预备知识

需要熟悉 Microsoft® Windows Server™ 2003 的以下方面：

组织先决条件

规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见，他们可能需要参与隔离规划，包括扮演下列角色的人：

服务器和域隔离项目的范围要求整个组都了解业务需求、技术问题、对用户的影响和整个项目过程。 需要进行广泛输入时，有可担当此项目的主要联系人的资深人士是很有益的，如支持人员或在部署中会受影响的用户。 在复杂项目中出现问题的两个主要原因是规划不好和通信差。 项目小组必须了解这些潜在的风险并确保已采取措施对其缓解。

标识受信任计算机

对信任及信任与计算机如何相关的讨论是服务器和域隔离主题的重要部分。 从其核心功能来说，隔离是任何特定的受信任主机决定谁对其有网络级访问权限的能力。 因此，不管远程计算机在远程连接端如何连接（例如，无线、LAN、Internet），它都必须使用 IPsec 来协商信任并确保端到端的 TCP/IP 通信流与目标计算机的安全。 此端到端安全模型提供其他基于链接的网络访问控制和安全技术所无法提供的网络通信的保护级别（例如，VPN、802.1x、802.11 WEP）。 信任远程计算机将首先防止被盗窃、破坏或误用的用户凭据具有极大的价值。

在本解决方案的内容中，信任是组织的一种能力，它合理确保某特定的计算机处于已知状态并且符合组织已同意的最低安全要求。 这些要求可以是本身技术性的、以安全为重点的、与业务相关的或任何组合。 这些要求还规定计算机在建立与其他计算机的通信之前应处的状态。 Microsoft 建议受信任计算机的规格包括定期更新的安全更新列表和所需的 Service Pack。 理想情况是，应通过使用修补程序管理系统（如 Windows Update 服务或 Microsoft Systems Management Server (SMS)）来管理和实施这些更新。 应用这些更新的频率取决于组织测试和部署每个更新所需的时间长度。 但要获得最高的安全性，应尽快为您的环境应用这些更新。

不受信任计算机是无法确保符合这些安全要求的计算机。 一般来说，一台计算机在无人管理或无安全保护的情况下被视为不受信任。

服务器和域隔离解决方案的目的在于通过实施保护组织资产的工具、技术和过程来缓解对受信任的资源带来的风险。 本解决方案可确保：

•	只有那些被视为受信任的（那些符合特定安全要求的）计算机才可访问受信任资源。
•	不受信任计算机被拒绝访问受信任资源，除非提出特殊的业务原因来证明没有风险。

应允许仅从其他受信任资源对受信任资源（在默认情况下）进行网络级别的访问。 此外，通过对受信任环境中的特定用户和计算机使用允许或拒绝权限及 ACL 来控制网络层的访问。

通过建立这种受信任环境及限制允许在该环境内部和外部通信，企业可降低对其数据资产带来的整体风险。 其他业务优势可能包括：

•	对网络特定区域上的数据流的深入了解。
•	用于达到“受信任”状态的安全计划的采用得以改进。
•	创建了最新的主机和网络设备库存。

例如，在 Woodgrove Bank 方案中，受信任计算机包括在 Woodgrove 拥有和管理的任何域中运行 Windows 2000 Service Pack (SP) 4、Windows XP SP2 或更高版本，或 Windows Server 2003 或更新版本的所有计算机。 此外，IT 人员还定期检查受信任资产（包括运行使用组策略以提供安全设置的 Windows 2000 或更新版本的所有计算机）以确保它们继续满足最低要求。 IT 人员检查受信任资产还为了确保按照 Woodgrove 本身的安全要求可集中控制专用安全软件（如防病毒软件）的安装和配置。 有关在本解决方案的环境中哪些计算机被视为受信任的详细信息，请参阅本指南中的第 3 章“确定 IT 基础结构的当前状态”的“信任确定”一节。

无人管理的计算机

无人管理的计算机是 IT 部门不集中管理其安全设置的计算机。 此外，不提供所需的安全管理功能的计算机也被视为无人管理。 无人管理的计算机被视为不受信任是因为组织无法确保它们是否会满足试图访问的受信任计算机的安全要求。

无安全保护的计算机

不受信任计算机还包括那些使用没有（或无法配置为）所需安全级别的操作系统的计算机。 无安全保护的计算机可分为下列四组：

•	较低操作系统安全分级的计算机。 此分组适用于运行缺少所需的安全基础结构分级的操作系统的计算机。 这种操作系统包括 Windows 9x、Microsoft Windows NT® 和 Windows CE。 通常，安全基础结构所需的功能可在 Windows XP 和 Windows Server 2003 等较现代的操作系统中找到。 这些功能包括访问控制（例如，文件权限）、数据包加密和强身份验证与授权的网络安全功能、不同级别的特权（用户和管理）、安全设置的集中管理支持、确保数据机密性和完整性的支持及其他安全技术的支持（如 Kerberos 身份验证协议和证书服务）。
•	配置不正确的计算机。 即使是最安全的操作系统，如果配置方式不正确，也容易受到攻击。 这种计算机必须视为无安全保护的设备。
•	缺少所需的更新级别的计算机。 因为 IT 安全是一个不断发展的领域，所以大多数软件供应商都会发布软件更新来确保正确解决最新的漏洞。 组织可能确定主机必须被视为受信任所需的最低级别的更新。 在这种情况下，那些缺少这些更新的计算机将被视为无安全保护的设备。
•	可能已经被破坏的受信任计算机。 受信任计算机通常有可能被受信任的攻击者破坏。 受信任计算机被破坏之后，除非对该计算机执行某些补救措施以将其返回至受信任状态，否则将不再被视为受信任计算机。 如果无法信任一台计算机的用户，则也不能信任该计算机，了解这一点是很重要的。

属于这四组中的一组的那些设备被归为不受信任设备，因为组织无法确定它们是否未受到某种方式的破坏。 因此，它们会对其试图访问的受信任计算机带来巨大的风险。

使用服务器和域隔离可直接实现目标

总而言之，服务器和域隔离的目标是缓解由不受信任计算机对受信任计算机进行未授权的访问所带来的威胁。 使用当前的平台，通过限制入站网络访问隔离远程计算机的能力是基于以使用 IPsec Internet 密钥交换 (IKE) 安全协商协议的域成员计算机身份成功进行验证的能力。 仅在计算机身份验证已成功实现并且 IPsec 安全关联保护所有上层协议和两台计算机之间的应用程序连接之后才涉及用户身份验证。 因此，通过使用服务器和域隔离可实现下列目标：

