Windows 2000的连接
网络和拨号连接
网络和拨号连接提供计算机和
Internet、网络或其它计算机之间的连接。利用网络和拨号连接,不管在你在网络中的物理位置或在远程位置,都可以获得对网络资源和功能的访问。在“网络和拨号连接”文件夹中创建、储存和监视连接。网络和拨号连接文件夹中的每次连接包含一系列功能,可以使用它来创建计算机和其它计算机或网络的连接。通过使用配置的访问方式
(LAN、拨号调制解调器、 ISDN 线路等等),外部连接联系远程访问服务器来建立与网络的连接。相反,内部连接使得运行Windows 2000 Professional 的计算机或运行Windows 2000 Server的单独的计算机与其它计算机联系。这意味着计算机可以作为拨入计算机工作。不管连接本地 (LAN) 或远程(拨号、ISDN等等),可以配置连接以便使用连接的所有网络功能。例如,可以在网络打印机上打印,访问网络驱动器和文件,浏览其它网络或访问Internet。由于所有服务和通信方式在连接中配置,不必使用外部管理工具配置连接设置。例如,拨号连接的设置包括连接前、过程中和之后使用的特征。这包括拨号使用的调制解调器、想在连接中使用的加密密码类型和连接后使用的网络协议。连接状态,包括连接时间和速度,可以从连接本身查看,不必使用外部状态工具。
Windows 2000
登录和域安全性,支持保护主机、数据加密验证和收回,为网络和拨号连接提供安全网络访问。远红外和无线连接
Windows 2000
支持IrDA 协议,可以通过远红外连接传输数据。它提供了一个通过IrDA接口的结构,允许其它装置和程序与Windows 2000通信。Windows 2000 安装无线连接程序后,可将文件传送到或来自运行Windows 2000 或Windows 98 操作系统的计算机。Windows 2000
的即插即用结构自动为带有内置IrDA硬件的计算机检测和安装远红外组件。对于不带有内置IrDA硬件的计算机,用户可以将IrDA 无线收发机安装到 COM 口,并使用添加/删除硬件向导在 Windows 2000 中安装设备。远红外设备安装后,无线连接属性图标出现在
“控制面板”。当另一个 IrDA无线电收发机进入范围,无线连接图标出现在桌面和工具条上。然后,可以通过远红外连接的如下功能发送文件:使用
无线连接对话框指定位置和一个或多个文件。拖放移动文件到无线连接的桌面图标。
右键单击
“桌面”、Windows Explorer或“我的电脑”中选中的文件,单击“发送到无线收件人”命令。配置成使用远红外端口进行打印。
除了发送和打印文件,可以使用远红外接口创建两台计算机间的网络连接。这使得可以映射主机中的共享文件夹,可以操作
Windows Explorer 或“我的电脑”中的文件和文件夹。远红外连接可以不用调制解调器、电缆和网络硬件直接连接到其它计算机。
对于附加的远红外功能,可以选择
Windows 2000提供的使用 IrDA 结构的其它软件。电话服务
电话应用编程接口
(TAPI) 是由 Windows 2000 统一的 IP 和传统的公用交换电话网 (PSTN) 的电话服务实现的,支持在 intranet、Internet 和传统网络中有效工作的程序。此节为配置和管理 IP 和 PSTN 服务器和客户提供信息。Windows 2000
的电话应用编程接口 (TAPI) 将远程通信和计算机集成在一起。TAPI 支持传统 (或 PSTN) 和 IP 电话服务,提供声音,数据和视频通信。支持的硬件包括声卡、视频卡、调制解调器、ISDN 线路、ATM 网络和照相机。利用它,可以直接连接到本地计算机、电话线、LAN、WAN 和 Internet进行通信。除了发送和接收呼叫,程序可以使用
