在网络应用越来越广泛的今天，一个重要的问题就是有关计算机通信的安全性问题。作为网络系统管理员，一项基本职责就是保证数据在网络传输中，不能被未经授权的人访问、查看或修改，在这中间，同时要保证数据能加密传输。怎样做到这一点呢？

　　在Windows 2000网络中，我们可以通过Internet Protocol Security(IPSEC—Internet协议安全性)来保护网络的安全。IPSEC的工作原理是这样的：在进行数据交换之前，先相互验证对方的计算机的身份。验证身份通过之后，在这两台计算机之间建立一种安全协作关系，并且在进行数据传输之前将数据进行加密。通过这三个步骤，可以保证网络的通信安全，即使数据中途被截获，因为截获者不知道加密的密钥也就无从了解数据的内容。

　　Windows 2000操作系统都支持IPSEC，Windows 2000以前的版本，如Win 98与Win NT不支持IPSEC。在Win 2000的网络中，不管是局域网、广域网，都可以使用IPSEC来保证网络的安全。下面我们简述一下，怎样在Win 2000的网络之中应用IPSEC。

　　启用IPSEC策略

　　在Win 2000的计算机中，点击“开始”→“运行”，输入“MMC”，按确定；出现Windows的管理控制台界面，按“CTRL+M”键，在出现的对话框中点“添加”，在“添加独立的管理单元”对话框中，选中“IP安全策略管理”，点添加(如图1)；在“选择计算机”对话框中，选择“本地计算机”，表示管理现在正在使用的计算机，依次用鼠标按“完成”、“关闭”、“确定”按钮。

图1

　　用鼠标点击“IP安全策略，在本地机器”，在右边的窗口中有三种预定的策略：

　　1)安全服务器(必须安全性)：如果采用这条策略，表示与这台计算机进行通信的计算机必须采用IPSEC安全策略，如果对方计算机没有采用安全策略，将不能与本机进行通信；

　　2)服务器(请求安全设置)：如果采用这条策略，表示这台计算机与其他计算机进行通信时，首先要求进行安全通信，如果对方计算机不支持安全通信，这台计算机也可以与对方计算机进行通信，但这一通信是不可靠的；

　　3)客户机(只用于响应)：如果采用这种策略，只有当对方计算机要求进行安全通信时，本机才会应用IPSEC安全策略，如果对方计算机没有要求，则采用正常方法进行通信，这一策略是最不安全的设置。

　　我们可以这样设置，如果网络中所有的计算机都运行Win 2000，则将Win 2000的IPSEC安全策略设置为“安全服务器”级，这样，可以保证网络中所有的数据传输都是安全的；如果网络中既有Win 2000，也有Win 98/NT，那么可以将Win 2000的IPSED安全策略设置为“服务器”级，这样，在Win 2000之间进行通信时是安全的，与Win 2000之外的计算机也可以进行通信。

　　策略选择：我们用鼠标右键点击选中的策略，在出现的弹出式选单中选择“指派”就启用了IPSEC安全策略，指派策略之后将立即生效，不需重新启动计算机。

　　身份验证

　　在IPSEC中，有三种身份验证方法：1)Win 2000默认值，只有在一个Win 2000的域中才可以采用这种身份验证方法，如果你的网络有不同的域，则不能采用这种方法。2)使用由证书颁发机构(CA)颁发的证书，当网络中的计算机都从同一个CA申请证书进行身份验证时，可以采用这种办法。这种方法主要用在广域网中进行通信并且通信双方的计算机都从同一个证书颁发机构申请证书时。3)预共享密钥，采用这种方法时，通信双方用一个事先认定的字符串来进行身份验证。在广域网中、在不同的域中进行通信，都可以采用这种方法。

　　选择方法：用鼠标双击一个选中的IPSEC策略，在“IP安全规则”对话框中，选中“所有IP通信”，用鼠标点击“编辑”，在“编辑规则属性”对话框中，选择“身份验证方法”选项栏，点击“编辑”，就可以根据需要选择相应的身份验证方法(如图2)。

　　为传输数据选择加密算法

　　有三种加密算法可供选择：1)56位DES加密算法，采用56位二进制，采用DES算法对传输的数据进行加密；2)40位DES加密算法；3)3DES，这是最安全的方法，采用3个56位二进制的密钥，对每一个数据块处理3次，每一次都利用特有的密钥。

图2

　　为身份验证选择加密算法：在身份验证的时候要传输身份验证密钥，为了保证密钥的安全，可以选用两种加密算法加密传输的密钥，一种是SHA加密算法，采用160个二进制位，另一种是MD5加密算法，采用128个二进制位。

　　当对安全性要求不是很高时，可以选用MD5身份验证加密技术和40位DES数据加密算法，这种选择占用处理器资源有限。

　　选择方法：用鼠标双击一个选中的IPSEC策略，在“IP安全规则”对话框中，选择“常规”选项卡，点击“高级”、“方法”、“添加”按钮，从出现的“IKE安全算法”对话框中根据需要选择相应的加密算法(如图3)。

图3

　　模式选择

　　如果将IPSEC用在局域网中，则应该选择“传送模式”；如果将IPSEC用于广域网中，则应该选择“隧道模式”，并且指出对方计算机的IP地址。IPSEC的默认模式是“传送模式”，要改为“隧道模式”，需要用鼠标双击一个选中的IPSEC策略，在“IP安全规则”对话框中，选中“所有IP通信”，用鼠标点击“编辑”，在“编辑规则属性”对话框中，选择“隧道设置”选项栏，选中“隧道终点由此IP地址指定”，在IP地址处输入远端计算机的IP地址(如图4)。

图4

　　恢复IPSEC的默认设置

　　如果多次更改IPSEC的安全策略，并且策略设置有误时，可以恢复默认的IPSEC安全设置。方法是：鼠标右键点击“IP安全策略，在本地机器”，选择“所有任务”→“还原默认策略”即可。

　　计算机网络通信的安全问题已经被越来越多的人们所注意，本文介绍了IPSEC，让我们尽可能利用Win 2000所提供的一些新特性来提高网络数据的安全。