•	在网络级别上将受信任域成员计算机与不受信任设备隔离起来。
•	确保对内部网络上的受信任域成员的入站网络访问需要使用另一受信任域成员。
•	允许受信任域成员限制对域成员计算机的特定组的入站网络访问。
•	将网络攻击风险集中在少量主机上，这些主机为受信任域提供一个边界，以便在其中更有效地应用最大风险缓解策略（如启动、监视和入侵检测）。 • 在攻击前集中并优先进行主动监视和遵守工作。
•	在攻击前、攻击中和攻击后集中并加快进行补救和恢复工作。
•	通过添加每一数据包的强相互身份验证、完整性、反重放和加密来提高安全性，而无需更改应用程序和上层协议（如服务器消息块 [SMB] 或 NetBT）。

服务器和域隔离旨在保护受信任主机上的所有网络服务以防止不受信任网络的访问和攻击。 服务器和域隔离使主机不易受到基于网络的其他安全类型中的弱点和错误的攻击以及用户凭据保护中的弱点的攻击。 最后，服务器和域隔离解决方案可解决类似的网络威胁，但提供与基于网络的其他类型的安全技术不同的网络访问控制和通信流保护级别。 例如，服务器和域隔离解决方案可授权对基于主机和用户域身份的特定的受信任主机进行入站访问，从而确保对经过授权的通信的端到端保护。 但大多数基于网络的安全技术仅支持用户身份。

使用服务器和域隔离解决风险

服务器和域隔离解决的第一个风险是由不受信任计算机对受信任计算机进行未授权的访问所带来的风险。 仅使用本解决方案无法完全缓解某些安全风险。 如果使用其他安全过程和技术无法解决这些安全风险，则最终将否定隔离解决方案的安全优势。 使用本解决方案无法直接缓解的严重的安全风险包括以下示例：

•	受信任用户偷窃或泄露敏感数据的风险。 虽然隔离解决方案可以控制计算机在内部网络的通信，但管理用户还是能破坏这些控制。 本解决方案不可能消除受信任用户对敏感数据不正确复制或传播带来的风险。
•	破坏受信任用户凭据的风险。 虽然管理员可选择使用 IPsec 加密大多数通信流以保护网络登录信息，但不支持对域控制器的用户登录通信流的 IPsec 保护。 服务器和域隔离可强迫攻击者使用受信任主机攻击其他受信任主机。 攻击者也可能攻击受信任主机，方法是使用不需将 IPsec 与受信任主机（例如，域控制器和 DNS 服务器）配合使用的主机的被破坏的凭据，或使用接受与不受信任计算机的入站连接的主机的被破坏的凭据。 虽然管理员可以控制受信任主机是否与不受信任主机进行出站通信，但本解决方案还是无法缓解受信任用户将其凭据遗失给诱使他们泄露其密码的攻击者的风险。
•	恶意用户。 滥用其访问权限的合法用户也属于此类别。 例如，本解决方案无法缓解心存不满的员工决定使用他们因其工作角色而有权访问的受信任主机来窃取信息的风险。 对受信任主机的物理访问可使攻击者获得未经授权的访问和管理访问。 因为管理员可禁用服务器和域隔离保护，所以限制访问的默认范围和管理员的数量（包括工作站或成员服务器上的企业管理员、域管理员和本地管理员）是至关重要的。
•	不受信任计算机访问其他不受信任计算机的风险。 本解决方案无法缓解攻击者使用不受信任计算机攻击其他不受信任计算机的风险。
•	不受信任计算机攻击某些受信任计算机的风险。 服务器和域隔离解决方案旨在保护受信任主机。 但在实际部署中，本解决方案将确定由于各种原因不使用 IPsec 来协商对其他受信任主机的受信任访问的受信任域成员。 这些受信任但不支持 IPsec 的计算机是免除列表中的成员（例如域控制器）。 本解决方案还确定某些受信任主机可被不受信任计算机访问以提供隔离域的边界服务。 然后可控制免除或边界主机的攻击者可攻击隔离域中的所有其他受信任主机。
•	确保受信任主机符合安全要求。 本解决方案建议如何定义受信任主机以及尤其需要它们是 Windows 2000 或 Windows Server 2003 域的成员。 本解决方案仅取决于基于 IPsec IKE 域 (Kerberos) 的成功的身份验证以建立信任并由此建立 IPsec 保护的连接。 随着时间的推移，由于各种原因受信任主机可能不符合成为受信任主机的整套标准但仍然可作为域成员成功验证。 确保域成员符合受信任主机的定义，这是组织的 IT 管理系统和过程的职责。

服务器和域隔离是如何适用于总体网络安全战略的？

除了部署其他主动和响应机制外，还部署服务器和域隔离来保护网络和其连接的设备（包括计算机）。 因为安全性是一个涉及多方面的问题，需要从多个层次来解决，所以审核其背后的纵深防御的概念和深层次的概念是很有帮助的。 总体网络安全战略应用适当的技术以缓解优先级最高的风险，而无需极大地依赖于单点故障。 例如，如果由于配置错误或恶意的员工导致周边安全出现问题，则哪些其他层面的保护可停止网络攻击和内部受信任主机上的感染？ 当攻击者连接到美国任何一间办公室的会议室中的以太网端口时，哪种保护可停止欧洲或亚洲的所有受信任主机上的攻击？

纵深防御

纵深防御被描述为保护计算机而非依赖于该保护的单个机制的最佳分层方法。 要成功地进行分层保护，有必要首先了解准备攻击组织的感染源和敌手并且对它们可能攻击的目标有一定的认识。 例如，敌手可能是雇佣间谍公司来偷窃有关正在开发中的新产品或服务的竞争对手。 了解攻击者和它们可能攻击的目标之后，对可能受到破坏的计算机应用事件响应过程是很有必要的。 这些方法包括身份验证、授权、机密性和非拒绝。 遵守保护-检测-响应的行业最佳做法的组织认识到攻击将会发生，并了解快速检测攻击和将服务中断或数据丢失降至最低是极其重要的。 实施保护-检测-响应可识别攻击，因为攻击的概率很高，所以应更努力地保护数据和资产而不是阻止攻击发生。 一般说来，防御攻击比攻击发生后再来消除它更有效。

所有信息保证机制都集中在人、过程和技术上。 隔离涉及所有这三个领域：通过彻底了解需要保护的风险、要求和资产来实现隔离，以及需了解包括人和过程元素。 此外，隔离还要求了解网络和其设备的当前状态，定义计算机应如何相互交互的通信要求以及可能限制实现安全与通信之间适当的平衡的那些要求的安全要求。