TAPI 提供增强的电话服务特性,诸如,呼叫者 ID、呼叫路由选择、声音邮件和视频会议。通信程序可以识别呼叫者,再次呼叫和显示呼叫者信息,甚至根据用户信息排序和路由选择呼叫。利用
TAPI,有一个常有标准,以便通信程序可以为数据传真和声音呼叫控制电话功能。TAPI
管理计算机和电话网络之间的所有信号,包括基本函数,诸如拨号、回答和挂断电话。TAPI
包括在 PBX、ISDN 和其它电话系统中可找到的补充功能,诸如,保持、转移、会议和呼叫停止。TAPI
提供访问专门对特定服务提供者的特性,利用内置的扩充性提供附加的电话服务特性和网络。TAPI
允许用户使用 H.323 协议和 IP 多址广播视频会议,通过 IP 网络进行声音和视频电话呼叫。TAPI
包括服务质量 (QoS),用来提高会议质量和网络管理性。
所有这些使
TAPI 统一了 IP 和传统电话服务,以及支持可以在 intranet、Internet 和传统网络中一样有效工作的程序。此外,TAPI 的当前版本兼容以前的版本,支持已有的TAPI程序。超级终端、电话拨号程序和
Microsoft 传真是 Windows 提供的使用 TAPI 的通信程序。可以安装其它的 Microsoft 和第三方的程序来提供附加的电话服务支持。TAPI 提供的通用接口使得不同通信程序能一起工作并共享通信设备。新的
TCP/IP 特征Windows 2000
的TCP/IP 进行了更新,包括几个特征。它简化了单个子网的配置,并优化了宽带网络环境中的 TCP 性能。这些新特征支持如下:
自动专用地址配置
大的
TCP 窗口可选的应答
更好的双程时间
(RTT) 评估
自动专用地址配置
自动专用
IP 地址 (APIPA) 用于为单个子网自动配置 TCP/IP 地址,不包括 DHCP 服务器。默认情况下,运行 Windows 2000 的计算机首次试图联系网络中的 DHCP 服务器时,即可以获得每个网络连接的动态配置。如果
DHCP 服务器可以接通和释放,配置是成功的,TCP/IP 配置完成。如果
DHCP 服务器不能接通,计算机使用 APIPA 来自动配置 TCP/IP。当使用 APIPA 时,Windows 2000 在保留 IP 地址 169.254.0.1 到169.254.255.254之间指定一个地址。在定位到 DHCP 服务器之前,此地址用作临时 IP 地址配置。子网掩码设置为 255.255.0.0。用于
APIPA 的 IP 地址范围 (169.254.0.1 到 169.254.255.254) 被国际互连网号码分配机构 (IANA)保留。此范围中的任何 IP 地址不能在 Internet 上使用。APIPA 删除了没有连接到 Internet 中的单个网络小型办公室和家庭办公室网络的 IP 地址。大型
TCP 窗口窗口尺寸是不使用肯定应答就能发送的包的最大数量。当大量数据在发送者和接收者之间传送时,大的
TCP 窗口改进了 TCP/IP 的性能。在典型的基于 TCP 的通信中,窗口大小常常固定在开始连接时的大小,并限制为 64KB。利用大型窗口的支持,必要时在长时间会话中使用
TCP 选项,可以动态重算和按比例设置窗口尺寸。利用此选项,更多的数据包可以在网络中一次传送,这增加了带宽使用的效率。可选应答
在典型的基于
TCP 的通信中,应答是累积的。TCP 只应答与以前应答段接近的收到的段。非邻近的段-不按顺序收到的段-不被给予明确的应答。TCP 要求段在一段时间内接收和应答,如果丢失了段,所有该段之后的段必须重新发送。可选应答是最新的
TCP 选项,它允许接收者有选择的通知并要求发送者只重新发送确实丢失的数据。这使得需要重新传送的数据更少,更好的利用网络。更好
RTT 估算RTT
是由 TCP 使用,用来估算在发送者和接收者之间来回通信所需的时间。Windows 2000 支持使用“TCP 来回时间测量”选项来改进 RTT 的估算方法。通过计算更准确的 RTT 信息,TCP 可以使用更好的估算来设置传送时间,这有助于提高整个 TCP 速度和性能。DHCP
