站长天空|站长|服务器|安全|程序|SEO|工具

当前位置: 主页 > 服务器安全 >

如何使用 IPsec 与组策略隔离服务器和域(三)

时间:2010-06-08 16:33来源: 作者:小糊涂神 点击:
如何使用 IPsec 与组策略隔离服务器和域

术语复习

  继续阅读本章之前,最好是回顾一下在本解决方案的环境中常用的几个术语。 如果您已熟悉这些术语,可跳过本节。 但如果您没有充分理解这些术语,则可能会发现本指南中的一些解释很令人费解。

  隔离术语

  下列术语是逻辑隔离概念所独有的。 继续阅读本章之前请确保完全理解这些术语:

  •隔离。 将一台或多台计算机从其他计算机中进行逻辑分离。

  •域隔离。 此术语定义将受信任计算机从不受信任计算机中分离的隔离类型。 计算机只需提供有效的凭据和使用 IKE 成功进行身份验证即可进行隔离。 此域是可通过试图确保其通信安全的两台主机间的双向信任可访问的信任路径中的任何域。

  •服务器隔离。 此术语定义服务器如何限制对受信任计算机的特定组使用 IPsec 和“从网络访问此计算机”权限进行入站访问。

  •逻辑隔离。 隔离技术的较广泛的术语,隔离技术包括域隔离、服务器隔离和网络访问保护 (NAP),这样,可在网络层上隔离计算机。

  •隔离组。受信任主机的逻辑分组,受信任主机共享相同的通信安全策略、主要是共享相同的入站和出站网络通信流要求。 可通过 IPsec 策略本身使用允许和阻止操作实施隔离组的入站和出站访问控制,或通过将 IPsec 协商安全和组策略网络登录权限一起使用来实施(还可能使用其他网络配置或连接设置)。单独的应用程序、网络服务和协议应指定一个配置以满足它们层上的通信流的要求。 例如,Exchange 服务器的组要求客户端或服务器计算机是受信任域成员以便建立入站 TCP/IP 连接。 这个组不允许建立与非域成员连接的出站 TCP/IP 连接(某些例外情况除外),此组被称为 Exchange 服务器隔离组。

  •隔离域。 组中的成员身份与 Windows 域中的成员身份相同的隔离组。如果域有双向受信任域,则那些域的成员是隔离域的一部分。 作为隔离组,入站和出站要求很简单:入站连接只可来自其他受信任的主机域成员。在服务器隔离组中的服务器可能包括一些客户端是被隔离域的一部分。

  •网络访问组。 此术语指用于控制对计算机的网络访问的 Windows 域安全组,方法是使用网络登录权限的组策略安全设置。 这是专门为实施隔离组的入站访问要求而创建的。 每个隔离组可能都有“允许”网络访问组 (ANAG) 和“拒绝”网络访问组 (DNAG)。

  •信任。 此术语用于确定计算机愿意接受通过身份验证过程验证的身份的事实。域信任暗示域的所有成员都信任域控制器建立身份并为该身份提供正确的组成员信息。 信任对于通过使用 IPsec 与远程计算机进行通信是必要的。信任还意味着与其通信的用户或计算机被视为可接受并且风险可能也很低。

  •可信主机。 此术语用于标识可被配置为满足组织的最低安全要求但当前可能是受信任主机也可能不是受信任主机的计算机。 规划任何受信任隔离组的成员身份时了解哪些计算机可信是很重要的。

  •受信任的主机。 此术语指的是运行至少是 Windows 2000 安全域的成员和能够实施 IPsec 策略的 Windows 2000、Windows XP 或 Windows Server 2003 的计算机平台。受信任的主机通常定义为符合某些其他管理和安全要求。 控制主机配置以便主机的安全风险被认为较低并可管理。受信任的主机不太可能是感染或恶意行为的来源。 有关此主题的详细论述,请参阅本指南的第 3 章“确定 IT 基础结构的当前状态”。

  •不受信任的主机。 不是受信任主机的主机。 这种计算机的配置未知或无人管理。 如果主机与网络连接,则无法保证此主机(或主机的用户)不是感染或恶意行为的来源。

  •边界主机。 受信任的主机暴露于来自受信任和不受信任主机的网络通信流,因此一定比其他受信任主机更能密切监视和极大地防御攻击。 边界主机越少越好,因为它们会对其余的受信任主机带来较高的风险。

  •免除。 不使用 IPsec(不论是否加入域)的计算机。 免除分为两种类型。 一种是使用静态 IP 地址的计算机,其地址包括在 IPsec 策略“免除列表”中以便受信任主机不将 IPsec 与这些计算机配合使用。 另一种是不使用 IPsec 策略协商安全连接的计算机。 后一种计算机可能出现在免除列表中,也可能不出现在免除列表中。 免除计算机可能符合受信任主机的要求,但不将 IPsec 保护的通信与隔离域中的其他受信任主机配合使用。