下图说明了逻辑隔离解决方案如何适用于 Windows Server System Reference Architecture 中使用的纵深防御方法：

图 2.1 使用逻辑隔离的纵深防御

从该图中需了解的重要一点是逻辑隔离层的安全的直接目的在于通过控制网络通信确保主机的安全。 此任务非常类似于基于主机的防火墙的任务。 但主机防火墙是对端口提供允许和阻止服务，而 IPsec 提供允许和阻止服务并协商受信任网络访问服务。 授予访问权限之后，IPsec 可确保两台计算机之间的所有数据包的安全。 如本解决方案的环境中所定义的一样，“逻辑隔离”解决方案（如服务器和域隔离）将：

•	不确保网络设备的安全，如路由器。
•	不提供物理网络访问控制，如指定哪台计算机被允许建立远程访问 VPN 连接或提供由基于网络的防火墙提供的保护。
•	不确保网络链接的安全，如用于访问控制的 802.1x 和用于无线链接的 802.11 WEP 加密。 但 IPsec 提供源和目标 Internet 协议 (IP) 地址间的路径中的所有网络链接上的端到端保护。
•	不对网络上的所有主机提供安全 — 仅对那些参与隔离解决方案的主机提供安全。
•	不确保应用程序级别的路径的安全，如电子邮件和 .NET 消息传递通过的端到端路径和在客户端与 Web 目标服务器之间可被代理多次的超文本传输协议 (HTTP) 请求。

进行 IT 安全风险缓解分析时应考虑每一层的安全性。 例如，如果某台计算机不允许访问逻辑隔离层上的服务器，则哪个用户登录那台计算机无关紧要。 所有用户（甚至包括管理员）都被拒绝访问该服务器。

SSL/TLS 和 IPsec 的比较

IPsec 不打算替换应用程序级别的安全，如 SSL/TLS。 使用 IPsec 的优势之一在于它可以为现有的应用程序提供网络通信流安全而无需更改这些应用程序。 在应用程序使用 SSL/TLS 的环境中使用 IPsec 可提供下列好处：

•	帮助保护所有应用程序和操作系统免遭不受信任计算机和其他设备的网络攻击。
•	建立纵深防御方法避免可能不正确或不符合要求的使用 SSL/TLS（例如，在所有 eHPI 数据未被加密和未经身份验证的情况下）。
•	帮助阻止用户凭据进入不受信任计算机中 — 因为除非 IPsec 在客户端和服务器之间建立相互信任，否则不会提示用户登录到内部 SSL/TLS 网站上。
•	在您无法使用 Windows 注册表设置以选择符合 SSL/TLS 算法的规范时提供安全性。 Windows 2000、Windows XP 和 Windows Server 2003 提供 SSL/TLS 算法的注册表控制，在 Microsoft 知识库文章 245030“How to Restrict the Use of Certain Cryptographic Algorithms and Protocols in Schannel.dll”中对其有所描述，网址为 http://support.microsoft.com/?kbid=245030。
•	在没有证书可用的地方提供安全性。

IPsec 可确保源和目标 IP 地址之间的通信流的安全。 没SSL/TLS 可确保通过整个应用程序路径的通信流的安全（例如，从通过 Web 代理的 Web 浏览器到 Web 服务器）。

国家标准与技术协会 (NIST) 正在编写有关如何使用 TLS 的指南。 Special Publication 800-52“选择和使用传输层安全的准则”是在联邦政府中实施 TLS 的准则。 有关本指南的详细信息，请参阅 NIST Computer Security Division 网站，网址为 http://csrc.nist.gov/publications/index.html。 不存在有关如何使用 IPsec 的类似指南。 但美国国家安全局已发布如何使用 Windows 2000 IPsec 的指南。 这些指南可从 NSA 网站中获得，网址为 http://nsa2.www.conxion.com/win2k/download.htm。 需要符合 NSA 准则的组织应评估本解决方案的设计以及 NSA 指南。

使用证书身份验证的 IPsec 提供了类似于 SSL/TLS 的保护，但有一些区别。 Windows IPsec 支持一小部分由 TLS 支持并由 NIST 推荐的加密算法（例如：3DES、SHA-1 和寿命短暂的 1024 位 Diffie-Hellman）。 本指南中介绍的解决方案使用域成员间的 IKE 身份验证的 Kerberos 协议签名代替基于证书的签名。 Windows IPsec IKE 协商使用 Kerberos 协议和基于证书的身份验证建立了计算机间的相互信任。 由于 IKE 未集成在应用程序中，它无法验证目标计算机名称是否是应用程序希望连接的名称，因此允许来自另一台受信任主机的复杂的人为干预攻击。 但因为应用程序集成在 SSL/TLS 中，所以目标名称不仅经过验证（受信任），而且还可对照预期的名称来验证此名称。

术语复习

继续阅读本章之前，最好是回顾一下在本解决方案的环境中常用的几个术语。 如果您已熟悉这些术语，可跳过本节。 但如果您没有充分理解这些术语，则可能会发现本指南中的一些解释很令人费解。

