻”節點的右鍵菜單上點擊“屬性”項，在屬性窗口的“IPSec設置”面板中點擊“IPSec默認值”欄中的“自定義”按鈕，在彈出窗口中的“數據保護”欄中選擇“高級”項，點擊“自定義”按鈕，在自定義數據保護設置窗口中點擊“添加”按鈕，在彈出窗口（如圖6）中可以看到IPSec可以使用ESP和AH兩種協議。

圖6 選擇選擇加密傳輸相關協議

對于AH信道模式中，IPSec會簽署整個數據包，因此是不允許隨意修改包中數據。而NAT在操作時，會更改數據包中的IP地址以及端口號等信息，這會導致IPSec無法正常運作。在ESP傳輸模式中，數據包頭信息雖然沒有被IPSec簽署，不過其中的端口號卻處于加密狀態無法修改，這雖然可以滿足NAT更改數據包中IP地址的需求，但是卻無法修改端口信息。不過，在大多數的Windows系統中，都可以支持NAT-T（NATTraversal，即NAT穿越）技術，該技術可以讓ESP數據包穿越NAT，因此，可以在IPSec中采用ESP傳輸信道，安全可靠地使用NAT，讓局域網中多臺主機共享一個公用IP。