none
关于Window Server 2016 高级防火墙 RRS feed

  • 问题

  • 下图是 Window高级防火墙 ,右键属性后的IPsec设置 自定义-》数据保护-》 添加

    此图是Window Server 2016 | 镜像名称:cn_windows_server_2016_x64_dvd_9718765.iso

    此图是Window 10 1909

    我个人想实现两台服务器之间的数据进行安全通信,数据的完整性算法为Sha-256,请问列表中没有怎么实现


    • 已编辑 Yun_Xi 2021年3月10日 8:09
    2020年10月28日 13:50

答案

  • Hi ,

    这个实现还是比较复杂的,不能通过GUI实现只能通过powershell命令来配置,New-NetIPsecQuickModeCryptoProposal之后还要New-NetIPsecQuickModeCryptoSet还要New-NetIPsecRule,然后Get-NetIPsecQuickModeCryptoSet这个命令才能生效,需要去写对应的脚本。我这边给您找了一个脚本模板,您可以参考一下,里面配置了main mode和quick mode(在我们的环境中测试可行):

    $MMProp = New-NetIPsecMainModeCryptoProposal -Encryption AES256 -KeyExchange DH19 -Hash SHA256
    $MMSet = New-NetIPsecMainModeCryptoSet -DisplayName "MM Set AES256-DH19-SHA256" -Proposal $MMProp
    New-NetIPsecMainModeRule -DisplayName "MM Rule AES256-DH19-SHA256" -MainModeCryptoSet $MMSet.Name
     
    $MachinePskProp = New-NetIPsecAuthProposal -Machine -PreSharedKey "IPsec Test"
    $Phase1Auth = New-NetIPsecPhase1AuthSet -DisplayName "Machine PSK" -Proposal $MachinePskProp
    $QMProp = New-NetIPsecQuickModeCryptoProposal -Encryption AES256 -Encapsulation ESP -ESPHash SHA256
    $QMSet = New-NetIPsecQuickModeCryptoSet -DisplayName "QM Set AES256-ESP-SHA256" -Proposal $QMProp
    New-NetIPsecRule -DisplayName "Machine PSK IPsec" -InboundSecurity Require -OutboundSecurity Require -Phase1AuthSet $Phase1Auth.Name -QuickModeCryptoSet $QMSet.Name

    您可以按照自己的需求来更改里面的配置。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    • 已标记为答案 Yun_Xi 2020年11月2日 12:25
    2020年11月2日 8:21
    版主

全部回复

  • Hello, 

    似乎您的图片上传失败了,我这边分别检查了一下server 2016和windows 10的完整性算法,您看下是否是想PO出下图:

    据我所知,如果server 2016上完整性算法列表里面没有SHA256的话,就是说明不支持SHA256数据加密完整性算法的。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年10月29日 2:50
    版主
  • Hi ,

    请问目前问题有什么新的进展吗?

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年11月2日 6:39
    版主
  • 感谢您的提醒,目前没有太大的进展,但是经过我查阅了很多网站后,发现了这张图片,但是我并不清楚查看以下内容的命令



    • 已编辑 Yun_Xi 2020年11月2日 6:48
    2020年11月2日 6:44
  • Hi ,

    应该是对应的下面的这个命令进行配置的:

    New-NetIPsecQuickModeCryptoProposal -Encryption AESGCM256 -Encapsulation ESP -ESPHash SHA256

    关于命令的详细使用方法,请参考以下链接:

    https://docs.microsoft.com/en-us/powershell/module/netsecurity/new-netipsecquickmodecryptoproposal?view=win10-ps

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年11月2日 7:25
    版主
  • 非常感谢您的回复,创建出来后我并未在加密规则里找到,而且使用Get-NetIPsecQuickModeCryptoSet -All 并未返回任何内容
    2020年11月2日 7:57
  • Hi ,

    这个实现还是比较复杂的,不能通过GUI实现只能通过powershell命令来配置,New-NetIPsecQuickModeCryptoProposal之后还要New-NetIPsecQuickModeCryptoSet还要New-NetIPsecRule,然后Get-NetIPsecQuickModeCryptoSet这个命令才能生效,需要去写对应的脚本。我这边给您找了一个脚本模板,您可以参考一下,里面配置了main mode和quick mode(在我们的环境中测试可行):

    $MMProp = New-NetIPsecMainModeCryptoProposal -Encryption AES256 -KeyExchange DH19 -Hash SHA256
    $MMSet = New-NetIPsecMainModeCryptoSet -DisplayName "MM Set AES256-DH19-SHA256" -Proposal $MMProp
    New-NetIPsecMainModeRule -DisplayName "MM Rule AES256-DH19-SHA256" -MainModeCryptoSet $MMSet.Name
     
    $MachinePskProp = New-NetIPsecAuthProposal -Machine -PreSharedKey "IPsec Test"
    $Phase1Auth = New-NetIPsecPhase1AuthSet -DisplayName "Machine PSK" -Proposal $MachinePskProp
    $QMProp = New-NetIPsecQuickModeCryptoProposal -Encryption AES256 -Encapsulation ESP -ESPHash SHA256
    $QMSet = New-NetIPsecQuickModeCryptoSet -DisplayName "QM Set AES256-ESP-SHA256" -Proposal $QMProp
    New-NetIPsecRule -DisplayName "Machine PSK IPsec" -InboundSecurity Require -OutboundSecurity Require -Phase1AuthSet $Phase1Auth.Name -QuickModeCryptoSet $QMSet.Name

    您可以按照自己的需求来更改里面的配置。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    • 已标记为答案 Yun_Xi 2020年11月2日 12:25
    2020年11月2日 8:21
    版主
  • 非常感谢您的解答,上面的模板是非常好的解决办法,但是因为本人是竞赛的(限时),所以想问一下有没有更好的解决办法

    需求是:两台服务器之间数据完整性算法采用SHA-256,加密算法采用AES-CBC 128,预共享的密钥为Test


    • 已编辑 Yun_Xi 2020年11月2日 12:36
    2020年11月2日 12:32
  • 您好,server 2016上没有办法通过GUI去配置,只能通过powershell命令配置的。powershell这个命令配置的方案的确是有些复杂,但是据我所知除了这个方法应该是没有其他的方法进行配置了。

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年11月3日 0:50
    版主
  • 好的,谢谢您的解答
    2020年11月3日 11:27
  • 不客气~后续有什么其他问题,欢迎您随时来论坛发帖咨询。

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年11月4日 0:37
    版主