隔离术语

下列术语是逻辑隔离概念所独有的。 继续阅读本章之前请确保完全理解这些术语：

•	隔离。 将一台或多台计算机从其他计算机中进行逻辑分离。
•	域隔离。 此术语定义将受信任计算机从不受信任计算机中分离的隔离类型。 计算机只需提供有效的凭据和使用 IKE 成功进行身份验证即可进行隔离。 此域是可通过试图确保其通信安全的两台主机间的双向信任可访问的信任路径中的任何域。
•	服务器隔离。 此术语定义服务器如何限制对受信任计算机的特定组使用 IPsec 和“从网络访问此计算机”权限进行入站访问。
•	逻辑隔离。 隔离技术的较广泛的术语，隔离技术包括域隔离、服务器隔离和网络访问保护 (NAP)，这样，可在网络层上隔离计算机。
•	隔离组。 受信任主机的逻辑分组，受信任主机共享相同的通信安全策略、主要是共享相同的入站和出站网络通信流要求。 可通过 IPsec 策略本身使用允许和阻止操作实施隔离组的入站和出站访问控制，或通过将 IPsec 协商安全和组策略网络登录权限一起使用来实施（还可能使用其他网络配置或连接设置）。 单独的应用程序、网络服务和协议应指定一个配置以满足它们层上的通信流的要求。 例如，Exchange 服务器的组要求客户端或服务器计算机是受信任域成员以便建立入站 TCP/IP 连接。 这个组不允许建立与非域成员连接的出站 TCP/IP 连接（某些例外情况除外），此组被称为 Exchange 服务器隔离组。
•	隔离域。 组中的成员身份与 Windows 域中的成员身份相同的隔离组。 如果域有双向受信任域，则那些域的成员是隔离域的一部分。 作为隔离组，入站和出站要求很简单：入站连接只可来自其他受信任的主机域成员。 在服务器隔离组中的服务器可能包括一些客户端是被隔离域的一部分。
•	网络访问组。 此术语指用于控制对计算机的网络访问的 Windows 域安全组，方法是使用网络登录权限的组策略安全设置。 这是专门为实施隔离组的入站访问要求而创建的。 每个隔离组可能都有“允许”网络访问组 (ANAG) 和“拒绝”网络访问组 (DNAG)。
•	信任。 此术语用于确定计算机愿意接受通过身份验证过程验证的身份的事实。 域信任暗示域的所有成员都信任域控制器建立身份并为该身份提供正确的组成员信息。 信任对于通过使用 IPsec 与远程计算机进行通信是必要的。 信任还意味着与其通信的用户或计算机被视为可接受并且风险可能也很低。
•	可信主机。 此术语用于标识可被配置为满足组织的最低安全要求但当前可能是受信任主机也可能不是受信任主机的计算机。 规划任何受信任隔离组的成员身份时了解哪些计算机可信是很重要的。
•	受信任的主机。 此术语指的是运行至少是 Windows 2000 安全域的成员和能够实施 IPsec 策略的 Windows 2000、Windows XP 或 Windows Server 2003 的计算机平台。 受信任的主机通常定义为符合某些其他管理和安全要求。 控制主机配置以便主机的安全风险被认为较低并可管理。 受信任的主机不太可能是感染或恶意行为的来源。 有关此主题的详细论述，请参阅本指南的第 3 章“确定 IT 基础结构的当前状态”。
•	不受信任的主机。 不是受信任主机的主机。 这种计算机的配置未知或无人管理。 如果主机与网络连接，则无法保证此主机（或主机的用户）不是感染或恶意行为的来源。
•	边界主机。 受信任的主机暴露于来自受信任和不受信任主机的网络通信流，因此一定比其他受信任主机更能密切监视和极大地防御攻击。 边界主机越少越好，因为它们会对其余的受信任主机带来较高的风险。
•	免除。 不使用 IPsec（不论是否加入域）的计算机。 免除分为两种类型。 一种是使用静态 IP 地址的计算机，其地址包括在 IPsec 策略“免除列表”中以便受信任主机不将 IPsec 与这些计算机配合使用。 另一种是不使用 IPsec 策略协商安全连接的计算机。 后一种计算机可能出现在免除列表中，也可能不出现在免除列表中。 免除计算机可能符合受信任主机的要求，但不将 IPsec 保护的通信与隔离域中的其他受信任主机配合使用。

安全术语

请确保您充分理解下列与安全相关的术语：

•	授权。 授权个人、计算机、进程或设备访问某些信息、服务或功能的过程。 授权取决于请求访问的个人、计算机、进程或设备的身份，它通过身份验证来验证身份。
•	身份验证。 验证个人、计算机进程或设备的凭据的过程。 身份验证要求做出请求的个人、进程或设备提供一个凭据代表来证明自己的身份。 凭据的常见形式包括数字证书的私钥、在两个设备上以管理方式配置的机密（预共享密钥）、用户或计算机域登录的机密密钥或生物对象（如某人的指纹或视网膜扫描）。
•	哄骗。 在本指南中，哄骗指攻击者假冒合法的 IP 地址企图中断通信或截取数据的行为。
•	不可否认性。 用于确保在计算机上执行某一操作的个人无法不实地否认自己操作的技术。 不可否认性提供确凿无疑的证据证明用户或设备采取了特定的操作，例如转帐、授权采购或发送消息。
•	暗文。 已加密的数据。 暗文是加密过程的输出，可通过使用适当的解密密钥转换回可读格式的明文。
•	明文。 未加密格式的通信和数据。
•	哈希。 通过将一种单向数学函数（也称为哈希算法）应用到任意数量的输入数据中获得的一个定长结果。 如果输入数据改变，则哈希也改变。 选择哈希函数以便使两个输入产生相同的哈希输出值的可能性降到最低。 哈希可用于许多操作中，包括身份验证和数字签名。 也称为消息摘要。

网络术语

下列术语指本解决方案的网络元素：

•	发起方。 启动与另一台计算机的网络通信的计算机。
•	响应端。 回复网络的通信请求的计算机。
•	通信路径。 为在发起方和响应方之间传递的网络通信建立的连接路径。

组策略术语

下列术语与 Windows 组策略有关：

•	GPO。 创建的组策略设置包含在组策略对象 (GPO) 中。 通过将 GPO 与所选择的 Active Directory 系统容器（站点、域和组织单位 (OU)）关联，可将 GPO 的策略设置应用于那些 Active Directory 容器中的用户和计算机。 使用组策略对象编辑器创建单个 GPO ，使用组策略管理控制台以管理整个企业中的 GPO。
•	域策略。 集中存储在 Active Directory 中的策略。
•	本地策略。 存储在个别计算机中的策略。

基本 IPsec 术语

请确保您充分理解下列 IPsec 术语：

•	IPSec 策略。 在 IP 层上处理网络通信流的一组安全规则。 安全规则包含与允许、阻止或协商操作关联的数据包筛选器。 当需要协商时，可使用 IPsec 策略中的身份验证和安全措施与对等计算机协商。
•	永久 IPsec 策略。 在 Windows XP 和 Windows Server 2003 中引入的一种 IPsec 策略，可允许永久应用 IPsec 策略设置。 永久策略首次应用于启动 IPsec 服务，因此它会覆盖本地或域 IPsec 策略中的设置。
•	IKE 协商。 启动网络连接以确定使用 IPsec 的计算机是否会允许连接的过程。
•	安全关联 (SA)。 两台主机对如何使用定义此协商的 IPsec 和各种参数进行通信而达成的协议。 • 主模式 SA。 在发起方和响应方计算机之间进行 IKE 协商时首先建立这些 SA。 • 快速模式 SA。 在为主机间的通信的每个会话建立主模式 SA 之后协商这些 SA。
•	回退到使用明文。 如果响应方未回复 IKE，则此选项允许 IKE 发起方传输普通的 TCP/IP 通信流（非 IKE 或 IPsec）。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“允许和不支持 IPSec 的计算机进行不安全的通讯”的选项。
•	入站通过。 此选项允许支持 IPsec 的计算机接收来自远程计算机的普通 TCP/IP（非 IKE 或 IPsec）入站数据包。 上层协议通常以出站数据包回应，然后启动 IKE 返回到远程计算机上。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“接受不安全的通讯，但总是用 IPSec 响应”的选项。 注。 如果已启用“入站通过”，但未启用响应方的“回退到使用明文”，则响应方无法与不支持 IPsec 的发起方成功通信。