服务的新特性Windows NT Server 5.0
中的 DHCP 服务提供如下新特性:自动分配
IP 地址如果
DHCP 服务器不能提供出租,网络上已启用 DHCP 客户,现在可以使用临时 IP 配置来自己配置。客户可以每五分钟持续联系一次 DHCP 服务器,要求有效的出租。自动分配对用户总是可见的,如果客户不能从
DCHP 服务器获得出租,不提醒用户。地址从网络地址范围中自己分配,它是为专用 TCP/IP 使用保留的,并不在 Internet 上使用。增强的性能监视和服务器报告能力
DHCP
对于成功实现网络构造是重要的。没有运行的 DHCP 服务器,IP 客户会丧失部分或全部的访问网络的能力。由于许多有经验的网络管理员意识到关闭 DHCP 服务器监视的重要性,这样做了一些修改来帮助实现。Windows NT Server
添加了新性能的监视计数器,帮助专门监视网络中的 DHCP 服务器性能。DHCP Manager
现在提供增强的服务器报告,通过图形显示服务器、作用域和客户的状态。例如,各种新的可视图标显示服务器或作用域是否连接或断开。当作用域已经出租了可用地址的 90% 时,出现警戒信号。扩展作用域以支持多址广播域和超级域
Microsoft DHCP Server
现在支持附加域,可使用它来优化对 IP 配置的管理。为了参加多址广播组,新的多址广播域允许启动
DHCP 的客户租赁 D 类的 IP 地址(224.0.0.0 到239.255.255.255)。超级作用域(
Windows NT 4.0以后版本)对于创建管理成员域的组是有用的。当想要重新编号或扩展 IP 地址空间,但不干扰当前活动的作用域时,超级域是有帮助。对用户指定和供应商指定的选项类的支持
可以使用此特征为具有相似或特殊配置需要的客户分开和分配合适选项。
例如,可以给在建筑物同一层的所有启动
DHCP 的客户分配相同的选项类。可以使用此类(配置有相同 DHCP Class ID 号)在租赁过程中分配其它选项数据,替代所有作用域或全局默认选项。在此情况下,适合相同网络位置(诸如指定默认网关和父域名)的一系列类成员用户的选项被申请为指定类选项。DHCP
和 DNS的集成利用
Windows NT 5.0,DHCP可以为支持更新的任何用户,启动 DNS 名称空间的动态更新。域客户可以使用动态DNS 来更新主名称地址映射信息(存储在 DNS 服务器带),而不管 DHCP 分配地址发生了什么改变。恶意
DHCP 服务器检测因为
DHCP 客户在系统启动时,使用受限的网络广播来发现DHCP 服务器,此特征防止恶意(为授权)DHCP 服务器加入现有的 DHCP 网络,此网络使用 Windows NT Server 5.0 和活动目录。使用在目录服务中创建的
DHCP 服务器对象执行服务器检测。此对象列出了授权向网络提供 DHCP 服务的的服务器 IP 地址。当
DHCP 服务器试图在网络上启动时,查询目录服务,服务器计算机的 IP 地址与授权的 DHCP 服务器列表相比较。如果找到匹配的,服务器计算机被授权为 DHCP 服务器。如果没找到匹配的,服务器不被授权并认为是恶意的。此情况下,恶意服务器上的 DHCP 服务在导致网络问题之前,被自动关闭。对
BOOTP 客户的动态支持。通过添加动态
BOOTP,DHCP 服务对大型企业网中的 BOOTP 客户提供进一步支持。BOOTP
是对 BOOTP 协议的扩展,它允许 DHCP 服务器不必使用明确固定的地址配置,来配置 BOOTP 客户。此特征使大型 BOOTP 的管理更容易,它允许按 DHCP 相同的方式来动态分配 IP 地址,而不必改变用户方的行为。对
