IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

IPSec基础-IPSec策略相关基础知识

2010年02月07日
网络/网络

IPSec本身没有为策略定义标准,策略 的定义和表示由具体实施方案解决,以下对IPSec策略的介绍以Windows 2000为例。

  在Windows 2000中,IPSec策略包括一系列规则(规则规定哪些数据流可以接受,哪些数据流不能接受)和过滤器(过滤器规定数据流的源和目标地 址),以便提供一定程度的安全级别。在Windows 2000IPSec实现中,既有多种预置策略可供用户选择,也可以让用户根据企业安全需求自行创建策略。IPSec策略的实施有两种基本方法,一是在本地计算机上指定策略,二是使用Windows 2000 "组策略"对象,由其来实施策略。IPSec策略可适用于单机、域、路由器、网站或各种自定义组织单元等多种场合。
 一、规则
  规则规定IPSec策略何时以及如何保护IP通信。根据IP数据流的类型、源和目的地址,规则应该具有触发和控制安全通信的能力。每一条规则包含一张IP过滤器列表和与之相匹配的安全设置,这些安全设置有:1)过滤器动作 2)认证方法 3IP隧道设置 4)连接类 型。
  一个IPSec策略包含一至多条规则,这些规则可以同时处于激活状态。例如,用户为某网站路由器指定安全策略,但对经过该路由器的IntranetInternet通信有不同的安全要求,那么,这个策略就可以包含多条规则,分别对应于IntranetInternet的不同场景。IPSec实现中针对各种基于客户机和服务器的通信提供了许多预置规则,用户可根 据实际需求使用或修改。
 二、过滤器和过滤器动作
  规则具有根据IP数据流的类型以及源和目的地址为通信触发安全协商的能力,这一过程也称为IP包过滤。应用包过滤技术,可以精确地定义哪些IP数据流需要受保护,哪些数据流需要被拦截,哪些则可以绕过IPSec应用(即无须受保护)。
  一个过滤器由以下几个参数决定:IP包的源和目的地址;包所使用的传输协议类型;TCPUDP协议的源和目的端口号。一个过滤器对应于一种特定类型的数据流。 过滤器动作为需要受保护的IP通信设置 安全需求,这些安全需求包括安全算法,安全协议和使用的密钥属性等等。
  除了为需要受保护的IP通信设置过滤器动作外,还可以将过滤器动作配置成:
  ·绕过策略,即某些IP通信可以绕 过IPSec,不受其安全保护。这类通信主要有以下三种情况:1)远程主机无法启用IPSec2)非敏感数据流无须受保护,3)数据流本身自带安全措施(例如使用Kerberos v5SSL PPTP协议)。
  ·拦截策略,用于拦截来自特定地址的通信。
 三、连接类型
  每一条规则都需要指明连接类型,用以规定IPSec策略的适用范围:如拨号适配器或网卡等。规则的连接属性决定该规则将应用于单种连接还是多种连接。例 如,用户可以指明某条安全需求特别高的规则,只应用于拨号连接,而不应用于LAN连接。
 四、认证
  一条规则可以指定多种认证方法。IPSec支持的认证方法主要有:
  ·Kerberos v5Windows 2000的缺省认证协议。该认证方法适用于任何运行Kerberos v5协议的客户机(无论该客户机是否基于Windows)。
  ·公钥证书认证:该认证方法适用于Internet访问、远程访问、基于L2TP的通信或不运行Kerberos v5协议的主机,要求至少配置一个受信赖的认证中心CA Windows 2000IKE可以和MicrosoftEntrustVeriSign等多家公司提供的认证系统相兼容,但不推荐使用预置共享密钥认证,因为该认证方法不受IPSec策略保护,为避免使用预置共享密钥认证可能带来的风险,一般建议使用Kerberos v5认证或公钥证书认证。
发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

虚拟局域网快速基本操作入门技巧详解
虚拟局域网快速基本操作入门技巧详解安装虚拟局域网: 安装过程非常简单。您只需按照软件上的提示安装步骤即可完成安...
网络攻击持续横行 路由器防护须升级
网络攻击持续横行 路由器防护须升级上一期文章提到新型态的攻击具备的特性,及现有路由器可以提供的功能之后,让用户...

本类热点