使用 IPsec 与组策略隔离服务器和域

　　预备知识：需要熟悉 Microsoft® Windows Server™ 2003 的以下方面:目录服务概念，包括 Active Directory 结构和工具;操纵用户、组和其他 Active Directory 对象;以及组策略的使用。
　　•身份验证概念，包括使用 Kerberos V5 协议和公钥基础结构 (PKI)。
　　•Microsoft Windows® 系统安全;安全概念，如用户、组、审核和访问控制表 (ACL);使用安全模板;相互身份验证概念;标准名称解析方法和概念，如域名系统 (DNS) 和 Windows Internet 命名服务 (WINS);标准 Windows 诊断工具和故障排除概念;以及使用组策略或命令行工具应用安全模板。
　　•了解 TCP/IP 概念，包括子网布局、网络屏蔽和路由。 还需了解一些低级别的功能、协议和术语，如 Internet 控制消息协议 (ICMP)、地址解析协议 (ARP) 和最大传输单位 (MTU)。
　　•了解安全风险管理规则。
　　注:Windows Server 2003 部署工具包的第 6 章“部署 IPsec”中所讨论的 IPsec 传输模式的某些方案当时未建议采用。 但是，Microsoft 本身已在其内部部署 IPsec 并同时提供了附加的指导，这意味着现在可以使用这些方案。
　　多播和广播通信流仍然无法使用 IPsec，但使用 IPsec 应该可以确保所有类型的单播 IP 通信流的安全。 每个客户都必须将在域或服务器隔离方案中部署 IPsec 的好处与成本、影响和其他权衡进行对照评估。 但 Microsoft 现在建议并支持按照本指南在客户网络上广泛使用 IPsec。
组织先决条件
　　规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见，他们可能需要参与隔离规划，包括扮演下列角色的人:

预备知识：需要熟悉 Microsoft® Windows Server™ 2003 的以下方面:•Active Directory® 目录服务概念，包括 Active Directory 结构和工具;操纵用户、组和其他 Active Directory 对象;以及组策略的使用。
　　•身份验证概念，包括使用 Kerberos V5 协议和公钥基础结构 (PKI)。
　　•Microsoft Windows® 系统安全;安全概念，如用户、组、审核和访问控制表 (ACL);使用安全模板;相互身份验证概念;标准名称解析方法和概念，如域名系统 (DNS) 和 Windows Internet 命名服务 (WINS);标准 Windows 诊断工具和故障排除概念;以及使用组策略或命令行工具应用安全模板。
　　•了解 TCP/IP 概念，包括子网布局、网络屏蔽和路由。 还需了解一些低级别的功能、协议和术语，如 Internet 控制消息协议 (ICMP)、地址解析协议 (ARP) 和最大传输单位 (MTU)。
　　•了解安全风险管理规则。
　　注:Windows Server 2003 部署工具包的第 6 章“部署 IPsec”中所讨论的 IPsec 传输模式的某些方案当时未建议采用。 但是，Microsoft 本身已在其内部部署 IPsec 并同时提供了附加的指导，这意味着现在可以使用这些方案。
　　多播和广播通信流仍然无法使用 IPsec，但使用 IPsec 应该可以确保所有类型的单播 IP 通信流的安全。 每个客户都必须将在域或服务器隔离方案中部署 IPsec 的好处与成本、影响和其他权衡进行对照评估。 但 Microsoft 现在建议并支持按照本指南在客户网络上广泛使用 IPsec。
组织先决条件
　　规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见，他们可能需要参与隔离规划，包括扮演下列角色的人:

• 本文关键词：