DHCP Manager 的只读控制台访问.此特征提供特殊目的本地用户组,即
DHCP 用户组,当 DHCP 服务安装时它会自动添加。通过添加成员到组中,利用 DHCP Manager 控制台,可以提供对在非管理员计算机上的与DHCP服务有关的信息的只读访问。这允许具有本地组成员身分的用户查看,但不能修改存储在指定 DHCP 服务器上的信息和属性。WINS
的新特性对于
Windows 2000, WINS 提供了如下增强特性:持续连接
现在可以配置每个
WINS 服务器来维护与一个或更多的复制伙伴的持续连接。这加快了复制速度并消除了打开和中断连接的经常开支。手工设置墓碑(
tombstoning)您可手工为最终删除作记录
(tombstoning)。记录上陈述通过所有 WINS 服务器复制,这可以防止不同服务器数据库中的未删除副本再次被传播。改进的管理实用程序
WINS Manager
是一个与 Microsoft 管理控制台 (MMC) 完全集成的用户更友好和更强大的环境,可以自定义以便提高效益。由于所有在 Windows 2000 Server 中使用的服务器管理实用程序是 MMC 的一部分,新的基于 MMC 的实用程序更易于使用和易学。这是因为所有基于 MMC 的实用程序操作更有预见性,并且因为它们遵循常用设计而更易于使用。增强的筛选和记录搜索功能
改进的筛选和新的搜索功能有助于定位记录,只显示符合指定标准的记录。这些功能对于分析大型的
WINS 数据库非常有用。动态记录删除和多项选择
此特性有助于更轻松地管理
WINS 数据库。利用 WINS 的插件,可以轻松地指向、单击和删除一个或多个动态或静态类型的 WINS 项。当使用以前的基于命令的实用程序实现(例如WINSCL)WINS 管理时,不能使用此功能。现在有可能删除名称没有按字母顺序的记录。记录验证和版本号验证
此特性可快速检查在
WINS 服务器中存储和复制的名字的一致性。记录验证对由不同的 WINS 服务器进行的 NetBIOS 名称查询返回的 IP 地址进行比较。版本号验证检查用户地址与版本号映射表的对应关系。导出功能
导出时,可将
WINS 数据放在一个以逗号作为分界符的文本文件。可以将文件导出到 Microsoft Excel、报告工具、脚本程序,或者相似的程序中分析和报告。增强的客户容错性
运行
Windows 2000 或 Windows 98 的客户对于每个接口可以指定远超过两个的 WINS 服务器(最大到 12 个地址)。只有主和次 WINS 服务器不能响应时,附加的 WINS 服务器才能使用。动态更新客户
现在,
WINS 客户在使用 WINS 重新注册 NetBIOS名字后,不必重新启动计算机。NBTSTAT 命令包括一个新的选项,-RR,它可提供此功能。如果升级到 Service Pack 4 或以后版本,运行 Windows NT 4.0 的 WINS 客户计算机也可以使用 -RR 选项。控制台对
WINS 管理器的只读访问.此特性提供特殊目的的本地用户组,
WINS 用户组,当安装 WINS 时,它自动添加。添加成员到组中,对于非管理员可以通过 WINS 管理器控制台访问此服务器计算机中的与 WINS 相关的信息。这允许在组中具有成员身份的用户查看存储在指定 WINS 服务器中信息和属性,但不能修改它。Internet
验证服务Internet
验证服务 (IAS) 使用远程拨入用户服务验证服务 (RADIUS) 协议来执行远程身份验证。IAS 允许在中央管理身份验证、授权和记帐用户,可以使用它来验证在 Windows NT 4.0 或 Windows 2000 域控制器里的数据库中的用户。在Windows 2000 相同和不同的 NAS 设备中它运行的同样好。IAS
的以前版和 Windows NT 4.0 Option Pack 一起发行。下表描述了两个版本的行为中的差别。Windows NT 4.0 IAS
