作者:许本新
在上两篇中我们一起讨论了关于利用IPsec实现禁用协议和端口的相关知识,其实IPsec真正能够让用户感觉到安全放心的功能并不局限于此,IPsec的功能是相当的强大,今天我们就继续来讨论如何利用IPsec实现身份验证和数据加密的功能。
一般的网络,特别是用户在借用Internet进行数据传输的过程中,用户的数据往往都是直接暴露在Internet中,大家可以想象直接暴露的数据是多么的危险,特别是一些企业的重要的机密数据,商业间谍或者一些别有用心的人可以很轻易的获取这些没有任何处理直接暴露的数据。其实windows server 2003系统中本身就继承一个非常优秀的工具IPsec利用它就可以实现对数据的加密和身份验证,从而实现对数据的保护。
Ping命令我想大家都是非常熟悉的,一次Ping需要经过4个来回也就8组数据,这些数据其实都是没有加密的,我们先来看看Ping包内部的数据是什么。如图1所示。

1
这里我使用的是NM31_Release_x86.msi(微软站点下载)软件抓的Ping包,大家可以清晰的看到红色方框中的数据就是Ping包数据,是没有经过加密的,当网络***通过相关工具就可以解读出数据包中的数据,其实网络中其他协议都存在类似的现象。所以需要大家特别注意。
下面我就以Ping命名为例,通过IPsec对Ping包加密,然后大家可以依此为契机举一反三,得出对其它协议的处理。
步骤一、
利用MMC打开IPsec,然后通过右击“IP安全策略,在本地计算机”,给策略取一个名字。注意IPsec也可以针对域计算机生效。
 
步骤二、右击新建立的策略,选择“属性”对当前策略编辑。
 
 
 
 
 
 
 
 
 
 
步骤三、验证
 
 
最后可以看见Ping包内部的数据已经是不可见的了,协商成功,加密成功,另外利用IPsec还可以实现对×××隧道实现保护,方法与上类似,所以就不再叙述了。