了解其他术语也很重要，特别是与 IPsec 元素有关的术语。 本指南的附录 A“IPsec 策略概念概述”提供这些 IPsec 术语的概述并解释在本解决方案中创建的隔离组中的计算机将使用的 IPsec 全过程。

如何实现服务器和域隔离？

隔离计算机风险的概念并不陌生。 使用防火墙提供分段、对路由器应用访问控制和筛选及对网络通信流进行物理分段等技术都提供了一个级别的隔离。

本指南中介绍的解决方案可以与网络基础结构中的现有设备和技术配合使用。 关键在于隔离是通过对 Windows 2000 和更新平台中的现有主机软件进行更改来实施的。 网络分段、VLAN、外围网络访问控制、网络隔离和基于网络的入侵检测等技术和过程都通过实施或更改网络设备的配置来实现。 服务器和域隔离对所有这些现有的技术进行了补充，并为受管理的 Windows 域成员提供新的保护级别。 Windows IT 管理员可使用现有的 Windows 2000 或 Windows Server 2003 域基础结构来实施服务器和域隔离，而几乎不更改现有网络路径和连接方法以及应用程序。

服务器和域隔离组件

服务器和域隔离解决方案由共同实现本解决方案的几个重要组件组成。 以下几小节对这些组件进行了描述。

受信任主机

受信任主机是 IT 组织可以对其管理以满足最低安全要求的计算机。 通常，只要计算机正在运行安全和受管理的操作系统、防病毒软件以及当前应用程序和操作系统更新时，就可实现这种受信任状态。 确定计算机受信任之后，本解决方案的下一个组件就是通过身份验证确认计算机的状态。 有关确定状态的详细信息，请参阅第 3 章“确定 IT 基础结构的当前状态”。

注：IPsec 本身无法确定计算机是否符合特定的主机标准。 需要监视技术来确定计算机的基准配置并报告该配置的任何更改。

主机身份验证

主机身份验证机制确定试图启动会话的计算机是否具有有效的身份验证凭据，例如来自 Kerberos 票证的凭据、证书或可能是预共享密钥。 当前有两种技术可提供这种基于 Windows 的计算机上的身份验证机制。 以下各节对这两种技术进行了解释。

802.1X 协议

802.1X 是一种验证用户和设备以便授权它们通过链接层网络端口连接的标准协议，如 802.11 无线链接或 802.3 以太网端口。 这允许控制用户体验（如计费等目的）、控制授权和其他功能。 此协议需要一台或多台专用服务器（例如，远程身份验证拨入用户服务 [RADIUS]）及支持此协议的网络基础结构。 802.1X 旨在提供客户端与无线访问点之间的无线通信流的 802.11 有线对等保密 (WEP) 加密的网络访问和加密密钥的控制。 设备被授予网络访问权限之后，通常就可与其余的内部网络进行开放式连接。 数据在无线访问点上被解密之后，以普通 TCP/IP 明文格式被发送至目标端，并可能由各种应用层机制确保安全。

Woodgrove 安全要求从内部网络上的不受信任计算机中保护所有受信任主机。 虽然 802.1X 可强制实施只是受信任的计算机才被允许通过无线和某些有线链接访问，但用于大多数内部 802.1X 以太网端口的交换机不支持 802.1X 身份验证。 要更新每一个物理 LAN 访问墙上端口和全球所有的建筑物需要巨大的硬件购买和安装成本。 因此，Woodgrove 已决定使用 802.1X 用于无线安全，但不用于硬线以太网端口。

另一个 Woodgrove 安全要求是对受信任客户端和加密服务器之间的通信流进行端到端加密。 802.1X 还无法为有线连接提供加密，只能对无线连接加密。 即使加密了无线连接，将无线访问点解密后的数据包发送至内部 LAN 后也不能保护数据。 因此，802.1X 无法满足端到端加密要求。

虽然 802.1X 不符合所有 Woodgrove 的安全要求，但它仍可用于无线安全。 Microsoft 建议使用 802.1X 确保无线网络的安全并尽可能地为有线网络提供访问控制。 有关如何使用 802.1X 的详细信息，请参阅 Microsoft 网站上的“Wi-Fi”页面，网址为 http://www.microsoft.com/wifi。

IPSec

IPsec 是 Internet 协议的 IETF 标准安全协议。 它提供一般的、基于策略的 IP 层安全机制，此安全机制特别适合提供逐个主机身份验证。 IPsec 策略被定义为具有控制主机上的入站和出站 IP 通信流的安全规则和设置。 通过使用组策略对象将策略分配给域成员可在 Active Directory 中集中管理策略。 IPsec 提供在主机间建立安全通信的能力。 IPsec 使用 Internet 密钥交换 (IKE) 协商协议来协商两个主机间的选项如何使用 IPsec 进行安全通信。 两台主机对如何使用定义此协商的 IPsec 和各种参数进行通信而达成的协议称为“安全关联”或 SA。 IKE 协商建立一个主模式 SA（也称为 ISAKMP SA）和一对快速模式 SA（称为 IPsec SA，一个用于入站通信流，另一个用于出站通信流）。 要建立主模式 SA，IKE 要求进行相互身份验证。 Windows IKE 可使用以下三种方法之一：

•	Kerberos V5 身份验证协议
•	使用相应的公共和私有 Rivest、Shamir 和 Adleman (RSA) 密钥对的 X.509 数字证书
•	预共享密钥（密语，不完全是密码）

不部署 IPsec 最常见的原因是误认为它需要通常很难部署的公钥基础结构 (PKI) 证书。 为了不需要 PKI，Microsoft 将 Windows 2000 域身份验证 (Kerberos) 集成在 IKE 协商协议中。

Windows IKE 协商可被配置为允许与不回应 IKE 协商请求的计算机通信。 此功能被称为“回退到使用明文”并且在部署 IPsec 期间很有必要。 只在受信任主机发出连接请求时才允许受信任主机与不受信任计算机和设备进行会话的常规操作很有用。 IPsec 使用术语“软安全关联”来描述使用验证标头 (AH) 或封装式安全措施负载 (ESP) 格式 IPsec 都无法保护的通信。 IPsec 记录与包含目标 IP 地址的安全日志成功审核的通信并监视通信流的活动。 当空闲一段时间（默认为 5 分钟）后通信流停止时，建立新的出站连接时要求重新尝试协商安全。

