IPsec 和带有 AuthIP 的 Windows Vista 防火墙

类别: Vista 安全
阅读时间:6分钟
IPsec 和 Windows Vista 防火墙
使用 AuthIP

 

vista_security.png

在文章中

配置和设置 Windows Vista 防火墙

我已经写过关于 IPsec 的文章。 但是,为了了解 Windows Vista 防火墙,还必须了解 Windows Vista 防火墙所使用的技术。 其中最重要的一项是 IPsec 技术 Vista防火墙.

在本文中,我想让您更深入地了解 IPsec 技术,并向您展示在何处配置 IPsec 设置。





 

关于 IPsec 和 AuthIP 的一般信息

Internet协议安全性 (IPsec) 于 1998 年开发,并集成在新的 Windows Vista 防火墙中。 也由于 IPv6IPsec 实施规定的。 IPv6 也是新 Windows Vista 中的一项创新。 为了简化 IPsec 指南,这是 互联网密钥交换 (IKE),它已经集成在 Windows XP 中。 IKE 已经存在于 Windows XP 中,Microsoft 开发的增强型 IKE 将出现在 Windows Vista 中 认证IP 被称为简化 IPsec 策略的实施。 配置和管理 IPsec 策略非常复杂,这就是 Windows Vista 防火墙具有 AuthIP 的原因。


肯定有许多更简单的解决方案来配置两台计算机之间的加密和安全连接,但仅此而已 规定 有了 IPsec 的支持,传播的机会就很大,这方面的基础知识对计算机科学家来说非常有益。 Microsoft 客户也越来越多地使用 IPsec。


IPsec 连接设置(密钥交换)

[最佳]
有手动(固定)和动态密钥交换。

  • 固定密钥交换
    手动键(Manual Keying)     在 Windows Vista 防火墙中也称为预装密钥。 这一点当然不推荐。 此密钥已永久输入到两台计算机上,因此很容易被猜到。

  • 动态密钥交换
    上面已经提到的 IKE 负责 IPsec 的自动密钥管理。 在这里,我们到达了 IPsec 最复杂的部分。 简而言之,两台计算机都必须在与 IPsec 建立加密连接之前对自己进行身份验证,并就密钥算法达成一致。 这就是 IKE 发挥作用并使用预共享密钥 (PSK) 和证书方法的地方。 IPsec 支持对称和非对称密钥。 对称密钥方法使用相同的密钥,非对称密钥方法使用固定密钥和动态密钥。


在 IPsec 下建立连接非常非常复杂,我将尽可能简单地解释如何使用 IPsec 建立连接。

当两台计算机(对等)使用 IPsec 连接时,会创建两种类型的安全关联。

  1. 第一个安全关联称为 主模式第一阶段 叫。 在主模式下,两个对等点相互验证。 如果身份验证成功,则两台计算机之间存在相互信任。

  2. 第二个安全关联称为 快速模式第二阶段 叫。 快速模式决定了对等点之间的网络流量是如何签名和加密的。 签名对于数据包的安全非常重要,它确保数据在通过网络传输时不会被更改。 加密旨在防止在传输过程中读取。

我们不会再深入了。 这些基本知识对我们来说应该足够了,现在我们来到微软的 AuthIP。


微软认证IP

AuthIP 是一种特别增强的 Internet 密钥交换 (IKE),与 IKEv2 不兼容。

AuthIP 提供什么?
AuthIP 的特点是:

  • 用户认证

  • 多条件认证

  • 支持多种认证方式

  • 非对称认证的简化



用户认证
IKE 在 Windows XP 上受到限制,并且只允许对基于计算机的凭据进行身份验证。 AuthIP 允许用户(用户级别)进行身份验证。


多条件认证(Authentications)
使用 AuthIP,您可以自行控制安全性。 可能需要用户身份验证和计算机身份验证。 例如,对等方必须使用具有用户帐户 (Kerberos) 和附加用户身份验证的计算机。


支持多种认证方式
IKE只支持一种认证方式,如果失败,则IKE协商也失败。 使用 AuthIP,将尝试所有选定的身份验证方法。 如果所有认证过程都失败,那么 IKE 协商才失败。


非对称认证的简化
在某些情况下,需要通过防火墙进行通信。 在这种情况下,可能需要不同的信任关系,因此需要非对称身份验证。
在 Vista 和 AuthIP 之前,这种情况必须费力地为网络和计算机提供复杂的证书。 但对于 AuthIP,这已成为过去,您只能通过 IPsec 策略和 Kerberos 身份验证来实现。

 


在哪里可以配置 IPsec 属性

为了使用 Windows Vista 中的确切措辞,我展示了在何处调整 IPsec 设置。
在研究过程中,我发现了另一种方法“" 启动。
开始 ► 搜索 ► 输入 wf.msc 并按 Enter 确认

忠告">远景菜单

在左窗格中,右键单击 本地计算机上具有高级安全性的 Windows 防火墙 单击 然后单击 属性.

本地计算机上具有高级安全性的 Windows 防火墙

在下面的窗口中注册 IPsec 设置 选择。 您可以在此处调整 IPsec 标准设置,并在下拉按钮中选择 IPsec 例外,选择否(默认)或是。

自定义 IPsec

 

透明度: 本文可能包含附属链接。 这些直接通向提供商。 如果通过此方式进行购买,我们会收到佣金。 您无需支付任何额外费用! 这些链接帮助我们为 win-tipps-tweaks.de 的运营提供再融资。

___________________________________________________
此技巧来自 www.win-tipps-tweaks.de
©版权所有Michael Hille

警告:
不正确地使用注册表编辑器或提示会导致影响整个系统的严重问题并需要重新安装操作系统。 修改注册表文件和使用提示的风险由您自行承担。