命令行下也玩IPsec

在网络应用越来越广泛的今天，一个重要的问题就是有关计算机通信的安全（服务器租用找：51033397）性问题。作为网络系统管理员，一项基本职责就是保证数据在网络传输中，不能被未经授权的人访问、查看或修改，在这中间，同时要保证数据能加密传输。怎样做到这一点呢？

Win2k网络中，我们可以通过IPSec来保护网络的安全（服务器租用找：51033397）。IPSec的全称是InternetProtocolSecurity，翻译成中文就是Internet协议安全（服务器租用找：51033397）。它的作用主要有两个：一个是保护IP数据包的内容，另外一点就是通过数据包筛选并实施受信任通讯来防御网络攻击。这对于我们当有一些重要的数据在传输的过程中需要加以保护或者防止监听来说无疑是一个好消息。

由于是在IP层进行对数据的对称加密，封装的是整个的IP数据包，所以不需要为TCP/IP协议组中的每个协议设置单独的安全（服务器租用找：51033397）性，因为应用程序使用TCP/IP来将数据传递到IP协议层，并在这里进行保护。相应的IPSec配置相对复杂，但是对于应用程序来说是透明的，因此不要求应用程序必须支持。

Win2k操作系统都支持IPSec，Win2k以前的版本，如Win98与WinNT不支持IPSec。在Win2k的网络中，不管是局域网、广域网，都可以使用IPSec来保证网络的安全（服务器租用找：51033397）。我们以前见到的文章都是讨论在图形界面下配置IPSec的，因为步骤比较多，所以很容易出错，并且效率不是怎么的高，那么我们是否可以在命令行下配置IPSec呢？答案是肯定的，今天我们就来讲讲如何在命令行下配置IPSec。

一：基础知识

在开始文章前有必要先了解一些基础的知识，以便更好的阅读下面的文章。

1、IPSec的工作的过程：

两台计算机在通讯的时候，如果已经设置好IPSec的策略，亿恩科技主机在通讯的时候会检查这个策略，策略在应用到亿恩科技主机的时候会有一个协商的过程，这个过程通过SecurityAssociation来实现。协商后根据Policy的配置，两台计算机之间建立一个加密的连接，数据进行加密传输。驱动程序将解密的数据包传输给TCP/IP的驱动程序，然后传输给接收端的应用程序。

2、IPSec的工作方式：

⑴传送模式：保护两个亿恩科技主机之间的通讯，是默认的IPSec模式。传送模式只支持Win2k操作系统，提供P2P（点对点）的安全（服务器租用找：51033397）性。

⑵隧道模式：封装、发送和拆封过程称之为“隧道”。一般实现方法是在两个路由器上完成的。在路由器两端配置使用IPSec，保护两个路由器之间的通讯。主要用于广域网上，不提供各个网络内部的安全（服务器租用找：51033397）性。

3、IPSec的身份验证方法:

⑴KerberosV5：这个是默认的身份验证方法，如果是在一个域中的成员，又是KerberosV5协议的客户机，选择这一项。比如一个域中的Win2k的计算机。

⑵证书：需要共同配置信任的CA。

⑶预共享密钥：双方在设置策略的时候使用一段共同协商好的密钥。

以上三种方法都可以作为身份验证的方法，一般在日常工作当中，如果是域中的Win2k的计算机之间就采用Kerberos的认证方式。其他情况下一般可以采用第三种方式，双方协商一段密钥。

4、IPSec的加密模式：

⑴身份验证加密技术：包括SNA和MD5

⑵数据包加密技术：包括40-bitDES、56-bitDES

⑶3DES：最安全（服务器租用找：51033397）的加密方法，相应的也会消耗更多的系统资源。

其他的关于IPSec的一些知识大家可以借助搜索引擎来实现，这里就不再展开了。

二：微软的礼物

在命令行下配置IPSec，我们需要借助第三方的软件IPSecPol来实现（可以在光盘里找到），它是我们可爱的微软的免费提供的支持工具。

为什么我们要用IPSecPol这个工具呢？如果我们需要有大量的IP安全（服务器租用找：51033397）策略需要配置的话，一般的图形界面模式即费时又费力，而使用IPSecPol之后，我们可以利用脚本来实现，并且结合批处理，只要用户输入几个参数就可以在短短的时间内完成庞大的工作。更重要的是，它可以实时配置策略，喜欢命令行下工作的你是否也开始对它感兴趣了？

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]