IPsec 不支持出站通信流的状态筛选，不管是 AH 或 ESP 安全关联内的通信流，还是涉及软 SA 的明文通信流。 因此，当您对服务器和域隔离使用此处介绍的 IPsec 策略设计时，受信任主机可接收从不受信任计算机到通过软 SA 的任何打开的端口的入站连接。 这是一个易受攻击的漏洞。 但按照设计，它也支持协商打开的端口接收入站连接的某些协议。 使用基于主机的防火墙产品（如 Windows 防火墙）除了可添加 IPsec 保护，还可添加出站连接的状态筛选。 由 IPsec AH 或 ESP 保护的未加密的网络通信流不认为是明文格式，因为它针对哄骗和修改提供身份验证和保护。

由于 IPsec 以安全形式封装普通 IP 数据包，因此在遍历网络时数据包不再显示为传输控制协议 (TCP) 和用户数据报协议 (UDP) 数据包。 试图在 Woodgrove Bank 内部部署 IPsec 可确定大多数网络管理工具都假定应用程序可被其 TCP 或 UDP 端口号轻松识别（例如，电子邮件通信流的端口 25 和 Web 通信流的端口 80）。 使用 IPsec 时，通信流变得不透明，并且路由器和网络入侵检测系统无法辨别正在使用哪个应用程序或哪个应用程序检查数据包中的数据。 这一因素产生了一个网络管理问题，因为它降低了当前用于通信流监视、安全筛选、加强公平队列和服务质量分类的工具的值。

遗憾的是，有关通信流可见性的假定不完全准确，并且很快就会过时，即使没有 IPsec 的时候也是如此。 端口号和应用程序之间的关系越来越弱。 例如，可在任意端口号上运行 Web 服务器并且在站点的 URL 中记录此端口号。 通过在备用端口号上运行邮件服务器也可省去一些 Internet 服务提供商 (ISP) 的电子邮件筛选工作。 许多对等 (P2P) 应用程序可灵活使用端口；即它们使用随意挑选的端口号来试图避免检测。 基于远程过程调用 (RPC) 服务的应用程序也可灵活使用端口，因为 RPC 服务在各种服务的受限范围内（1024 以上）可随意挑选端口。

频繁使用 Web 服务很可能会加大通信标识问题，因为这些服务的通信流使用端口 80 或端口 443 在 HTTP 或 HTTPS 的顶部运行。 然后客户端和服务器使用 HTTP URL 来标识通信流。 移至 Web 服务体系结构的所有应用程序将显示为传输到路由器的单个无差别的数据流，因为这些 Web 服务的通信流将在一个端口或少量端口上运行，而不是每个应用程序或服务在其自己的离散端口号上运行。 对 HTTPS 连接和 RPC 加密使用 SSL 和 TLS 降低作为防御攻击的基于网络的检查的值。 由于网络管理应用程序仍然可以分析数据包的地址并且对于所有其他不是 IPsec 保护的通信流仍具有可见性，因此 Woodgrove 确定某些网络管理功能的丢失不足以影响此项目的规划。 此外，某些网络管理工具供应商愿意修改他们的工具以便检查内部无加密形式的 IPsec 数据包。

大多数基于主机的应用程序不需要修改便可与 IPsec 一起正常使用以确保 IP 地址间的所有通信流的安全。 由于在其他网络服务上存在网络攻击的风险，因此本解决方案不尝试仅对特定应用程序或协议使用 IPsec。 如果应用程序与 IPsec 无法一起正常工作，则管理员可选择允许此通信流不受基于服务器使用的 IP 地址的 IPsec 的保护。 建议不允许应用程序使用已知端口，因为这样做会产生一个静态入站漏洞供攻击者建立与任何打开的端口的入站连接，从而达不到隔离目的。 使用动态分配的端口的应用程序必须受 IPsec 的保护。 使用多播和广播 IP 地址的应用程序与服务器和域隔离的 IPsec 设计配合使用时可能会出现问题。 Windows IPsec 支持允许所有多播和广播通信流的功能，但对于某些类型不支持。 如果出现应用程序的兼容性问题，则应与供应商一起研究确定是否（或何时）可提供修复程序或升级以解决此问题。 如果应用程序无法升级或用兼容的应用程序替换，则必须使用此应用程序的计算机可能无法参与隔离域或组。

除其身份验证功能外，IPsec 还可为主机通信提供两个其他有用的服务：确保地址完整性和加密网络通信流。

•

确保地址完整性。 IPsec 可使用 AH 为每个数据包提供数据和地址完整性。 Windows AH 使用 Windows IPsec 驱动程序中的密钥哈希机制。 使用 AH 可避免发生重放攻击，并通过确认每个接收到的数据包在成功接收到之前从发送时间起未经过修改提供强完整性。 AH 在通过执行网络地址转换 (NAT) 的设备时无法正常工作，因为 NAT 替代了 IP 标头中的源地址，从而违背了 AH 提供的安全。

•

加密网络通信流。 IPsec 可确保数据完整性和机密性，方法是使用 IP 协议的封装式安全措施负载 (ESP) 选项进行加密。 虽然 ESP 不提供地址完整性（除非与 AH 配合使用），但使用 UDP 封装可使它成功遍历 NAT 设备。 如果利用使用 NAT 的设备对内部网络分段，则 ESP 是合理的选择，因为 ESP 不会强制加密数据包。 Windows IPsec 支持确定将 ESP 与空加密 (ESP/null) 配合使用的 RFC 2410。 ESP/null 允许数据的真实性、完整性和反重放不需要加密。 Windows Server 2003 网络监视器能够分析公开普通 TCP/IP 上层协议的未加密的 ESP。 如果使用 ESP 加密，则只在计算机使用首先解密传入数据包的 IPsec 硬件加速网卡时才可能监视数据包。 注：使用加密的 ESP 或使用空加密的 ESP 提供与身份验证的强 IPsec 对等关系，就象 AH 一样。 它还提供重放保护并可正确遍历 NAT 设备。 基于这些原因，Woodgrove 决定不实施 AH，而只将 ESP/null 和 ESP 与其公司网络上的加密配合使用。

