高階安全Windows防火牆(上)之IPSec—Windows2008新功能系列之三

餘二五發表於2017-11-23
Windows防火牆
   大家都知道,安全無疑是當前企業最為關心的話題,windows2008已經誕生一年多了,相信朋友們對於2008的部署及各項新功能,已經瞭如指掌了吧?!今天我們就來看看如何利用2008的改進功能來實現企業的安全通訊。
網路拓樸:
單域,雙子網,具體IP如上圖所設定,其中w08a是DC,w08b是檔案伺服器,其餘均是加入域的客戶端。域名contoso.com,w08a兼作DNS伺服器,CA伺服器、DHCP伺服器等。
 
企業要求:
1. 實現域內所有客戶端之間通訊全部加密(ICMP除外)

2. 實現域內所有客戶端和檔案伺服器10.1.1.6之間通訊全部加密。

3. 若使用者不登入域,則無法和域內的客戶端或檔案伺服器通訊。
 
分析:針對企業目的,可以實現的方法很多,但最簡單最直接的方法還是利用IPSec,我在《安全系列》中已經講到使用IPSEC實現,各位可以參考。但如果用2003的IPSEC的話,實現起來有些麻煩,而且2003的IPSEC的身份驗證只是針對計算機,不能實現第3點功能,即針對使用者進行身份驗證,要想實現只能另闢溪徑。在這裡我們使用windows 2008的IPSec可以輕鬆搞定。
    Windows Server 2008的IPSec和高階安全Windows防火牆(以下簡稱WFAS),集中到了一起,如下圖所示:
 
在“連線安全規則”裡可以設定IPSec策略
具體的開啟方式有兩種:
1. 利用MMC,新增刪除管理單元—WFAS即可(適合於vista、WIN7)
2. 管理工具—WFAS(適合於windows 2008)
注意:通過WFAS新建的“連線安全規則”,只適用於windows 2008、vista、win7,如果使用原來的IPSec,只能通過IP安全策略管理來完成,即在MMC中新增IP安全策略管理。
 
解決思路:
由於企業是域環境,所以我們通過域中的組策略統一為客戶端部署IPSec。首先我們需要在DC上利用ADUC新建一個GPO,並連結到域上。然後在這個GPO中設定相應的策略即可。這樣域裡的所有客戶端均要載入,包括DC自己,但在本例中DC和其它客戶端的通訊不需要IPSEC加密,因此DC在我們免除列表裡(即不需要身份驗證和加密通訊)。
 
一、在DC上新建GPO,取名為IPSec,連結到域上。
開啟gpmc.msc後,如下圖所示:
單擊後,如下圖所示,輸入名字:
 
再次單擊確定,然後在此GPO上右擊,如下圖所示:
 
選擇“編輯”,如下圖所示:
 
對於windows2008、vista、win7我們可以選擇“連線安全規則”來設定IPSEC通訊,如果是老版本的作業系統,我們可以選擇“IP安全策略…..”這一項進行設定。
 
二、建立免除列表通訊規則
1. 右擊“連線安全規則”,選擇“新規則”,如下圖所示:
 
如下圖我們選擇第二項,所示:
 
選擇第二項的含義,指的是這個通訊不需要進行身份驗證。單擊下一步:
 
在這裡,我們需要輸入不進行身份驗證的計算機的IP或地址範圍,再次單擊下一步,如下圖所示:
 
選擇預設不變,將這個應用於這三種環境,再次單擊下一步,如下圖所示,並給這條規則取名,單擊完成。
 
注意,設定完這條規則後,一定要使所有的客戶端載入此條策略設定,有三種方法:
第一種方法,客戶端執行gpupdate /force,包括DC
第二種方法,客戶端等一段時間,一般是90-120分鐘不等
第三種方法,所有客戶端重啟。當然在企業裡我們部署時,建議做完上述後,第二天或等一段時間後,再進行下面的第三步。
    在這裡,我們是實驗環境,直接在DC和客戶端上執行Gpupdate /force就可以了。
    執行完後,建議在客戶端上ping 下DC,正常能通訊就OK了。注意:這個通訊是不使用IPSEC進行身份驗證和加密的。
 
三、建立域內IPSec通訊規則
同上所述,我們再次建立一條IPSEC規則,如下圖所示:
 
我們選擇“隔離”,意味著必須要進行身份驗證和加密通訊,否則將不允許通訊。單擊下一步,如圖所示:
 
我們選擇第三項,意味著通訊雙方不管如何訪問(入站或出站),均需身份驗證。單擊下一步,如下圖所示:
 
我們選擇相應的身份驗證方式,第二項,即使用者或計算機均需要Kerberos V5,只有在域環境下方可進行。單擊下一步,如下圖所示:
 
再次單擊下一步,如下圖,我們取名後,單擊完成。
 
做完後,如下圖,我們已經有了兩條策略規則:
 
讓我們的所有客戶端都立即應用一下,gpupdate /force吧。
 
四、測試
我們怎麼知道客戶端是否應用了相應的組策略了呢?兩種方式得知:
1. 開啟客戶端的WFAS,展開如下圖所示,看有沒有在域的GPO上所設定的兩條規則:
 
2. 我們在w08c上ping 一下w08b和w08a,如:
ping -t 10.1.1.6
ping -t 10.1.1.5
然後,我們再次利用WFAS中的監視,如下圖我們只能看到10.1.1.6,因為它和w08c是需要身份驗證和加密的。而10.1.1.5的通訊卻沒有,這是正常的。如下圖所示:
 
其實你在快速模式中也可以看到。這裡主模式和快速模式是IPSEC通訊的兩個階段。
 
五、排除ICMP通訊,完成實驗。
但我們企業要求ICMP的通訊不需要身份驗證和加密,因此我們再次回到DC的組策略管理控制檯,再次編輯IPSEC這個GPO,如下圖所示:
 
選擇“屬性”後,如下圖所設定即可:
 
然後所有的客戶端gpupdate /force重新整理,再次測試ping,發現沒有身份驗證了。而當我們訪問共享資源時,如從w08c(172.16.1.7)訪問w08b(10.1.1.6)共享資源時,我們開啟監視,看到如下圖所示:
 
下面我們把w08c登出,用本地使用者的身份登入,再次訪問10.1.1.6的共享資源,發現卻不能訪問,原來是使用者的身份驗證通不過。如下圖所示:
 
全部實驗結束!
 
小結:其實這個實驗難度並不大,關鍵在於合理的應用組策略來統一設定IPSEC。其中有兩條策略,這兩條策略一定不能先做第二條,否則你會發現實驗不成功,原理很簡單,記住一點,在企業環境裡,有一些特殊的計算機是不能進行身份驗證和加密的,如DC、DHCP、CA、DNS等,如果非得使用,設定不當會使你的整個網路的通訊崩潰。
注:必須要讓客戶端成功應用完第一條策略後,再設定並應用第二條策略!!!
 
希望這篇文件能給你企業應用帶來一些幫助!~
本文轉自 jary3000 51CTO部落格,原文連結:http://blog.51cto.com/jary3000/176199,如需轉載請自行聯絡原作者


相關文章