郭建伟

在Windows中如何安全地传输数据，防止敏感数据被别有用心之人窃听，是数据管理不可忽视的问题。利用系统IPSec安全策略，就可以对数据传输进行加密处理，保护数据的安全性。IPSec即InternetProtocol Security、Internet协议安全）是由IETF所设计和制定的。为了保证TCP/IP协议数据传输的安全性，IPSec提供了一套完整的IP安全协议和密钥管控机制，提供了一个完善的安全体系。IPSec不仅仅是单纯的安全服务，其实更是相关安全协议的集合。

一、利用密钥安全传输数据

这里以在同一网络中两台主机之间安全传输数据为例，来说明如何使用预共享密钥安全传输数据。在Serverl主机上打开高级安全windows防火墙窗口，点击左侧的“连接安全规则”项，在右侧点击“新建规则”连接，在弹出窗口中选择“隔离”项，点击下一步按钮。如果选择“入站和出站请求身份验证”项（图1），表示数据的进出都会请求对方采用IPSec，如果对方没有提供IPSec功能导致协商失败的话，就采用普通的连接方式。如果选择“入站连接要求身份验证，出站连接请求身份验证”项，表示接收数据必须采用IPSec，否则拒绝连接。出站连接会请求对方采用IPSec，如果与对方协商失败，就采用一般的连接方式。选择“人站和出站要求身份验证”项，表示无论出站和入站连接，都必须采用IPSec，否则的话拒绝连接。

在下一步窗口中选择“高级”项，点击“自定义按钮，在弹出窗口中的“第一身份验证”栏中点击“添加”按钮，在打开窗口（图2）中选择“预共享密钥”项，输入所需的密钥。当然，在Server2主机上也必须按照同样的方法，设置相同的密钥值。在上述向导界面中点击下一步按钮，在配置文件窗口中选择本机何时应用该规则。如果选择“域”项，表示当本机连接到网络时，如果能够与域控制器通信，就应用此规则。如果选择“专用”项，表示当本机连接到专用网络时，如果无法与域控制器通信或者该机是非域成员，就应用此规则。如果选择‘公用”項，表示本机连接到公用网络时应用此规则。在下一步窗口中输入本规则的名称和描述信息，点击“完成”按钮，执行该规则的创建操作。

注意，为了在Serverl和Server2上顺利进行安全通讯，必须在双方的主机上均执行上述配置操作，创建同样的连接安全规则。在此期间，在任意主机上的高级安全Windows防火墙窗口左侧选择“监视一安全关联一主模式”或者“快速模式”项，就可以在监控界面中查看加密传输参数了，包括本机地址，远程地址、本地端口、远程端口、协议、AH完整性、ESP完整性、ESP加密等信息。如果想更改IPSec默认值的话，可以在窗口左侧的“本地计算机”节点右键菜单上点击“属性”项，在弹出窗口（图3）中的“IPSec免除”栏中的“从IPSec免除ICMP”列表中选择“是”项，可以让PING操作不受IPSec影响直接进行探测操作。在“IPSec设置”面板中的“IPSec默认值”栏中点击“自定义”按钮，在打开窗口中可以在密钥交换、数据保护、身份验证方法等栏中点击对应的“自定义”按钮，对这些参数进行自定义设置。

二、利用安全策略。安全传输数据

除了使用防护墙控制规则，来保证数据传输的安全性之外，还可以使用安全策略，来实现数据的安全传输。例如，在Serverl3：安装了FTP服务，就需要对来自客户端的连接进行安全控制，保证数据安全传送。注意，一台主机制定了IPSec安全策略是没有意义的，与之通讯的其他主机必须配置与之相同的安全策略，才可以实现数据加密传输。点击“Win+R”键，运行“control admintools”命令，在管理工具窗口中双击“本地安全策略”项，在窗口空白处的右键菜单中点击“创建IP安全策略”项，在操作向导界面输入其名称和描述信息，在下一步窗口中不选择“激活默认响应规则”项，之后完成该策略的创建操作。

在该策略属性窗口中的“规则”面板中不选择“使用添加向导”项。点击“添加”按钮，为该IP安全策略添加规则。规则是IPSec策略的核心，任何一条规则都包含筛选器、加密和身份验证三要素。在该规则属性窗口中打开“IP筛选器”面板，连续点击“添加”按钮，在筛选器属性窗口（图4）中的“地址”面板中的“源地址”列表中选择“任何IP地址”项，在“目标地址”列表中选择“我的IP地址”项。在“协议”面板中的“选择协议类型”列表中选择“TCP”项，在“设置IP协议端口”栏中选择‘从任意端口”和“到此端口”项，并将端口设置为21。当然，可以根据需要设置别的端口，点击确定按钮保存配置信息。

