Пошаговое руководство по использованию протокола IPSec
Введение
Протокол IPSec (Internet Protocol Security) обеспечивает прозрачную для приложений и пользователей защищенную передачу данных в IP-сетях с использованием служб шифрования, а также защиту сетевого доступа в окружении Windows 2000.Варианты использования IPSec
Протокол IPSec в Windows 2000 разработан таким образом, что при его внедрении сетевыми администраторами обеспечивается прозрачная для пользователей и приложений защита данных. В любом случае наиболее простым способом реализации безопасности доверительных доменных отношений является использование аутентификации Kerberos.Предварительные условия
Это руководство организовано в форме пособия к лабораторной работе, с помощью которого сетевые и системные администраторы смогут получить знания и понимание того, как работает IPSec в среде Windows 2000.Подготовка к тестированию
Создание пользовательской консоли | Войдете в систему на первом тестовом компьютере в качестве пользователя с правами администратора. В нашем примере этот компьютер называется HQ-RES-WRK-01. | Примечание | Далее в этом документе HQ-RES-WRK-01 будет относиться к первому тестовому компьютеру, а HQ-RES-WRK-02 – ко второму.Использование встроенной политики IPSec
В этом упражнении Вы будете активировать одну из встроенных политик IPSec для защиты трафика между двумя компьютерами. В качестве базового метода аутентификации политики по умолчанию используют проверку подлинности Kerberos.Создание пользовательской политики IPSec
В предыдущем разделе мы использовали одну из встроенных политик IPSec для защиты передачи данных между двумя компьютерами, принадлежащих домену. Если Вам необходимо защитить передачу данных между компьютерами, которые не входят в домен, то Вам понадобится создать собственную политику, поскольку встроенные политики требуют проверку подлинности Kerberos, предоставляемую контроллером домена.Тестирование Вашей пользовательской политики IPSec
После того, как Вы создали политику IPSec, Вы должны проверить ее перед применением в рабочем окружении. | Чтобы протестировать Вашу пользовательскую политику IPSec: | На левой панели консоли MMC выберите Политики безопасности IP на "Локальный компьютер" (IP Security Policies on Local Machine).Использование сертификатов для проверки подлинности
Реализация IPSec, представленная в Windows 2000, обеспечивает возможность выполнять проверку подлинности с использованием сертификатов при IKE-согласовании. Все подтверждение сертификатов выполняется с помощью API-криптографии (Cryptographic API, CAPI).Объяснение процесса IKE-согласования
Этот раздел предназначен для тех, кто хочет более глубоко изучить процессы согласования IKE. Этого не требуется для выполнения ранее описанных в данном руководстве процедур. Подробное описание IPSec, IKE и других аспектов реализации представлено в информационном разделе веб-сайта, относящегося к операционным системам Windows 2000 Server и Professional.Устранение неполадок
Устранение неполадок в конфигурации политик | Данное руководство посвящено только локальным IPSec-политикам компьютера, которые используют транспортный режим IPSec (не туннельный) при защищенной передаче данных между отправителем и получателем.Дополнительная информация
Для получения самой последней информации об операционной системе Windows 2000 посетите веб-сайт http://www.microsoft.com/windows2000/. | Инструментарий и информация об IPSec, находящиеся на компакт-диске Windows 2000 | Оснастка Политики безопасности IP для конфигурирования политик