由于恐怖分子，黑客和律师，几年以前可有可无的安全机制现在已经成了规范。网络通信的加密就是一种这样的机制。你总是不得不加密流经因特网的敏感通信，但是现在你还得加密流经专用网络的通信。你不知道什么时候有人在试图嗅探包，盗窃密码，阅读其他人的电子邮件或进行一些其他可怕的摸索。幸运的是，微软提供了一种内置在Windows Server 2000和Windows Server 2003之中的解决方案：IPSec协议。

　　什么是IPSec?

　　IPSec是一种被设计用来工作在IP层的加密协议。正如你所知，Kerberos是主要的Windows认证协议。Kerberos与IPSec的不同之处在于Kerberos提供了用户到服务的认证。而IPSec却被用来加密和认证网络中计算机之间的通信。它是一个底层协议，与服务器上数据和服务的安全访问无关。

　　IPSec的主要目标是加密流经基于IP的网络（如因特网和大多数专用网络）的通信，保证传输在途中不被干预。

　　这里有一些考虑部署IPSec策略的更加明确的理由。

　　1． 防止探听和中间人攻击

　　想象一下你需要向老板发一封电子邮件来请一天假。如果这个消息没被加密，在你或你老板相同网段的任何人都可以在消息发出时使用协议分析仪来读取这个信息。如果恰巧有一个爱捣乱的人处于你和你老板之间包流过的中间某一位置，他就能够发动一次中间人攻击，这包括抓取一个包，修改它，然后把它发送到原来的目的地。如果这种攻击发生了，这个请假一天的电子邮件可能被修改为“我不干了”。

　　IPSec使你能够加密包，防止其他人读取它。包还被编了号并且有相应的机制防止它们被篡改或重放。如果一个包被篡改了或被重放，IPSec视其为无效的包。

　　2． 强化无线网络的安全

　　尽管IPSec在所有的Windows网络中都能正常工作，但如果你拥有一个无线网络，它就显得特别有用。确认你能够通过使用Wired Equivalent Privacy (WEP)或 Wi-Fi Protected Access (WPA)来加密无线网络，但是对包再进行IPSec加密，在传输过程中，将使黑客更难探查数据。

　　3． 没有额外软件的部署

　　IPSec的一个好处就是它内置与Windows中。那意味着在实施IPSec策略时，你不用购买新的软件，也不用为兼容性问题担心。为了在服务器或客户端PCs上部署IPSec，你不用作任何事情-你只是创建一个合适的组策略。

　　4． 为所有的微软版本设置策略

　　微软最初在Windows 2000中发布了IPSec。这意味着Windows 2000(服务器和专业版)，Windows XP和Windows Server 2003都支持IPSec,然而Windows 9.x不支持。幸运的是，使用IPSec并不要求你疏远Windows 9.x的机器或其他运行不支持IPSec的操作系统的机器。当你创建了IPSec组策略条目，你可以选择是让机器请求安全还是要求安全。

　　如果一个IPSec策略被设置成请求安全，试图与服务器通信的客户端将从服务器端收到使用IPSec通信的请求。如果客户端支持IPSec，就开始加密的通信。如果客户端不支持IPSec,通信将不加密。但是如果IPSec策略要求安全，所有的通信都必须用IPSec加密。

　　一般说来，设置请求IPSec安全的安全策略对于大多数公司是完美的，因为它支持IPSec-aware和non-IPSec-aware的客户端。随着遗留系统的逐渐淘汰，更新的操作系统已经准备了与其他机器进行安全通信。

　　5． 透明加密通信

　　除了IPSec通信比不加密的通信运行的慢之外，客户端并不会知道通信被加密了。加密对于终端用户来说是完全透明的，并没有新的产品或步骤要学习。从终端用户的角度来说，任何事情都没有改变。

　　正如你所看到的，IPSec加密可能对于你的网络的整体安全十分有利。在我的下一个栏目中，我将讨论有关IPSec部署的一些最佳实践。