行为Windows 2000 IAS 行为如果在验证中指定一个用户名字,IAS 服务器只验证对照本地 SAM 数据库的用户。IAS 按如下顺序解析用户名字: IAS 从注册表中选择默认域。 如果 IAS 服务器是域的成员,IAS 对照那个域验证用户。 如果 IAS 服务器不是域的成员,IAS 对照本地 SAM 数据库验证用户。IAS 不检查所有用户对象的远程访问权限。IAS 检查所有用户对象的远程访问权限。IAS 日志文件用 ASCII 书写IAS 采用多种语言(可以在 IAS 格式和符合 ODBC 的格式间转换)并用 UTF-8 书写。IAS的特性Microsoft Windows 2000 Server
的 IAS 组件对使用 VPN 和拨号功能连接网络的用户执行集中的身份验证、授权、审核和用户记帐。IAS 实现了 IETF 的标准 RADIUS 协议,它允许使用同类和不同类的拨号网络或 VPN 设备。IAS
特性包括:集中的用户身份验证
用户身份验证是重要的安全功能。
IAS 支持一种身份验证协议并允许接入任意的身份验证方法来满足身份验证需要。支持的身份验证协议有:点到点协议
(PPP)。一系列工业标准框架和身份验证协议,它允许远程访问解决方案来操作多主机多厂商网络。IAS 支持 PPP 中的身份验证协议,例如密码身份验证协议 (PAP)、CHAP (Challenge Handshake Authentication Protocol)、MS-CHAP 和可扩展身份验证协议 (EAP).扩展身份验证协议
(EAP)。一种基础构架,它允许附加的任意身份验证方法,例如智能卡、证书、一次密码和令牌卡。AppleTalk
远程访问协议 (ARAP) 身份验证。拨号认证服务
(DNIS)。这种身份验证协议根据用户所拨的号码。自动号码认证服务
(ANI)。这种身份验证根据用户所拨的号码。ANI 和 Caller ID 一样为人们熟知。来宾身份验证。
处界远程访问和获得世界范围的远程访问。
处界拨号
(也指全部拨号)包括一个组织或私人公司与ISP之间的协议,其中在建立连接公司私有网络的VPN 隧道之前,ISP 允许公司的雇员连接到 ISP 的网络。当雇员连接到 ISP 的 NAS 时,身份验证和使用记录转发到公司的IAS 服务器。IAS 服务器允许公司控制用户身份验证,跟踪使用和管理哪个雇员可以访问 ISP 网络。处界的好处是可能节省资金。通过使用
ISP 的路由器、网络访问服务器和 T1 线路,而不用购买自己的设备,可以节省大量的硬件花费。通过拨入 ISP 来与世界连接,或漫游协会的分布 POP,可以大量减少远程电话费用。并且通过终止支持提供者,可以省去大量的管理预算。
集中的用户授权
为了保证连接的用户正确访问网络
, IAS授权给 Microsoft Windows NT 4.0域中的用户和 Windows 2000本地安全帐户管理员 (SAM)。 IAS也支持活动目录中的新特性,例如 UPN(Universal Principal Names)和通用组。远程访问策略能灵活地控制允许谁连接到网络。虽然管理每个用户帐户的远程访问权限很简单,但当组织发展壮大时这种方法变得难处理。远程访问策略提供更强大和灵活的方法来管理远程访问权限。远程访问策略是一套条件,允许网络管理员更灵活地授权给远程访问。
根据如下情况,策略使您能根据下列内容控制远程访问:
安全组中的用户成员身份。可以使用现有的 Windows 2000 安全组来允许和禁止访问用户。Windows 2000
星期中的时间或天。
用户连接所使用的媒体类型(例如,
ISDN、调制解调器或 VPN 隧道)用户呼叫的电话号码。
从哪个电话号码用户呼叫。
是否用户通过漫游协会的合作伙伴连接。
来自
