當(dāng)在網(wǎng)絡(luò)傳輸數(shù)據(jù)（尤其是機(jī)密信息）時(shí)，我們最擔(dān)心黑客使用Sniffer Pro等嗅探工具對(duì)其進(jìn)行攔截，一旦讓其得逞，您的敏感信息就沒(méi)有秘密可言。為了保護(hù)數(shù)據(jù)傳輸?shù)陌踩?，不僅要對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行高強(qiáng)度的加密，而且還需要對(duì)數(shù)據(jù)進(jìn)行完整性檢查，防止黑客中途對(duì)其進(jìn)行非法竄改。其實(shí)，我們無(wú)需使用復(fù)雜的加密工具，僅僅依靠系統(tǒng)提供的安全連接規(guī)則，就可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行完美保護(hù)。

　　在本文中，以在兩臺(tái)Windows7主機(jī)之間安全傳輸數(shù)據(jù)為例進(jìn)行說(shuō)明。這兩臺(tái)主機(jī)可以在局域網(wǎng)中也可以位于Internet上，兩機(jī)都擁有獨(dú)立的IP。在其中一臺(tái)（假設(shè)為PC1）上打開(kāi)控制面板，在系統(tǒng)和安全窗口中點(diǎn)擊“Windows防火墻”項(xiàng)，在左側(cè)點(diǎn)擊“打開(kāi)或關(guān)閉Windows防火墻”項(xiàng)，啟用Windows防火墻。在上述窗口左側(cè)點(diǎn)擊“高級(jí)設(shè)置”項(xiàng)，在高級(jí)安全Windows防火墻窗口左側(cè)選擇“連接安全規(guī)則”項(xiàng)，在右側(cè)點(diǎn)擊“新建規(guī)則”連接，在彈出窗口中選擇“隔離”項(xiàng)，點(diǎn)擊下一步按鈕，如果選擇“入站和出站請(qǐng)求身份驗(yàn)證”項(xiàng)，表示數(shù)據(jù)的進(jìn)出都會(huì)請(qǐng)求對(duì)方采用IPSec，如果對(duì)方?jīng)]有提供IPSec功能導(dǎo)致協(xié)商失敗的話，就采用普通的連接方式。

　　如果選擇“入站連接要求身份驗(yàn)證，出站連接請(qǐng)求身份驗(yàn)證”項(xiàng)，表示接收數(shù)據(jù)必須采用IPSec，否則拒絕連接。出站連接會(huì)請(qǐng)求對(duì)方采用IPSec，如果與對(duì)方協(xié)商失敗，就采用一般的連接方式。選擇“入站和出站要求身份驗(yàn)證”項(xiàng)，表示無(wú)論出站和入站連接，都必須采用IPSec，否則的話拒絕連接。這里選擇“入站和出站要求身份驗(yàn)證”項(xiàng)，來(lái)提高傳輸?shù)陌踩?。在下一步窗口中選擇“高級(jí)”項(xiàng)，點(diǎn)擊“自定義”按鈕，在彈出窗口中的“第一身份驗(yàn)證”欄中點(diǎn)擊“添加”按鈕，在打開(kāi)窗口中選擇身份驗(yàn)證方法，包括計(jì)算機(jī)KerberosV5、計(jì)算機(jī)NTLMv2、證書(shū)，預(yù)共享密鑰等類(lèi)型。例如，可以選擇“預(yù)共享密鑰”項(xiàng)，輸入所需的密鑰。

