我正在尝试在我们的环境中配置 Web 和应用服务器之间的 IPSec。我希望这两个服务器之间的所有流量都使用 IPsec 并进行加密。这些服务器位于同一个域中,因此我目前使用 Kerebos 来确保安全性,我也尝试过预定义密钥,但没有任何变化。当我尝试在服务器之间 ping 时,每次都会收到“协商 IP 安全性”的消息。我还确认,当我将“需要安全性”更改为“允许”时,一切正常,因此 IPSec 正在运行,我相信这与我的安全设置有关。在“安全性”选项卡下,两个服务器首先都有默认的 3DES 密钥,然后是 DES 密钥。我还指定了隧道端点(备用服务器的 IP)。
我错过了什么?感谢您的帮助。
答案1
请参阅以下技术主题: 服务器和域隔离这应该会告诉你更多关于如何解决问题的信息,如果有必要,你可以点击链接下载启用此功能的虚拟机,以准确了解它在工作系统中的工作原理。
简而言之,不要使用预共享密钥,设置组,为组创建防火墙规则,通过组策略启用 DSI。其中一个链接也是实验室设置指南,可让您在测试环境中创建此设置,直到您完全理解该过程。
答案2
有时将 IPSEC 配置为仅对特定端口(FTP、文件传输、HTTP、数据库等)启用比为所有端口配置更容易。此外,预共享密钥比 Kerebos 更容易设置。我建议让 IPSEC 只对一个端口(如 FTP 或 HTTP)起作用,然后开始添加要加密的所有服务的端口号。