以下内容摘自业界唯一一本真正从全局视角介绍网络安全系统设计的图书——《网络工程师必读——网络安全系统设计》一书。目前该书在卓越网上仅需要70折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360
8.10 IPSec应用方案设计
IPSec是一个可以在许多情形下用来帮助提高网络通信安全的通用安全技术。但无论如何,你得在复杂的IPSec策略配置基础上平衡考虑安全性需求。另外,由于一些适当标准的缺乏,IPSec对一些类型的连接并不支持。本部分讨论建议或不建议使用IPSec的情形,以及选择IPSec所需的一些特定考虑。下列特殊IPSec考虑有助于简化IPSec策略管理。
8.10.1 IPSec安全通信方案的主要应用
以下是对于Windows Server 2003家族IPSec实现的推荐方案。
推荐将Windows Server 2003家族IPSec的实现用于以下情况:
1. 包筛选
IPSec为终端系统提供受限的防火墙功能。您还可以使用带有“Internet连接防火墙”、“Windows防火墙”和“路由和远程访问”的IPSec来允许或阻止入站或出站通信。
IPSec可以通过主机包筛选为终端系统提供有限的防火墙功能。你可以配置基于源和目的地址(包括通信协议类型和端口号)的IPSec策略去允许,或者阻止特定非广播包通信。例如,你可以按图8-58所示,在连接内/外部网络路由器上限制仅指定地址和端口的IP数据包可以通过。你可以通过使用IPSec包筛选功能来精确控制通信双方允许通信的类型来加强网络通信安全保护能力。
图8-58 IPSec包筛选功能的典型应用示例
示例中,我们可以创建以下IPSec包筛选策略:
n 内部网络域管理员可以分配基于活动目录的IPSec策略去阻止所有来自外部网络的通信。外部网络管理员可以指派一个基于活动目录的IPSec策略来阻止所有到内部网络的通信。
n 内部网络中运行SQL服务器(SQL Server)的管理员可以创建专门的一个基于活动目录的IPSec允许到外部网络中的Web应用服务器的结构化查询协议通信。
n 外部网络中的Web服务器管理员可以创建专门的一个基于活动目录的IPSec策略允许到内部网络的SQL服务器的通信。
n 外部网络中的Web服务器(Web Application Server)管理员可以创建专门的一个基于活动目录的IPSec策略阻止所有来自互联网上采用TCP协议80端口的HTTP或者HTTPS Web访问。这就是当防火墙万一出现崩溃或者遭受攻击时另外的安全保障。
n 外部网络域管理员可以阻止所有到管理控制台计算机(Management Computer)的通信,但是允许到外部网络的通信。
你也可以使用IPSec的IP包筛选功能,或者路由器的基本NAT和防火,以及远程访问服务来允许或阻止流入,或者流出通信,或者使用带有Windows系统自带的Windows防火墙,提供提供状态包筛选。无论如何,为了确保进行正确的IPSec安全关联的互联网密钥交换(IKE)管理,你必须配置Windows防火墙去允许UDP 500和4500端口的通信,因为这是IKE消息传递所必需的。
2. 保护特定路径上主机对主机的通信的安全
您可以使用IPSec为服务器或其它静态IP地址或子地址之间的通信提供共同的身份认证和加密保护。IPSec可以在非广播的源IP地址到非广播的目的IP地址之间建立信任和安全通信,这也就是通常所说的点对点全通信。例如,你可以在Web服务器和位于不同站点的数据库服务器,或者域控制器之间建立安全通信。如图8-59所示,仅需要发送和接收的计算机双方配置IPSec策略。客户端和服务器端计算机独立处理自己端的安全,而假设通过中间设备进行的通信是不安全的。
图8-59 客户端与服务器端之间的IPSec安全通信
3. 两个分离林之间域控制器的安全通信
图8-60中显示了在两个林了的域控制器是受对方防火墙的通信控制。除此之外,使用IPSec增强在两个分离林中的域控制器之间的所通信安全。你也可以使用IPSec保护在同一个域中的两个域控制器,以及父域与子域间的通信。
图8-60 不同林域控制器之间的安全保护
4. 通过ISA安全NAT进行的端到端安全通信
Windows Server 2003支持IPSec NAT穿越(NAT-T)。IPSec NAT-T允许通过IPSec安全通信,也可以通过NAT穿越。例如,你可以使用Ipsec传输模式在运行ISA服务器和NAT服务的计算机之间提供安全的主机到主机通信,而在两主机间无需进行包筛选。IPSec传输模式通常用来保护主机间的通信,以及位于同一个局域网,或者通过广域网连接的局域网间的通信安全。图8-61中,一台计算机是运行Windows Server 2003系统和提供NAT功能的ISA服务器。在服务器A上的IPSec策略是仅允许与IP地址为服务器B进行安全通信,同时在服务器B上的IPSec策略是配置允许与外部地址的ISA服务器进行安全通信。