IPsec 的工作模式有两种 — 隧道模式或传输模式：

•

IPsec 传输模式。 IPsec 传输模式是确保端到端主机间的通信流的安全而建议使用的方法。 IPsec 驱动程序仅在原始 IP 标头后插入 IPsec 标头。 原始 IP 标头已保留下来，并且其余的数据包经 AH 或 ESP 加密处理也保存下来。 IPsec 筛选器控制什么通信流被 IPsec 阻止、允许或封装。 IPsec 筛选器指定源和目标 IP 地址（或子网）、协议（如 ICMP 或 TCP）及源和目标端口。 这样，筛选器就可非常准确地应用于一台计算机或可应用于所有可能的目标地址和协议。 传输模式旨在通过自动更新使用“我的 IP 地址”配置的筛选器来适应动态 IP 地址，比较 IPsec 隧道模式，其开销更低且总体上更易于使用。 因此，IKE 协商传输模式是授权入站 IPsec 保护的连接的有效方式。 使用 IPsec 传输模式的问题包括： • 初始延迟。 IKE 启动和完成整个成功协商需要 1 到 2 秒的初始延迟。 继续通信时，IKE 尝试刷新自动保护通信的密钥。 • 为筛选器预定义的优先级顺序。 IPsec 策略筛选器可重叠，因此预定义了一个优先级顺序，最特殊的筛选器排在首位。 这要求通信双方都有一组兼容的 IPsec 传输模式筛选器用于 IKE 协商。 例如，本解决方案对协商 IPsec 安全的“所有通信流”使用较普通的筛选器，同时使用较特殊的筛选器以便允许仅 ICMP 通信流，而不是使用 IPsec 确保此通信流的安全。 • 计算费用。 IPsec ESP 传输模式加密很费计算机资源。 加密文件副本时，CPU 利用率可高达百分之八十到百分之百。 Windows 2000、Windows XP 和 Windows Server 2003 都配有网卡接口可加速硬件中的 IPsec 加密操作。

•

IPsec 隧道模式。 IPsec 隧道模式通常用于 VPN 网关的静态 IP 地址间的网关对网关 VPN 隧道。 因此，隧道模式创建了带有 IPsec 标头的新 IP 标头。 带有原始 IP 标头的原始数据包被完全封装为组成一个隧道数据包。 对于服务器和域隔离方案，隧道模式可用于确保从静态 IP 服务器到支持 IPsec 的路由器的通信流的安全。 这在目标主机不支持 IPsec 时很有必要。 Woodgrove 没有需要隧道模式的方案。

有关 IPsec 中的传输模式和隧道模式的技术详细资料的更多信息，请参阅 Windows Server 2003 部署工具包“Deploying Network Services”部分中的“Deploying IPsec”一章的“Determining Your IPSec Needs”一节，网址为 www.microsoft.com/resources/documentation/
WindowsServ/2003/all/deployguide/
en-us/dnsbj_ips_wclw.asp。

主机授权

主机确定接收到的通信是来自可验证源之后，需确定是否允许访问源计算机和用户。 此步骤很重要，因为设备能够进行验证的事实并不保证也允许它访问给定的主机。

Microsoft 推荐的方法是使用标准 Windows 组限制用户和计算机访问设计中其他计算机上的资源。 此方法通过使用被访问主机上的本地策略的用户权限分配上的权限，为网络和应用程序级别的计算机帐户和用户帐户建立新的授权层。 使用“从网络访问此计算机”（允许）和“拒绝从网络访问这台计算机”（拒绝）用户权限分配，可限制计算机和用户访问资源，即使它们共享公共 IPsec 策略参数并且登录的用户有权访问此资源。 这个额外级别的控制对于本解决方案描述的隔离方法是至关重要的。

Active Directory 的组功能通过这样的方式来组织计算机和用户：允许以可管理和可扩展的方式分配所需的授权级别。 为了帮助区分为从那些标准共享访问权限中获取主机访问权限而特别创建的组，本指南使用术语“网络访问组”。

下表说明了本解决方案的整个主机和用户授权过程的主要步骤。

图 2.2 用户和主机授权过程

图 2.2 显示了一个五步过程（在以下列表中详细描述），在隔离解决方案部署就绪之后适用于所有网络通信。

1.	用户尝试访问部门级服务器上的共享。 登录到客户端计算机上的用户尝试访问逻辑隔离解决方案中的受信任主机上的共享。 此操作导致客户端计算机试图使用文件共享协议（通常是使用 TCP 目标端口 445 的服务器消息块协议）连接到受信任主机上。 客户端将 IPsec 策略作为本解决方案的一部分分配。 出站 TCP 连接请求引发到服务器的 IKE 协商。 客户端 IKE 包含验证服务器的 Kerberos 票证。
2.	IKE 主模式协商。 服务器接收到来自客户端计算机的初始 IKE 通信请求之后验证 Kerberos 票证。 在身份验证过程中，IKE 检查客户端计算机是否具有所需的主机访问权限，如在组策略中的“允许”或“拒绝”用户权限中分配的权限。 如果客户端计算机具有所需的用户权限分配，则 IKE 协商完成，并且建立 IPsec 主模式 SA。
3.	IPsec 安全模式协商。 IKE 主模式 SA 协商完成后，通过使用两台主机都接受的 IPsec SA 的安全措施检查 IPsec 策略的安全措施以协商连接。 以下流程图说明了步骤 2 和 3 的整个过程： 图 2.3 计算机主机访问权限检查过程
4.	为用户检查用户主机访问权限。 建立 IPsec 保护的通信之后，SMB 协议使用客户端用户帐户进行验证。 在服务器上检查用户帐户是否具有所需的主机访问权限，如在组策略中的“允许”和“拒绝”用户权限中为受信任主机分配的权限。 以下流程图说明了此过程： 图 2.4 用户主机访问权限检查过程 如果用户帐户具有所需的用户权限分配，则过程完成，并且创建用户登录令牌。 此过程完成后，逻辑隔离解决方案即结束了安全检查。
5.	检查共享和文件访问权限。 最后，服务器检查标准 Windows 共享和文件访问权限以确保用户是具有访问用户请求访问的数据所需的权限的组的成员。