　　當(dāng)然，在對(duì)方主機(jī)上也必須按照同樣的方法，設(shè)置相同的密鑰值。也可以使用數(shù)字證書(shū)，來(lái)保護(hù)數(shù)據(jù)傳輸?shù)陌踩?。選擇“來(lái)自下列證書(shū)頒發(fā)機(jī)構(gòu)（CA）的計(jì)算機(jī)證書(shū)”項(xiàng)，點(diǎn)擊瀏覽按鈕，選擇所需的數(shù)字證書(shū)即可。當(dāng)然，在兩臺(tái)電腦上都必須安裝同樣的數(shù)字證書(shū)。注意，所謂第一身份驗(yàn)證方法針對(duì)的目標(biāo)是計(jì)算機(jī)身份，即相互通訊的主機(jī)。為了加強(qiáng)安全性，可以對(duì)用戶身份進(jìn)行安全驗(yàn)證，即驗(yàn)證發(fā)起數(shù)據(jù)通訊的用戶賬戶。方法是在“第二身份驗(yàn)證”欄中點(diǎn)擊“添加”按鈕，在彈出窗口中選擇合適的驗(yàn)證方式（例如“用戶KerberosV5）”。這樣，在連接對(duì)方主機(jī)時(shí)，必須使用指定賬戶身份來(lái)操作。

　　在上述向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，在配置文件窗口中選擇本機(jī)何時(shí)應(yīng)用該規(guī)則。如果選擇“域”項(xiàng)，表示當(dāng)本機(jī)連接到網(wǎng)絡(luò)時(shí)，如果能夠與域控制器通信，就應(yīng)用此規(guī)則。如果選擇“專(zhuān)用”項(xiàng)，表示當(dāng)本機(jī)連接到專(zhuān)用網(wǎng)絡(luò)時(shí)，如果無(wú)法與域控制器通信或者該機(jī)是非域成員，就應(yīng)用此規(guī)則。如果選擇“公用”項(xiàng)，表示本機(jī)連接到公用網(wǎng)絡(luò)時(shí)應(yīng)用此規(guī)則。在下一步窗口中輸入本規(guī)則的名稱(chēng)和描述信息，點(diǎn)擊“完成”按鈕，執(zhí)行該規(guī)則的創(chuàng)建操作。如果在另外一臺(tái)主機(jī)（假設(shè)PC2）上沒(méi)有配置同樣的IPSec規(guī)則，那么當(dāng)其試圖與本機(jī)通訊時(shí)，就會(huì)遭到本機(jī)的拒絕。因此，需要在另一臺(tái)主機(jī)上執(zhí)行上述操作，創(chuàng)建同樣的連接安全規(guī)則。

　　這樣，在兩臺(tái)主機(jī)之間進(jìn)行數(shù)據(jù)傳輸時(shí)，別人是無(wú)法進(jìn)行嗅探和竄改的，因?yàn)槭褂昧藬?shù)據(jù)加密技術(shù)，黑客是無(wú)法破譯其內(nèi)容的。例如，在PC1共享某個(gè)文件夾，之后從PC2對(duì)其進(jìn)行訪問(wèn)，并遠(yuǎn)程復(fù)制和存儲(chǔ)其中的數(shù)據(jù)，在此期間，數(shù)據(jù)處于加密傳輸狀態(tài)，黑客即使使用Cain等工具對(duì)其進(jìn)行探測(cè)，也只能得到一些雜亂的代碼。在數(shù)據(jù)傳輸過(guò)程中，在PC1或者PC2主機(jī)上的高級(jí)安全Windows防火墻窗口左側(cè)選擇“監(jiān)視”-“安全關(guān)聯(lián)”-“主模式”或者“快速模式”項(xiàng)，就可以在監(jiān)控界面中查看加密傳輸參數(shù)了，包括本機(jī)地址、遠(yuǎn)程地址、本地端口、遠(yuǎn)程端口、協(xié)議、AH完整性、ESP完整性、ESP加密等信息。注意，為了順利使用PING命令。在兩機(jī)之間進(jìn)行探測(cè)，可以在如果想更改IPSec默認(rèn)值的話，可以在高級(jí)安全Windows防火墻窗口左側(cè)的“本地計(jì)算機(jī)”節(jié)點(diǎn)右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中的“IPSec免除”欄中的“從IPSec免除ICMP”列表中選擇“是”項(xiàng)，可以讓PING操作不受IPSec影響直接進(jìn)行探測(cè)操作。

　　文/劉景云

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來(lái)看……