  安全术语

  请确保您充分理解下列与安全相关的术语:

  •授权。 授权个人、计算机、进程或设备访问某些信息、服务或功能的过程。 授权取决于请求访问的个人、计算机、进程或设备的身份,它通过身份验证来验证身份。

  •身份验证。 验证个人、计算机进程或设备的凭据的过程。身份验证要求做出请求的个人、进程或设备提供一个凭据代表来证明自己的身份。凭据的常见形式包括数字证书的私钥、在两个设备上以管理方式配置的机密(预共享密钥)、用户或计算机域登录的机密密钥或生物对象(如某人的指纹或视网膜扫描)。

  •哄骗。 在本指南中,哄骗指攻击者假冒合法的 IP 地址企图中断通信或截取数据的行为。

  •不可否认性。 用于确保在计算机上执行某一操作的个人无法不实地否认自己操作的技术。 不可否认性提供确凿无疑的证据证明用户或设备采取了特定的操作,例如转帐、授权采购或发送消息。

  •暗文。 已加密的数据。 暗文是加密过程的输出,可通过使用适当的解密密钥转换回可读格式的明文。

  •明文。 未加密格式的通信和数据。

  •哈希。 通过将一种单向数学函数(也称为哈希算法)应用到任意数量的输入数据中获得的一个定长结果。如果输入数据改变,则哈希也改变。 选择哈希函数以便使两个输入产生相同的哈希输出值的可能性降到最低。哈希可用于许多操作中,包括身份验证和数字签名。 也称为消息摘要。

网络术语

  下列术语指本解决方案的网络元素:

  •发起方。 启动与另一台计算机的网络通信的计算机。

  •响应端。 回复网络的通信请求的计算机。

  •通信路径。 为在发起方和响应方之间传递的网络通信建立的连接路径。

  组策略术语

  下列术语与 Windows 组策略有关:

  •GPO。 创建的组策略设置包含在组策略对象 (GPO) 中。 通过将 GPO 与所选择的 Active Directory 系统容器(站点、域和组织单位 (OU))关联,可将 GPO 的策略设置应用于那些 Active Directory 容器中的用户和计算机。 使用组策略对象编辑器创建单个 GPO ,使用组策略管理控制台以管理整个企业中的 GPO。

  •域策略。 集中存储在 Active Directory 中的策略。

  •本地策略。 存储在个别计算机中的策略。

  基本 IPsec 术语

  请确保您充分理解下列 IPsec 术语:

  •IPSec 策略。 在 IP 层上处理网络通信流的一组安全规则。 安全规则包含与允许、阻止或协商操作关联的数据包筛选器。 当需要协商时,可使用 IPsec 策略中的身份验证和安全措施与对等计算机协商。

  •永久 IPsec 策略。 在 Windows XP 和 Windows Server 2003 中引入的一种 IPsec 策略,可允许永久应用 IPsec 策略设置。 永久策略首次应用于启动 IPsec 服务,因此它会覆盖本地或域 IPsec 策略中的设置。

  •IKE 协商。 启动网络连接以确定使用 IPsec 的计算机是否会允许连接的过程。

  •安全关联 (SA)。 两台主机对如何使用定义此协商的 IPsec 和各种参数进行通信而达成的协议。

  •主模式 SA。 在发起方和响应方计算机之间进行 IKE 协商时首先建立这些 SA。

  •快速模式 SA。 在为主机间的通信的每个会话建立主模式 SA 之后协商这些 SA。

  •回退到使用明文。 如果响应方未回复 IKE,则此选项允许 IKE 发起方传输普通的 TCP/IP 通信流(非 IKE 或 IPsec)。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“允许和不支持 IPSec 的计算机进行不安全的通讯”的选项。

  •入站通过。 此选项允许支持 IPsec 的计算机接收来自远程计算机的普通 TCP/IP(非 IKE 或 IPsec)入站数据包。 上层协议通常以出站数据包回应,然后启动 IKE 返回到远程计算机上。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“接受不安全的通讯,但总是用 IPSec 响应”的选项。

  注。 如果已启用“入站通过”,但未启用响应方的“回退到使用明文”,则响应方无法与不支持 IPsec 的发起方成功通信。

  了解其他术语也很重要,特别是与 IPsec 元素有关的术语。 本指南的附录 A“IPsec 策略概念概述”提供这些 IPsec 术语的概述并解释在本解决方案中创建的隔离组中的计算机将使用的 IPsec 全过程。

(责任编辑:小糊涂神)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
发布者资料
小糊涂神 查看详细资料 发送留言 加为好友 用户等级:注册会员 注册时间:2010-06-07 23:06 最后登录:2013-07-20 08:07
栏目列表
推荐内容