使用网络访问组可在本解决方案中实现极高级别的控制。

以下方案提供了逻辑隔离解决方案中的步骤如何操作的一个实例：

开会时，承包商将她的移动计算机插入会议室中的网络连接点以便将一些数据复制到员工的 HR 服务器上的共享中。 HR 部门的成员 Donna 为承包商提供 HR 服务器上的共享路径。 因为承包商的计算机不是已知或受信任主机，IT 部门无法管理此计算机，并且移动计算机上的安全措施级别也未知。 所以这些文件可能包含会感染内部计算机的恶意软件。 承包商的计算机试图连接到 HR 服务器时，计算机在过程中的步骤 2 上出现问题。 计算机无法协商 IKE 主模式 SA，因为移动计算机无法提供所需的 Kerberos 票证以允许检查计算机的凭据；它不是受信任域的一部分。 包含 HR 服务器的隔离组的 IPsec 策略要求不允许该服务器与不使用 IPsec 的主机通信，这样来自这台不受信任计算机的所有通信尝试会被阻止。 总之，逻辑隔离解决方案帮助保护 IT 基础结构免遭不受信任和无人管理计算机的威胁，即使那些计算机可以对内部网络进行物理访问。

此示例解释了如何在逐个主机基础上实现隔离。 本解决方案的另一个重要要求是以较低的管理成本实现隔离。 可通过对用户分组使用的相同的方式对计算机分组，然后在每台计算机的本地策略中对那些组分配“允许”或“拒绝”用户权限分配。 但如果不使用组策略和 Active Directory 的集中管理功能并且未充分理解所需的通信路径，则很难管理此方法，也无法很好地扩展此方法。 此外，此方法本身不能提供强身份验证或加密数据的能力。 当这些主机访问权限与 IPsec 配合使用并且主机被组织到隔离组中时，就很容易理解各分组间的关系并轻松定义通信路径（在已明确记录要求之后）。 有关隔离组的设计和框架的详细信息，请参阅第 4 章“设计和规划隔离组”。

服务器和域隔离防御的是什么？

服务器和域隔离是关于限制计算机如何相互通信及限制试图发起通信的设备。 这些限制或边界用于通过描述设备受信任级别来限制通信。 通过使用 IPsec 策略在主机周围设置身份验证、授权及网络位置等边界是缓解许多威胁的有效方式。 虽然 IPsec 是不完全安全的策略，但它在整个安全策略中提供了一层额外的防御。

下节描述一些典型的威胁并简要讨论威胁建模。 有关 Woodgrove Bank 方案中的受信任设备和 Woodgrove 用于确定及划分计算机为可信的设计过程的详细信息，请参阅第 3 章“确定 IT 基础结构的当前状态”的“信任确定”一节。

威胁建模和分类

近年来，对基于网络的应用程序和服务器攻击的频率和复杂性正日益递增。 有趣的是，攻击的类型和方式及用于对付它们的基本方法都相对保持不变。 但实现这些防御的一些功能和方法都有所不同。 在开始了解服务器和域隔离解决方案所需的规划之前，组织应先对存在的威胁进行详细的风险分析及通过使用各种技术和过程如何对付它们。

多年来，可识别、分类及枚举对组织的威胁的过程一直被记入文档。 此文档通常提供可用于组织的一般业务、环境及技术威胁建模的方法。 Microsoft 使用 STRIDE 方法用于威胁建模。 STRIDE 表示要防御的威胁类别。 这些类别包括：

S    哄骗

T    篡改

R    否认

I    信息泄露

D    拒绝服务

E    特权升级

重要的是，需投入足够的时间和资源尽可能详细地定义威胁模型以确保保护需要保护的所有资产。 有关服务器和域隔离可帮助缓解的特定威胁和攻击的解释，请参阅本指南的附录 D“IT 威胁类别”。 有关威胁模型的详细论述，请参阅 Microsoft Solution for Securing Windows 2000 Server 解决方案中的第 2 章“定义安全前景”，本解决方案可从 www.microsoft.com/technet/security/prodtech/
win2000/secwin2k/02defsls.mspx 上下载。

如何部署服务器和域隔离？

了解对组织的威胁并认识到本解决方案如何缓解这些威胁之后，下一步是检查可部署这种解决方案的方式。 本节描述此部署过程如何进行。

信息搜集

在开始设计过程之前的第一步是确保您拥有组织网络（包括工作站和服务器配置以及通信路径）当前状态的最新的、精确的图片。 不确切知道解决方案打算保护的对象是不可能编写出有效的逻辑隔离解决方案的。

第 3 章“确定 IT 基础结构的当前状态”提供了获取网络的当前状态以及设备信息的详细说明和基本原理。 此过程将提供本解决方案后面各章所需的全部信息，并提供组织中采用的其他项目的值。 更重要的是，它将使组织仔细分析和严密检查其信息系统所需的通信路径，并对风险、通信要求和业务要求之间可能存在的威胁做出明智的选择。

IPsec 部署过程概述

决定并创建一个设计之后，接下来应首先建立一个将设计以可管理和对用户影响最小的方式实施到组织中的过程。 第 4 章“设计和规划隔离组”详细论述了可用于实现此过程的多种不同的方法。 但基本过程可总结如下：

1.	在概念验证实验室中测试设计和 IPsec 策略。 应在被隔离的、非生产环境中测试建议的 IPsec 策略以确保设计如期工作，并测试可能在策略设置或部署机制中出现的所有问题。
2.	试用经测试和批准的设计。 当小组确信设计可在实验室环境中如期工作时，下一步是标识将本解决方案试部署到生产环境中时应包括在内的少量几台计算机。 应对标识的计算机和用户给予前瞻性支持，以确保测试期间发生的所有问题对用户执行其工作职责的能力产生的影响最低。
3.	实施本解决方案的阶段性部署。 过程的最后一步是制定可用于将设计部署到其余组织中的规划。 这是一个很重要的过程！ 应特别小心规划此步骤。 可制定一项设计能（在 IPsec 策略中更改一个设置）禁用许多计算机访问网络资源的能力。 应测试并组织部署规划以便以解决方案介绍的这种方式进行更改：在测试阶段中不知何故某个配置或设计错误未检测到时，允许快速返回到已知状态。

第 4 章“设计和规划隔离组”提供了隔离域设计过程的详细信息及本解决方案的阶段性部署方法的选项。  

总结

本章讨论了本指南中描述的解决方案的目标和过程。 虽然 IT 专业人员充分了解 IPsec 的好处已多年，但由于此技术的复杂性，还是有许多人没有实施它。 实施 IPsec 时，如果解决方案没有过硬的设计、良好规划的部署及可靠的测试方法，则可能会产生严重的后果。

本章中的指南应传达这样的信息：逻辑隔离是另一层安全，它将服务器和域隔离技术与 Windows 平台、IPsec、组策略和 Active Directory 配合使用，以提供可将数据资产面临的风险降至最低的可管理、可扩展的企业解决方案。