在域環(huán)境中，可以更加靈活高效地管理局域網(wǎng)內(nèi)的資源。為了讓域成員主機(jī)之間可以安全地傳輸數(shù)據(jù)，可以針對其創(chuàng)建相應(yīng)的連接安全規(guī)則，使其彼此可以利用IPSec來安全通信。為了保證實(shí)現(xiàn)上述目的，需要將域服務(wù)器排除在外，即讓域成員和域控制器之間不使用IPSec進(jìn)行通訊，因?yàn)橛虺蓡T無法通過IPSec與域控制器進(jìn)行通訊。域成員在使用IPSec驗(yàn)證域服務(wù)器之前，必須首先保證相互之間可以正常通信。對于某些不支持IPSec或者連接安全規(guī)則中的協(xié)議網(wǎng)絡(luò)設(shè)備（例如路由器、CA服務(wù)器、DHCP服務(wù)器等）來說，也必須將其排除在外。

在本例中，假設(shè)局域網(wǎng)中存在兩臺服務(wù)器，Server 1的IP 為 192.168.6.1，Server 2的IP為192.168.6.2，域控制器的IP為 192.168.6.200，域名為“xxx.com”。該網(wǎng)絡(luò)通過路由器（IP為192.168.6.254）和外網(wǎng)連接。針對不同的主機(jī)，分別為其配置合適的IP、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器等參數(shù)。首先需要確保這些網(wǎng)絡(luò)設(shè)備之間可以正常通信，在域控制器上點(diǎn)擊“開始”-“管理工具”-“組策略管理”項(xiàng)，在組策略管理窗口左側(cè)選擇“林：xxx.com”-“域”-“xxx.com”-“Default Domain Policy”項(xiàng)，在其右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略管理編輯器窗口左側(cè)選擇“計(jì)算機(jī)配置”-“策略”-“Windows設(shè)置”-“安全設(shè)置”-“高級安全Windos防火墻”-“高級安全Windows防火墻”-“連接安全規(guī)則”項(xiàng)，在其右鍵菜單中點(diǎn)擊“新建規(guī)則”項(xiàng)，在向?qū)Т翱谥羞x擇“身份驗(yàn)證例外”項(xiàng)，點(diǎn)擊下一步按鈕，點(diǎn)擊“添加”按鈕，在IP地址窗口中選擇“域IP地址或子網(wǎng)”項(xiàng)，輸入需要排除的域控制器IP（本例為“192.168.6.254”）。繼續(xù)點(diǎn)擊“添加”按鈕，在IP地址窗口中選擇“預(yù)定義計(jì)算機(jī)集”項(xiàng)，在列表中選擇“默認(rèn)網(wǎng)關(guān)”項(xiàng)。

注意：系統(tǒng)內(nèi)置了一些計(jì)算機(jī)集，包括默認(rèn)網(wǎng)關(guān)、DHCP服務(wù)器、WINS服務(wù)器、DNS服務(wù)器、本地子網(wǎng)等對象，便于您進(jìn)行選擇。

這樣就將域控制器，網(wǎng)關(guān)排除在外了。在向?qū)Т翱谥悬c(diǎn)擊新下一步按鈕，輸入本規(guī)則的名稱，點(diǎn)擊完成按鈕，執(zhí)行本規(guī)則創(chuàng)建動(dòng)作。

在組策略管理編輯器窗口中雙擊上述規(guī)則名稱，在其屬性窗口中的“計(jì)算機(jī)”面板中的“終結(jié)點(diǎn)1”欄中選擇“下列IP地址”項(xiàng)，點(diǎn)擊“添加”按鈕，輸入所需的IP地址，這里為“192.168.6.0/24”，在“終結(jié)點(diǎn)2”欄顯示默認(rèn)網(wǎng)關(guān)和域控制器IP。這樣，就實(shí)現(xiàn)了指定子網(wǎng)中的所有主機(jī)在進(jìn)行IPSec安全通信時(shí)，將默認(rèn)網(wǎng)關(guān)和域控制器排除在外的目的。之后在域控制器、域成員主機(jī)上分別執(zhí)行“gpupdata/force”命令，應(yīng)用上述控制規(guī)則。在這些主機(jī)上打開高級安全Windows防火墻窗口，在左側(cè)選擇“連接安全規(guī)則”項(xiàng)，查看是否顯示上述控制規(guī)則。

