命令行下也玩IPsec

在網絡應用越來越廣泛的今天，一個重要的問題就是有關計算機通信的安全（服務器租用找：51033397）性問題。作為網絡系統(tǒng)管理員，一項基本職責就是保證數據在網絡傳輸中，不能被未經授權的人訪問、查看或修改，在這中間，同時要保證數據能加密傳輸。怎樣做到這一點呢？

Win2k網絡中，我們可以通過IPSec來保護網絡的安全（服務器租用找：51033397）。IPSec的全稱是InternetProtocolSecurity，翻譯成中文就是Internet協(xié)議安全（服務器租用找：51033397）。它的作用主要有兩個：一個是保護IP數據包的內容，另外一點就是通過數據包篩選并實施受信任通訊來防御網絡攻擊。這對于我們當有一些重要的數據在傳輸的過程中需要加以保護或者防止監(jiān)聽來說無疑是一個好消息。

由于是在IP層進行對數據的對稱加密，封裝的是整個的IP數據包，所以不需要為TCP/IP協(xié)議組中的每個協(xié)議設置單獨的安全（服務器租用找：51033397）性，因為應用程序使用TCP/IP來將數據傳遞到IP協(xié)議層，并在這里進行保護。相應的IPSec配置相對復雜，但是對于應用程序來說是透明的，因此不要求應用程序必須支持。

Win2k操作系統(tǒng)都支持IPSec，Win2k以前的版本，如Win98與WinNT不支持IPSec。在Win2k的網絡中，不管是局域網、廣域網，都可以使用IPSec來保證網絡的安全（服務器租用找：51033397）。我們以前見到的文章都是討論在圖形界面下配置IPSec的，因為步驟比較多，所以很容易出錯，并且效率不是怎么的高，那么我們是否可以在命令行下配置IPSec呢？答案是肯定的，今天我們就來講講如何在命令行下配置IPSec。

一：基礎知識

在開始文章前有必要先了解一些基礎的知識，以便更好的閱讀下面的文章。

1、IPSec的工作的過程：

兩臺計算機在通訊的時候，如果已經設置好IPSec的策略，億恩科技主機在通訊的時候會檢查這個策略，策略在應用到億恩科技主機的時候會有一個協(xié)商的過程，這個過程通過SecurityAssociation來實現。協(xié)商后根據Policy的配置，兩臺計算機之間建立一個加密的連接，數據進行加密傳輸。驅動程序將解密的數據包傳輸給TCP/IP的驅動程序，然后傳輸給接收端的應用程序。

2、IPSec的工作方式：

⑴傳送模式：保護兩個億恩科技主機之間的通訊，是默認的IPSec模式。傳送模式只支持Win2k操作系統(tǒng)，提供P2P（點對點）的安全（服務器租用找：51033397）性。

⑵隧道模式：封裝、發(fā)送和拆封過程稱之為“隧道”。一般實現方法是在兩個路由器上完成的。在路由器兩端配置使用IPSec，保護兩個路由器之間的通訊。主要用于廣域網上，不提供各個網絡內部的安全（服務器租用找：51033397）性。

3、IPSec的身份驗證方法:

⑴KerberosV5：這個是默認的身份驗證方法，如果是在一個域中的成員，又是KerberosV5協(xié)議的客戶機，選擇這一項。比如一個域中的Win2k的計算機。

⑵證書：需要共同配置信任的CA。

⑶預共享密鑰：雙方在設置策略的時候使用一段共同協(xié)商好的密鑰。

以上三種方法都可以作為身份驗證的方法，一般在日常工作當中，如果是域中的Win2k的計算機之間就采用Kerberos的認證方式。其他情況下一般可以采用第三種方式，雙方協(xié)商一段密鑰。

4、IPSec的加密模式：

⑴身份驗證加密技術：包括SNA和MD5

⑵數據包加密技術：包括40-bitDES、56-bitDES

⑶3DES：最安全（服務器租用找：51033397）的加密方法，相應的也會消耗更多的系統(tǒng)資源。

其他的關于IPSec的一些知識大家可以借助搜索引擎來實現，這里就不再展開了。

二：微軟的禮物

在命令行下配置IPSec，我們需要借助第三方的軟件IPSecPol來實現（可以在光盤里找到），它是我們可愛的微軟的免費提供的支持工具。

為什么我們要用IPSecPol這個工具呢？如果我們需要有大量的IP安全（服務器租用找：51033397）策略需要配置的話，一般的圖形界面模式即費時又費力，而使用IPSecPol之后，我們可以利用腳本來實現，并且結合批處理，只要用戶輸入幾個參數就可以在短短的時間內完成龐大的工作。更重要的是，它可以實時配置策略，喜歡命令行下工作的你是否也開始對它感興趣了？

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]