RADIUS 客户的请求到达。对所有远程服务器的集中管理
支持
RADIUS 标准允许 IAS 控制所有执行此标准的 NAS的连接参数。RADIUS 标准也允许单个远程访问主机来创建叫作指定主机属性的专有扩展。IAS 从多主机目录的大量主机中包含扩展。远程访问策略提使网络管理员能更灵活地管理不同的参数,能够提供创建有条件配置文件的能力。可以使用配置文件来配置用户网络连接参数。
在哪种条件下连接参数可以变化,这包括:
星期中的时间和天。
用户连接所使用的媒体类型(例如,
ISDN、调制解调器或 VPN 隧道)。用户连接的
NAS 主机。Windows 2000
安全组中的用户成员身份。
使用配置文件,可以控制连接参数。例如,可以:
允许或禁止某使用种授权方法。
控制连接空闲的时间。
控制单个会话的最大时间。
控制多连接会话的链接数。
控制加密设置。
添加包过滤器来控制当连接到网络时,用户可以访问何处。例如,可以使用过滤器来控制用户允许发送和接收包的
IP 地址、主机和端口。创建命令隧道,强制所有从连接发来的包安全通过
Internet 并终止于私人网络中。
集中的审核和使用记帐
支持
RADIUS 标准 IAS 收集单点的 NAS 发送的使用(记帐)记录。IAS 日志审核信息(例如,授权成功、拒绝和自动帐户锁定)和使用信息(例如,登录和注销记录)来记录文件。IAS 支持可以直接导入符合ODBC 数据库的日志文件格式。符合 ODBC 数据库中的数据可以用任何第三方数据分析软件包来分析。与
Windows 2000 路由选择和远程访问集成IAS
与路由选择和远程访问集成。IAS 和路由选择和远程访问共享远程访问策略和记帐能力。通过IAS、路由选择和远程访问,这种集成实现了一致性。在不需要的小型站点的单独集中式 ISA 服务器中,它允许配置路由选择和远程访问,也提供按比例增加集中式远程访问管理模型的能力,当在组织中有多个路由选择和远程访问服务器。此情况下,与路由选择和远程访问服务器相关的IAS 实现对网络远程访问的单点管理,实现处界拨号、请求拨号和 VPN 访问。中央大型站点的 IAS 中的策略可以导出到小型站点独立的路由选择和远程访问服务器。易于使用图形用户接口
IAS
提供图形用户接口(MMC 单元),允许配置本地和远程服务器。远程监视
可以通过
Windows 2000 的工具,例如事件观察器和性能监视器来监视 ISA ,或使用简单网络管理协议 (SNMP)。可伸缩性
可以在大小变化的各种网络配置中使用
IAS,从小型网络的单独服务器到大型公司和 ISP 网络。导入
/导出配置来管理多个 IAS 服务器可以通过命令行实用程序,
IAS 配置被导入或导出。Windows 2000
软件开发包Windows 2000
软件开发包 (SDK) 包含两个更小的 SDK,IAS SDK 和 EAP SDK。可以使用 IAS SDK 来实现如下功能:控制终端用户网络会话数量的能力。
远程访问授权扩展通常由
IAS 提供。将使用
/审核数据直接导入符合开放数据库连接 (ODBC) 的数据库的能力。IAS
的自定义 (非 EAP) 授权方法。EAP SDK
提供了实现任意授权方法的能力。
虚拟专用网络的新特性
虚拟专用网络
(VPN) 是通过共享和公共的网络(如 Internet)连接的专用网络的扩展。利用 VPN,可以按照模拟点对点专用链接的方式在两台计算机之间发送数据。虚拟专用网络连接是创建和配置虚拟专用网络的活动。为了模拟点对点链接,数据被打包和包装,并带有提供路由信息的头,它允许数据通过共享或公用网络传送到目的地。为了模拟专用链接,处于保密考虑将数据打包。如果没有密匙,将不能辨读在共享或公用网络中截取的包。将专有数据打包和加密的链接是虚拟专用网络
(VPN) 连接。Windows 2000
为虚拟专用网络提供如下新特性:第二层隧道协议
