身份验证概念,包括使用 Kerberos V5 协议和公钥基础结构 (PKI)。
Microsoft Windows® 系统安全; 安全概念,如用户、组、审核和访问控制表 (ACL);使用安全模板;相互身份验证概念;标准名称解析方法和概念,如域名系统 (DNS) 和 Windows Internet 命名服务 (WINS);标准 Windows 诊断工具和故障排除概念;以及使用组策略或命令行工具应用安全模板。
了解 TCP/IP 概念,包括子网布局、网络屏蔽和路由。 还需了解一些低级别的功能、协议和术语,如 Internet 控制消息协议 (ICMP)、地址解析协议 (ARP) 和最大传输单位 (MTU)。
了解安全风险管理规则。
注:Windows Server 2003 部署工具包的第 6 章“部署 IPsec”中所讨论的 IPsec 传输模式的某些方案当时未建议采用。 但是,Microsoft 本身已在其内部部署 IPsec 并同时提供了附加的指导,这意味着现在可以使用这些方案。
多播和广播通信流仍然无法使用 IPsec,但使用 IPsec 应该可以确保所有类型的单播 IP 通信流的安全。 每个客户都必须将在域或服务器隔离方案中部署 IPsec 的好处与成本、影响和其他权衡进行对照评估。 但 Microsoft 现在建议并支持按照本指南在客户网络上广泛使用 IPsec。
组织先决条件
规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见,他们可能需要参与隔离规划,包括扮演下列角色的人:
公司所有者
用户组代表
安全和审核人员
风险管理组
Active Directory 工程、管理和 *** 作人员
DNS、Web 服务器以及网络工程、管理和 *** 作人员
注:根据 IT 组织结构的不同,这些角色可能由几个不同的人担当,或有较少的人跨越几个角色。
服务器和域隔离项目的范围要求整个组都了解业务需求、技术问题、对用户的影响和整个项目过程。需要进行广泛输入时,有可担当此项目的主要联系人的资深人士是很有益的,如支持人员或在部署中会受影响的用户。在复杂项目中出现问题的两个主要原因是规划不好和通信差。安装CISCO IPSEC 客户端
1解压下载的安装包后,点击-client-222-releaseexe启动安装程序,只需在第二步时把默认的professional改为standard,其它部分只需一直按next即可
包里一共有三个文件,sites目录包含卓越配置文件,bat结尾的为脚本文件,用来启动ipsec客户端的,可以把它拷到桌面便于启用。
CISCO IPSEC配置文件
2输入用户名和密码
右击bat结尾的脚本文件,选择编辑。可用记事本或其它文本编辑器打开该文件
设置用户名和密码CISCO IPSEC
3填入信息
,按图中所示输入你的用户名和密码
切记不要编辑未提及的其它参数
CISCO IPSEC连接成功
4开始连接
保存修改好的配置文件后,直接双击卓越-ipsecbat即可开始通过CISCO IPSEC连接
server-switchpng
5更换服务器地址
如果服务器无法连接或因为别的原因需要更换服务器,可参照下面的图更换服务器:公司使用电信私有云服务,服务器在电信私有云平台,不支持***产品,需要自行搭建***站点,公司内部使用华为usg防火墙做为***网关。为解决公司到云平台网络互通,故决定使用ipsec搭建站点到站点***隧道。
服务器公网IP要作为我们的网关,需要将服务器开启转发:
加入此行 netipv4ip_forward = 1
利用iptables 实现nat MASQUERADE 共享上网
1、安装strongSwan,可以使用源码安装,但此次我们主要针对配置相关讲解,故使用yum安装
2、查看strongSwan版本,命令和结果如下:
3、安装完成先配置ipsecconf文件。
以下是真实的配置文件:
4、配置ipsecsecrets文件。
配置文件如下:PSK需要是大写,冒号前后需要有空格,密码需要有双引号
5、配置 sysctlconf文件
配置文件如下:
使配置生效:
6、启动服务:
IPSec监听在UDP的500和4500两个端口,其中500是用来IKE密钥交换协商,4500是nat穿透的。
7、设置开机自动启动
8、运行strongswan status,查看IPsec 状态已经建立。
9、运行ip xfrm policy,查看路由策略。可以看到路由已建立。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)