图8-61 通过ISA安全NAT使用IPSec NAT-T的安全通信
5. 安全服务器
你可以为所有客户端计算机到服务器的访问请求IPSec保护。图8-62显示了在传输模式中的在线商务应用服务器的安全保护。
图8-62 安全服务器的IPSec应用
在这种应用情形中,内部网络的所有应用服务器必须与运行Windows 2000或Windows XP Professional系统的客户端,WINS服务器、DNS服务器、DHCP服务器、域控制器、非微软数据备份服务器进行通信。因为客户端与应用服务器之间的通信包含机密信息,服务器应当只允许与域中其他成员进行会话,所以客户端计算机用户是本公司员工,想要访问应用服务器以查看他们的薪水信息。网络管理员使用需要ESP加密的IPSec策略,仅允许域活动目录中信任的计算机进行会话。
其他允许的通信包括:
n 在WINS、DNS、DHCP和应用服务器之间的通信是允许的,因为WINS、DNS、DHCP服务器必须为最广泛的客户端操作系统提供服务,而有些客户端系统可能不支持IPSec。
n 域控制器与应用服务器之间的通信是允许的,因为使用IPSec保护这两者的通信安全是不建议的。
n 非微软数据备份服务器和应用服务器之间是允许的,因为非微软数据备份服务器不支持IPSec。
6. 为远程访问和站点到站点×××连接中使用L2TP /IPSec
你可以在所有×××环境中应用L2TP /IPSec,而并不需要为IPSec策略做任何配置和部署。在L2TP和IPSec两者之间的共同点就是在远程访问客户端和公司网络之间通过互联网的安全通信,以及在分支机构之间的安全通信。
【注意】Windows IPSec支持IPSec的传输模式和隧道模式两种。尽管×××通常是指隧道方式,但在L2TP/IPSec ×××连接中使用的是IPSec传输模式,IPSec隧道模式最主要应用在保护站点到站点的网络通信安全,如通过互联网的站点到站点网络通信。
n 在远程访问×××连接中使用L2TP/IPSec
在通过互联网的远程访问客户端和公司网络之间的通信通常建议采用安全通信方式。例如客户端可能是一个经常在外的采购商,或者员工是在家里工作的。在图8-63中,远程网关是为公司内部网络(Intranet)边缘提供安全保护的服务器;远程客户端是一个经常在外,而又需要经常访问内部网络资源的用户;ISP为客户端访问互联网提供途经;ISP提供的L2TP/IPSec服务是用来构建×××隧道,帮助保护数据通过互联网的。
图8-63 客户端远程访问L2TP/IPSec ×××示例
n 在站点到站点×××连接中使用L2TP/IPSec
一个大的公司通常有多个需要相互通信的站点。例如,在上海和广州两地的分公司。在这种情形下,L2TP/IPSec就可以为站点之间的×××连接,帮助保护站点间的数据通信安全。在图8-64中,运行Windows Server 2003系统的路由器(通信双方边缘都有一个这样的路由器)提供了边缘安全服务。路由器上连接的是租用专线、拨号或者其他类型互联网接入线路。L2TP/IPSec ×××隧道仅在路由器之间运行,保护通过互联网的数据通信。
图8-64 站点到站点L2TP/IPSec ×××示例
n 非微软网关的站点到站点IPSec隧道
如果网关,或者终端系统不支持L2TP/IPSec,或者PPTP(Point-to-Point Tunneling Protocol,点对点隧道协议)的站点到站点×××连接,你可以以隧道模式来使用IPSec。这样,发送到网关的数据的整个IP数据报都将重新进行封装,形成一个由IPSec协议保护的新的IP数据包。图8-65是一个站点到站点IPSec隧道应用示例。
图8-65 在站点间建立网关到网关的IPSec隧道示例
在这个示例中,通信是在供应商站点(Site A)客户计算机和公司总部站点(Site B)FTP服务器之间进行。供应商使用非微软的IPSec网关,而公司总部是使用运行Windows Server 2003系统的服务器作为网关的。IPSec隧道是在非微软网关和运行Windows Server 2003系统的网关之间,提供安全通信。
【注意】Windows Server 2003操作系统的原始发行版中不包括Windows防火墙。“Internet连接防火墙”只包括在Windows Server 2003 Standard Edition和Windows Server 2003 Enterprise Edition的原始发行版中。
