使用安全连接规则为网络传输“保驾护航”

刘景云

当在网络传输数据（尤其是机密信息）时，我们最担心黑客使用Sniffer Pro等嗅探工具对其进行拦截，一旦让其得逞，您的敏感信息就没有秘密可言。为了保护数据传输的安全性，不仅要对传输的数据进行高强度的加密，而且还需要对数据进行完整性检查，防止黑客中途对其进行非法窜改。其实，我们无需使用复杂的加密工具，仅仅依靠系统提供的安全连接规则，就可以对网络数据传输进行完美保护。

在本文中，以在两台Windows 7主机之间安全传输数据为例进行说明。这两台主机可以在局域网中也可以位于Internet上，两机都拥有独立的IP。在其中一台（假设为PC1）上打开控制面板，在系统和安全窗口中点击“Windows防火墙”项，在左侧点击“打开或关闭Windows防火墙”项，启用Windows防火墙。在上述窗口左侧点击“高级设置”项，在高级安全Windows防火墙窗口左侧选择“连接安全规则”项，在右侧点击“新建规则”连接，在弹出窗口（如图1）中选择“隔离”项，点击下一步按钮，如果选择“入站和出站请求身份验证”项，表示数据的进出都会请求对方采用IPSec，如果对方没有提供IPSec功能导致协商失败的话，就采用普通的连接方式。

如果选择“入站连接要求身份验证，出站连接请求身份验证”项，表示接收数据必须采用IPSec，否则拒绝连接。出站连接会请求对方采用IPSec，如果与对方协商失败，就采用一般的连接方式。选择“入站和出站要求身份验证”项，表示无论出站和入站连接，都必须采用IPSec，否则的话拒绝连接（如图2）。这里选择“入站和出站要求身份验证”项，来提高传输的安全性。在下一步窗口（如图3）中选择“高级”项，点击“自定义”按钮，在弹出窗口（如图4）中的“第一身份验证”栏中点击“添加”按钮，在打开窗口（如图5）中选择身份验证方法，包括计算机Kerberos V5、计算机NTLMv2、证书，预共享密钥等类型。例如，可以选择“预共享密钥”项，输入所需的密钥。

当然，在对方主机上也必须按照同样的方法，设置相同的密钥值。也可以使用数字证书，来保护数据传输的安全性。选择“来自下列证书颁发机构（CA）的计算机证书”项，点击浏览按钮，选择所需的数字证书即可。当然，在两台电脑上都必须安装同样的数字证书。注意，所谓第一身份验证方法针对的目标是计算机身份，即相互通讯的主机。为了加强安全性，可以对用户身份进行安全验证，即验证发起数据通讯的用户账户。方法是在“第二身份验证”栏中点击“添加”按钮，在弹出窗口中选择合适的验证方式（例如“用户Kerberos V5）”。这样，在连接对方主机时，必须使用指定账户身份来操作。

在上述向导界面中点击下一步按钮，在配置文件窗口中选择本机何时应用该规则。如果选择“域”项，表示当本机连接到网络时，如果能够与域控制器通信，就应用此规则。如果选择“专用”项，表示当本机连接到专用网络时，如果无法与域控制器通信或者该机是非域成员，就应用此规则。如果选择“公用”项，表示本机连接到公用网络时应用此规则。在下一步窗口中输入本规则的名称和描述信息，点击“完成”按钮，执行该规则的创建操作。如果在另外一台主机（假设PC2）上没有配置同样的IPSec规则，那么当其试图与本机通讯时，就会遭到本机的拒绝。因此，需要在另一台主机上执行上述操作，创建同样的连接安全规则。

这样，在两台主机之间进行数据传输时，别人是无法进行嗅探和窜改的，因为使用了数据加密技术，黑客是无法破译其内容的。例如，在PC1共享某个文件夹，之后从PC2对其进行访问，并远程复制和存储其中的数据，在此期间，数据处于加密传输状态，黑客即使使用Cain等工具对其进行探测，也只能得到一些杂乱的代码。在数据传输过程中，在PC1或者PC2主机上的高级安全Windows防火墙窗口左侧选择“监视”-“安全关联”-“主模式”或者“快速模式”项，就可以在监控界面中查看加密传输参数了，包括本机地址、远程地址、本地端口、远程端口、协议、AH完整性、ESP完整性、ESP加密等信息。注意，为了顺利使用PING命令。在两机之间进行探测，可以在如果想更改IPSec默认值的话，可以在高级安全Windows防火墙窗口左侧的“本地计算机”节点右键菜单上点击“属性”项，在弹出窗口（如图6）中的“IPSec 免除”栏中的“从IPSec免除 ICMP”列表中选择“是”项，可以让PING操作不受IPSec影响直接进行探测操作。