在域环境中，可以更加灵活高效地管理局域网内的资源。为了让域成员主机之间可以安全地传输数据，可以针对其创建相应的连接安全规则，使其彼此可以利用IPSec来安全通信。为了保证实现上述目的，需要将域服务器排除在外，即让域成员和域控制器之间不使用IPSec进行通讯，因为域成员无法通过IPSec与域控制器进行通讯。域成员在使用IPSec验证域服务器之前，必须首先保证相互之间可以正常通信。对于某些不支持IPSec或者连接安全规则中的协议网络设备（例如路由器、CA服务器、DHCP服务器等）来说，也必须将其排除在外。

在本例中，假设局域网中存在两台服务器，Server 1的IP 为 192.168.6.1，Server 2的IP为192.168.6.2，域控制器的IP为 192.168.6.200，域名为“xxx.com”。该网络通过路由器（IP为192.168.6.254）和外网连接。针对不同的主机，分别为其配置合适的IP、子网掩码、默认网关、DNS服务器等参数。首先需要确保这些网络设备之间可以正常通信，在域控制器上点击“开始”-“管理工具”-“组策略管理”项，在组策略管理窗口左侧选择“林：xxx.com”-“域”-“xxx.com”-“Default Domain Policy”项，在其右键菜单上点击“编辑”项，在组策略管理编辑器窗口左侧选择“计算机配置”-“策略”-“Windows设置”-“安全设置”-“高级安全Windos防火墙”-“高级安全Windows防火墙”-“连接安全规则”项，在其右键菜单中点击“新建规则”项，在向导窗口中选择“身份验证例外”项，点击下一步按钮，点击“添加”按钮，在IP地址窗口中选择“域IP地址或子网”项，输入需要排除的域控制器IP（本例为“192.168.6.254”）。继续点击“添加”按钮，在IP地址窗口中选择“预定义计算机集”项，在列表中选择“默认网关”项。

注意：系统内置了一些计算机集，包括默认网关、DHCP服务器、WINS服务器、DNS服务器、本地子网等对象，便于您进行选择。

这样就将域控制器，网关排除在外了。在向导窗口中点击新下一步按钮，输入本规则的名称，点击完成按钮，执行本规则创建动作。

在组策略管理编辑器窗口中双击上述规则名称，在其属性窗口中的“计算机”面板中的“终结点1”栏中选择“下列IP地址”项，点击“添加”按钮，输入所需的IP地址，这里为“192.168.6.0/24”，在“终结点2”栏显示默认网关和域控制器IP。这样，就实现了指定子网中的所有主机在进行IPSec安全通信时，将默认网关和域控制器排除在外的目的。之后在域控制器、域成员主机上分别执行“gpupdata/force”命令，应用上述控制规则。在这些主机上打开高级安全Windows防火墙窗口，在左侧选择“连接安全规则”项，查看是否显示上述控制规则。

图5 高级身份验证方法窗口

为了让域成员主机之间进行IPSec通讯，在域控制器上的组策略管理编辑器窗口左侧选择“计算机配置”-“策略”-“Windows设置”-“安全设置”-“高级安全Windos防火墙”-“高级安全Windows防火墙”-“连接安全规则”项，在右键菜单上点击“新建规则”项，在向导窗口中选择“服务器到服务器”项，在下一步窗口中的“终结点1中的计算机”和“终结点2中的计算机”栏中分别选择“下列IP地址”项，分别点击“添加”按钮，输入“192.168.6.0/24”。这样，就确定了所需的网络范围。点击下一步按钮，选择“入站和出站连接需要身份验证”项，在下一步窗口中选择“高级”项，点击“自定义”按钮，在自定义高级身份验证方法窗口（如图5所示）中的“第一身份验证方法”栏中点击“添加”按钮，在第一身份验证方法窗口中选择“计算机（Kerberos V5）”项，点击确定按钮保存配置信息。

注意：所谓第一身份验证方法针对的目标是计算机身份，即相互通讯的主机。

为了加强安全性，可以对用户身份进行安全验证，即验证发起数据通讯的用户账户。方法是在“第二身份验证”栏中点击“添加”按钮，在弹出窗口中选择“用户（Kerberos V5）”。这样，在连接对方主机时，必须使用与账户身份来操作，在向导界面中点击下一步按钮，输入本规则名称和描述信息，点击完成按钮，完成本规则的创建操作。在域成员，域控制器上执行“gpupdate/force”命令，来手动应用该规则。经过以上操作后，在域成员主机之间，就可以利用IPSec来安全传输数据。例如在Server 1上打开高级安全Windows防火墙窗口，在左侧选择“监视”-“安全关联”-“主模式”或者“快速模式”项，可以看到相关的IPSec通信信息。但是在其中观察不到Server 1和域控制器，默认网关之间的IPSec连接，这是因为Server 1与这些设备之间的通讯不需要IPSec。

顺便说一下，如果内网采用 NAT（Network Address Translation，网络地址转换）技术，可以让局域网中多台主机共享一个公用IP，就可以和外网主机通讯。如果采用IPSec传输数据的话，因为NAT会更改数据包中的头信息，这和IPSex的要求完全相反，IPSec是不允许随意修改数据包的头信息的。在高级安全Windows防火墙窗口左侧的“本地计算机上的高级安全Windows防火墙”节点的右键菜单上点击“属性”项，在属性窗口的“IPSec设置”面板中点击“IPSec默认值”栏中的“自定义”按钮，在弹出窗口中的“数据保护”栏中选择“高级”项，点击“自定义”按钮，在自定义数据保护设置窗口中点击“添加”按钮，在弹出窗口（如图6）中可以看到IPSec可以使用ESP和AH两种协议。

图6 选择选择加密传输相关协议

对于AH信道模式中，IPSec会签署整个数据包，因此是不允许随意修改包中数据。而NAT在操作时，会更改数据包中的IP地址以及端口号等信息，这会导致IPSec无法正常运作。在ESP传输模式中，数据包头信息虽然没有被IPSec签署，不过其中的端口号却处于加密状态无法修改，这虽然可以满足NAT更改数据包中IP地址的需求，但是却无法修改端口信息。不过，在大多数的Windows系统中，都可以支持NAT-T（NATTraversal，即NAT穿越）技术，该技术可以让ESP数据包穿越NAT，因此，可以在IPSec中采用ESP传输信道，安全可靠地使用NAT，让局域网中多台主机共享一个公用IP。