如何做：使用 IPSec 保护两个服务器之间通信.docVIP

构建安全的 ASP.NET 应用程序身份验证、授权和安全通信 有关构建安全的 ASP.NET 应用程序 的起点和完整概述，请参见登陆页面。 总结 IPSec 是一种由 Windows 2000 提供的技术，它允许您在两台服务器之间创建加密通道。IPSec 可用于筛选 IP 通信并验证服务器身份。本“如何做”说明如何配置 IPSec 以提供安全（加密）通道。 如何做：使用 IPSec 在两台服务器之间提供安全通信 Internet 协议安全性 (IPSec) 可以用来保护在两台计算机（例如一台应用程序服务器和一台数据库服务器）之间发送的数据。IPSec 对于应用程序是完全透明的，这是因为加密、完整性和身份验证服务都是在传输层实现的。应用程序继续使用 TCP 端口和 UDP 端口以普通方式彼此通信。 使用 IPSec，您可以： ● 通过加密两台计算机之间传送的所有数据来实现消息必威体育官网网址。 ● 在两台计算机之间实现消息完整性（无需加密数据）。 ● 在两台计算机之间提供相互身份验证。例如，可以建立只允许来自特定客户端计算机（如应用程序或 Web 服务器）的请求的策略，帮助保证数据库服务器的安全。 ● 限制哪些计算机可以彼此通信。也可以限制只与特定的 IP 协议和 TCP/UDP 端口通信。 本“如何做”说明如何保护应用程序服务器和运行 SQL Server 2000 的数据库服务器之间的通信通道。应用程序服务器使用建议的 TCP/IP 客户端网络库连接到 SQL Server，并使用默认的 SQL Server TCP 端口 1433。图 1 显示了此配置。 {Insert figure: HowTo - IPSec.gif } 图 1 “如何做”解决方案配置 本“如何做”说明如何使用一个简单的 IPSec 策略来实现以下方面： ● 应用程序服务器到 SQL Server 的通信只能通过端口 1433 使用 TCP 完成。 ● 丢弃所有其他 IP 数据包，包括 ICMP (ping)。 ● 加密在两台计算机之间发送的所有数据以保证必威体育官网网址性。 此方法的优点是： ● 为在两台计算机之间发送的所有数据提供数据必威体育官网网址性。 ● SQL Server 上的攻击点明显减少。剩下的唯一攻击点是以交互方式登录到数据库服务器，或者获得应用程序服务器的控制权并尝试在端口 1433 上通过 TCP 攻击 SQL Server。 ● IPSec 策略的定义和实现特别简单。 此策略有以下缺点： ● SQL Server 不能与域控制器通信，因此： ● 不能应用组策略（数据库服务器应该是独立服务器）。 ● 应用程序服务器和数据库服务器之间的 Windows 身份验证要求两台计算机上的本地帐户同步（具有相同的用户名和密码）。 ● 您不能使用更可靠的应用 IPSec 的方法（Windows 2000 默认值/Kerberos）。 ● SQL Server 将不能与其他计算机通信，包括 DNS 服务器。 ● 本“如何做”中介绍的方法使用预共享密钥身份验证，对于生产方案不建议使用此方法。生产系统应该使用证书或 Windows 2000 域身份验证。使用预共享机密的 IPSec 策略只适合在开发或测试环境中使用。 ● 两台计算机都必须有静态 IP 地址。 备注 ● IPSec 策略由一套筛选器、筛选器操作和规则组成。 ● “筛选器”由以下内容组成： ● 源 IP 地址或地址范围。 ● 目标 IP 地址或地址范围。 ● IP 协议，如 TCP、UDP 或“任意”。 ● 源和目标端口（仅限于 TCP 或 UDP）。 ● 筛选器还可以在两台计算机上镜像。镜像筛选器在客户端和服务器计算机上应用相同的规则（源地址和目标地址互换）。 ● “筛选器操作”指定调用特定的筛选器时采取的操作。它可以是下面任何一种： ● 允许。通信不受保护；可以不受干预地进行发送和接收。 ● 禁止。不允许通信。 ● 协商安全性。终结点必须达成一致，然后使用安全方法进行通信。如果它们未就通信方法达成一致，则不会发生通信。如果协商失败，您可以指定是否允许不安全的通信或是否应该禁止所有的通信。 ● “规则”将筛选器与筛选器操作关联。 ● “镜像”策略是将规则应用于所有数据包的策略（指定源 IP 地址和目标 IP 地址正好互换）。本“如何做”中创建镜像策略。 要求 以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包。 ● 两台运行 Microsoft? Windows? 2000 Server 操作系统的计算机 您必须知道它们的 IP 地址 ● 数据库服务器计算机上有 Microsoft? SQL Server? 2000 总结 本“如