圖5 高級身份驗(yàn)證方法窗口

為了讓域成員主機(jī)之間進(jìn)行IPSec通訊，在域控制器上的組策略管理編輯器窗口左側(cè)選擇“計(jì)算機(jī)配置”-“策略”-“Windows設(shè)置”-“安全設(shè)置”-“高級安全Windos防火墻”-“高級安全Windows防火墻”-“連接安全規(guī)則”項(xiàng)，在右鍵菜單上點(diǎn)擊“新建規(guī)則”項(xiàng)，在向?qū)Т翱谥羞x擇“服務(wù)器到服務(wù)器”項(xiàng)，在下一步窗口中的“終結(jié)點(diǎn)1中的計(jì)算機(jī)”和“終結(jié)點(diǎn)2中的計(jì)算機(jī)”欄中分別選擇“下列IP地址”項(xiàng)，分別點(diǎn)擊“添加”按鈕，輸入“192.168.6.0/24”。這樣，就確定了所需的網(wǎng)絡(luò)范圍。點(diǎn)擊下一步按鈕，選擇“入站和出站連接需要身份驗(yàn)證”項(xiàng)，在下一步窗口中選擇“高級”項(xiàng)，點(diǎn)擊“自定義”按鈕，在自定義高級身份驗(yàn)證方法窗口（如圖5所示）中的“第一身份驗(yàn)證方法”欄中點(diǎn)擊“添加”按鈕，在第一身份驗(yàn)證方法窗口中選擇“計(jì)算機(jī)（Kerberos V5）”項(xiàng)，點(diǎn)擊確定按鈕保存配置信息。

注意：所謂第一身份驗(yàn)證方法針對的目標(biāo)是計(jì)算機(jī)身份，即相互通訊的主機(jī)。

為了加強(qiáng)安全性，可以對用戶身份進(jìn)行安全驗(yàn)證，即驗(yàn)證發(fā)起數(shù)據(jù)通訊的用戶賬戶。方法是在“第二身份驗(yàn)證”欄中點(diǎn)擊“添加”按鈕，在彈出窗口中選擇“用戶（Kerberos V5）”。這樣，在連接對方主機(jī)時(shí)，必須使用與賬戶身份來操作，在向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，輸入本規(guī)則名稱和描述信息，點(diǎn)擊完成按鈕，完成本規(guī)則的創(chuàng)建操作。在域成員，域控制器上執(zhí)行“gpupdate/force”命令，來手動(dòng)應(yīng)用該規(guī)則。經(jīng)過以上操作后，在域成員主機(jī)之間，就可以利用IPSec來安全傳輸數(shù)據(jù)。例如在Server 1上打開高級安全Windows防火墻窗口，在左側(cè)選擇“監(jiān)視”-“安全關(guān)聯(lián)”-“主模式”或者“快速模式”項(xiàng)，可以看到相關(guān)的IPSec通信信息。但是在其中觀察不到Server 1和域控制器，默認(rèn)網(wǎng)關(guān)之間的IPSec連接，這是因?yàn)镾erver 1與這些設(shè)備之間的通訊不需要IPSec。

順便說一下，如果內(nèi)網(wǎng)采用 NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，可以讓局域網(wǎng)中多臺主機(jī)共享一個(gè)公用IP，就可以和外網(wǎng)主機(jī)通訊。如果采用IPSec傳輸數(shù)據(jù)的話，因?yàn)镹AT會更改數(shù)據(jù)包中的頭信息，這和IPSex的要求完全相反，IPSec是不允許隨意修改數(shù)據(jù)包的頭信息的。在高級安全Windows防火墻窗口左側(cè)的“本地計(jì)算機(jī)上的高級安全Windows防火墻”節(jié)點(diǎn)的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在屬性窗口的“IPSec設(shè)置”面板中點(diǎn)擊“IPSec默認(rèn)值”欄中的“自定義”按鈕，在彈出窗口中的“數(shù)據(jù)保護(hù)”欄中選擇“高級”項(xiàng)，點(diǎn)擊“自定義”按鈕，在自定義數(shù)據(jù)保護(hù)設(shè)置窗口中點(diǎn)擊“添加”按鈕，在彈出窗口（如圖6）中可以看到IPSec可以使用ESP和AH兩種協(xié)議。

圖6 選擇選擇加密傳輸相關(guān)協(xié)議

對于AH信道模式中，IPSec會簽署整個(gè)數(shù)據(jù)包，因此是不允許隨意修改包中數(shù)據(jù)。而NAT在操作時(shí)，會更改數(shù)據(jù)包中的IP地址以及端口號等信息，這會導(dǎo)致IPSec無法正常運(yùn)作。在ESP傳輸模式中，數(shù)據(jù)包頭信息雖然沒有被IPSec簽署，不過其中的端口號卻處于加密狀態(tài)無法修改，這雖然可以滿足NAT更改數(shù)據(jù)包中IP地址的需求，但是卻無法修改端口信息。不過，在大多數(shù)的Windows系統(tǒng)中，都可以支持NAT-T（NATTraversal，即NAT穿越）技術(shù)，該技術(shù)可以讓ESP數(shù)據(jù)包穿越NAT，因此，可以在IPSec中采用ESP傳輸信道，安全可靠地使用NAT，讓局域網(wǎng)中多臺主機(jī)共享一個(gè)公用IP。