返回到规则属性窗口，在“筛选器”面板中点击“添加”按钮，在弹出窗口中的“安全方法”面板中点击“添加”按钮。选择“完整性和加密”项（图5），在“常规”面板可以为该加密操作设置名称和描述信息。在规则属性窗口中打开‘身份验证方法”面板，可以看到，系统已经默认使用Kerberos这种身份验证方式。但是，该方式只能使用于域环境。如果连接的双方有—方没有加入域中，该方式就处于无效状态。选择该方式，点击“编辑”按钮，在其属性窗口（图6）中选择“使用此字符串（预共享密钥）”项，在其下输入密码信息，注意预共享密钥不能是全数字格式，应该使用字母加符号的格式，来提高安全性。

在“隧道设置”面板中可以看到，系统默认选择“此规则不指定IPSec隧道”项，这表明IPSec默认使用的是传送模式，该模式主要适用于局域网。在广域网中，需要使用隧道模式来提高数据加密的安全性。因此，如果是在Interne止互访的话，双方需要选择“隧道终点由此IP地址指定”项，并分别输入各自在Interne止的IP地址。完成以上操作后，必须在“IP筛选器列表”和“筛选器操作”面板中分别选择上述预设的项目，点击“应用”按钮保存配置。

在本地安全策略窗口中选择“IP安全策略”项，在右侧窗口中选择我们创建的策略项目，在其右键菜单中点击‘‘分配”项，激活该安全策略。之后在Server2等别的主机上也需要添加与上述完全对应的IPSec规则，即双方必须使用完全一致的加密方式、身份验证方式、连接密码等。所不同的是在客户端创建筛选器时，在其属性窗口的“寻址”面板中的“源地址”需要选择“我的IP地址”项，在“目标地址”列表中选择“一个特定的IP”项，并输入Serverl主机的IP地址。

这样，当Server2等主机使用FTP连接工具连接Serverl4的FTP服务时，就可以顺利连接，并可以顺利上传和下载数据。因为双方都启用了IPSec安全策略，因此传输的数据是加密的，别人是无法拦截和分析破译的。当然，对于内网用户来说，为了让局域网中的所有主机都执行相同的IPSec策略，可以在域控制器上打开DC的组策略窗口，打开“计算机配置-Windows设置一安全设置-IP安全策略”项，在其中创建或者选择合适的安全策略，之后指派该安全策略即可。

三、使用隧道技术。安全传输数据

在同一网段中，主机之间可以使用IPSec策略安全传输数据。如果双方处于不同的网段中，则需要使用IPSec隧道传输模式，来快速安全地进行访问。例如Serverl主机位于172.16.1.0/24网段，其外网地址为100.111.69.10，Server2主机位于172.168.2.0/24网段，其外网地址为100.11 1.79.10。Serverl4打开高级安全Windows.防火墙窗口，点击左侧的“连接安全规则”项，在右侧点击“新建规则”连接，在向导界面（图7）中选择“隧道”项，在下一步隧道类型窗口中选择“自定义设置”项，点击下一步按钮，选择进行身份验证的时机。

在下一步窗口（图8）中的“终结点1中的计算机”栏中点击“添加”按钮，输入其连接的网络内的主机地址或者网络标识符（例如“172.16.1.0/24”），在“什么是本地隧道终结点”栏中的“IPv4”栏中输入Serverl的外网地址，例如100.111.69.10。在“什么是远程隧道终结点”栏中点击“编辑”按钮，在弹出窗口中的“IPv4”栏中输入Server2的外网地址，例如100.111.79.10。在“终结点2中的计算机”栏中点击“编辑”按钮，在弹出窗口中的“IPv4”栏中点击“添加”按钮，输入Server2连接的网络内的主机IP或者网络标识符，例如172.16.2.0/24。在下一步窗口中选择“高级”按钮，在弹出窗口中按照上述方法，设置合适的预共享密钥。之后输入规则名和描述信息，完成该规则的创建操作。

在Server 2主机上打开高级安全Windows防火墙窗口，设置与上述相同的IPSec安全连接规则。之后，在与其连接的两个网络的主机之间，就可以安全地通信70例如，与Server 1连接的内网中A主机需要和与Server 2连接的内网中的B主机通讯，A主机发送的数据先传给了Server 1，Server 1自动和IPSec隧道连接，将数据安全传输给Server 2，之后Server 2将数据传输给B主机。当然，在两个不同的网络中的主机进行通信时，需要使用路由器进行连接方可。实际上，使用Windows Server 2003/2008/2012等系統，也可以实现路由转发功能，具体配置都比较简单，这里限于篇幅就不再赘述了。