除了点对点隧道协议
(PPTP),Windows 2000 远程访问服务器还包括工业标准第二层隧道协议 (L2TP),它与 Windows 2000 网间协议安全 (IPSec) 一起创建安全虚拟专用网络连接。远程访问策略
远程访问策略是一系列条件和连接设置,它允许网络管理员更灵活的设置远程访问权限和连接属性。利用远程访问策略,可以强制
VPN 用户使用授权和加密,对拨号用户使用另一套强制授权和加密。MS-CHAP
版本2MS-CHAP
版本2 主要对通过安全信任的加强安全性,并在远程访问连接协商过程中产生密匙。MS-CHAP 版本2 主要为授权虚拟专用网络连接而设计。扩展授权协议
扩展授权协议
(EAP) 允许使用新的授权方式进行远程访问,一个重要特征是根据智能卡配置安全性。EAP 是允许第三方授权模型进入 Microsoft Windows 2000 远程访问PPP 实现的接口。Windows 2000 支持 EAP-MD5 CHAP、 EAP-TLS(用于智能卡和基于认证的授权)和通过 EAP 消息到 RADIUS 服务器。帐户锁定
帐户锁定是试图配置大量失败授权后,收回用户帐户的远程访问权限的安全特性。帐户锁定目的为防止目录攻击。目录攻击是未授权用户试图使用已知用户名和通常作为口令的口令登录。帐户锁定默认为禁止。
IP
安全 (IPSec)网间协议安全
(IPSec) 是一个开放标准框架,它保证通过使用密码书写安全服务在网间协议(IP)网络中安全的私人通信。Microsoft Windows 2000 的IPSec 实现是根据 Internet 工程任务 (IETF) IPSec 工作组开发的标准。什么是
IP 安全?网络安全的长期方向。
对专用网络和
Internet 的免受侵犯提供保护,而同时保留易用性。一套基于加密的保护服务和安全协议。
点对点安全。唯一知道
IP 安全 (IPSec) 的计算机为在通信中的发送者和接收者。保护工作组、局域网计算机、域客户和服务器、物理远程分支。
Extranet、漫游客户和远程计算机管理之间的能力。
为什么使用
IP 安全?安全策略
基于加密技术的更安全的方法有可能极大的增加管理工作量。
Windows 2000 通过应用 IP 安全的策略管理避免了此缺陷。用来配置
IPSec 的是策略,而非应用程序或操作系统。网络安全管理员可以配置从适于单个计算机到活动目录域、站点或组织的 IPSec 策略。Windows 2000 为了集中定义和管理 IPSec 策略,提供管理控制台、IP 安全策略管理。在常用网络中,可以配置此策略对多数通信类型提供各种保护级别。彻底防卫
由于网络攻击会导致系统停机、效率下降和秘密信息暴露,不让保护信息被未授权组织了解和修改是非常重要的。
网络保护策略通常集中于周边安全,通过使用防火墙、安全网关和授权用户拨号访问来防止专用网络之外的攻击。然而,这并不能防止来自网络内部的攻击。
只注意于访问控制安全(智能卡、
Kerberos)不能产生综合性的保护,这是因为这些方法依赖于用户名和密码。许多计算机被多个用户共享,因为在登录状态它经常离开,造成未保护计算机的出现。另外,如果用户名和密码被攻击者破译,只基于访问控制的安全方法将不能停止对网络资源的非法访问。物理级保护策略并不常有,它可以保护物理网络线路和访问使用的点。然而,不可能确保数据从源到目的地经过的整个网络路径。
好的安全计划会有几种安全策略来获得彻底的保护。任何策略都与
IPSec 相联系。这也提供其它层的安全,在数据到达网络线路之前,确保发送计算机的每个 IP 数据包优先于传输的内容,并且接收计算机仅在接收和验证 IP 包后才可确认数据的安全性。网络安全
在
IP 传输级(网络第三层)IPSec的实现允许用小量的过载实现高级保护。配置 IPSec 要求不改变现有的应用程序和操作系统。可以为现有的企业方案配置,如:工作组
