在上一篇文章中，我们了解了使用 IPSec协议来保护IP通信。

　　存储的实现趋势是采用诸如iSCSI这样的基于IP的方案，因此IP传输的安全性显得日益重要，目前在网络中还有不少程序使用明文传输，例如FTP, Telnet, POP3和IMAP。

　　在异构环境中，我们可以在应用层，如使用安全套接字层（Secure Sockets Layer，简称SSL），或者使用传输层安全性（Transport Layer Security，简称TLS)，也可以在 IP层使用IPSec。本文旨在演示在 Windows 2003 Server下如何使用IPSec对通信进行加密。

　　我们知道"即开即用"（out of the box）的 IP不安全，但对不少应用来说，问题不大， 对于安全有要求的通信，就需要配置 IPSec。在Server 2003中使用IPSec很简单，但要设置适合的安全等级是有讲究的。

　　设置安全等级

　　一般来说，当用IPSec加密数据时，有四种可选安全策略：

　　■阻塞传输：该策略让IPSec封锁来自从A计算机到B计算机所有传输。由接受系统丢弃传输数据。阻塞所有的传输数据的工作量很大，该策略不太常用。
　　■加密传输：加密传输允许在计算机之间通信，但数据必须经过加密以防窃听，此时，IPSec使用封装安全负载（Encapsulating Security Payload，简称ESP)协议来加密数据，窃听到的数据表现为不可读的字节流。
　　■签名传输：签名传输用来防止"中间人"攻击，用于数字签名的认证包头（Authentication Header，简称AH) 协议是在网络包的结尾添加一位，以验证数据在传输中是否被改变。
　　■无需签名或者无需加密，允许未加改变地传输： 这是安全性的缺省设置。允许所有数据进行传输，无需验证数据完整性。