局域网
(LAN)、客户/服务器、点对点。远程访问、漫游客户、
Internet 访问、extranet、远程办公。
工作在第三层之上的其它安全框架,如安全套接字层
(SSL),只对知道如何使用 SSL 的应用程序提供安全保护;例如,Web 浏览器。改变所有的应用程序要求保护与SSL的通信。工作在第三层之下的安全框架,例如链接层加密,只保护链接,但不必是数据路径的所有链接。这使得链接层加密不适于Internet 或路由 intranet 方案中的端对端数据保护。第三层的
IPSec 实现提供对TCP/IP协议族中所有 IP 和以上层的协议,例如,TCP、UDP、ICMP、Raw (协议 255)、甚至在 IP 层传送通信的自定义协议。在此层中保护信息的好处是所有使用 IP 传送数据的应用程序和服务可用 IPSec 来保护,对应用程序和服务不需要任何改变。(为了保护 IP 以外协议的安全,数据包必须用 IP 打包)。基于保护的加密技术。
IPSec
保护数据以便攻击者很难或不可能解释。将算法和密匙相结合用来保护信息。使用基于算法和密匙加密技术可获得很高的安全性。算法是一种数学处理,通过它来保护信息,密匙是读取、修改和验证安全数据所需的密码或数字。IPSec
主要利用下面特征来防止和减少网络攻击;自动密匙管理
生成密匙
为了保证安全通信,两台计算机必须可以建立相同和共享的密匙,不必通过网络相互发送密匙。
IPSec 使用 Diffie-Hellman 算法使密匙交换,并为其它加密的密匙提供主要材料。
两台计算机公开和安全的交换信息,包括一个用作基础的主号码。两台计算机都不发送实际的密钥。使用交换而来的共享信息,每个计算机产生相同且加密的密匙。内行用户可以改变默认的密匙交换和数据加密密匙设置。
密匙长度
每次密匙长度增加一位,可能的密匙数量加倍,使得解开密匙的难度按指数增加。为了更高的安全性,策略允许选择更长的密匙长度,如果数据在美国之外交换可选择短的密匙长度,并使用
Windows 2000 的海外版。动态再次加密
IPSec
在通讯过程中可以自动产生新的密匙。通信可使用数据块发送,每个块用一个不同的密匙保护。这可以防止攻击者用一个密匙获得整个通信。内行用户可以改变默认键间隔。安全服务
完整性
保护在传送中未授权修改的信息,确保接收的信息与发送的信息完全相同。使用数学散列函数来对每个包进行唯一的标记和签字。接收计算机在打开包之前检查信号,这样当包改变时,将包丢弃以防止可能的网络攻击。
验证
通过保证每个计算机真正相同,来验证信息的原始和完整性。在未验证之前,未知计算机和它发送的信息被怀疑。为了保证
Windows 2000 的域成员、没有运行Windows 2000的计算机和远程计算机可以找到常用的验证方法,每个策略中列出了多种验证方法。加密性(数据加密)
要确保数据只被预期的接收者收到。传送前数据被加密,即使传送中数据包被攻击者监视和截取,保证数据不能阅读。只有具有共享密匙的计算机可以解释和修改数据。数据加密标准
(DES) 算法用于提供可信度。另外,DES 与附加算法相结合提供更强的安全性,当运行Windows 2000的海外版时,提供符合出口要求的安全性。密码块链接 (CBC) 用于在数据包中隐藏模式相同的数据块。通过提供攻击者使用的试图揭开加密的模式,相同块可能危及安全性。初始化向量 (一个最初的随机数字) 用作第一个随机的块来加密和解密数据块。不同的随机块和密匙一起使用来加密每个块。这保证将相同设置的未保护数据转化为唯一设置的加密数据。除去重复数据也可以防止加密过程的数据增加。机密性在选项策略中设置。不拒绝
保证信息寄件人是发送消息的唯一人,寄件人不能否认已发送消息。
反对重新执行
也称作防止重新执行,它能保证每个
IP 包的唯一性。攻击者捕获的消息不能再次使用或再次执行以建立会话或非法获得信息。