日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

IPSec基礎(chǔ)-IPSec策略

云知道


IPSec本身沒(méi)有為策略定義標(biāo)準(zhǔn),策略的定義和表示由具體實(shí)施方案解決,以下對(duì)IPSec策略的介紹以windows 2000為例 。
在Windows 2000中,IPSec策略包括一系列規(guī)則(規(guī)則規(guī)定哪些數(shù)據(jù)流可以接受,哪些數(shù)據(jù)流不能接受)和過(guò)濾器(過(guò)濾器規(guī)定數(shù)據(jù)流的源和目標(biāo)地址),以便提供一定程度的安全級(jí)別 。在Windows 2000的IPSec實(shí)現(xiàn)中,既有多種預(yù)置策略可供用戶選擇,也可以讓用戶根據(jù)企業(yè)安全需求自行創(chuàng)建策略 。IPSec策略的實(shí)施有兩種基本方法,一是在本地計(jì)算機(jī)上指定策略,二是使用Windows 2000 "組策略"對(duì)象,由其來(lái)實(shí)施策略 。IPSec策略可適用于單機(jī)、域、路由器、網(wǎng)站或各種自定義組織單元等多種場(chǎng)合 。
一、規(guī)則
規(guī)則規(guī)定IPSec策略何時(shí)以及如何保護(hù)IP通信 。根據(jù)IP數(shù)據(jù)流的類型、源和目的地址,規(guī)則應(yīng)該具有觸發(fā)和控制安全通信的能力 。每一條規(guī)則包含一張IP過(guò)濾器列表和與之相匹配的安全設(shè)置,這些安全設(shè)置有:1)過(guò)濾器動(dòng)作 2)認(rèn)證方法 3)IP隧道設(shè)置 4)連接類型 。
一個(gè)IPSec策略包含一至多條規(guī)則,這些規(guī)則可以同時(shí)處于激活狀態(tài) 。例如,用戶為某網(wǎng)站路由器指定安全策略,但對(duì)經(jīng)過(guò)該路由器的Intranet和Internet通信有不同的安全要求,那么,這個(gè)策略就可以包含多條規(guī)則,分別對(duì)應(yīng)于Intranet和Internet的不同場(chǎng)景 。IPSec實(shí)現(xiàn)中針對(duì)各種基于客戶機(jī)和服務(wù)器的通信提供了許多預(yù)置規(guī)則,用戶可根據(jù)實(shí)際需求使用或修改 。
二、過(guò)濾器和過(guò)濾器動(dòng)作
規(guī)則具有根據(jù)IP數(shù)據(jù)流的類型以及源和目的地址為通信觸發(fā)安全協(xié)商的能力,這一過(guò)程也稱為IP包過(guò)濾 。應(yīng)用包過(guò)濾技術(shù),可以精確地定義哪些IP數(shù)據(jù)流需要受保護(hù),哪些數(shù)據(jù)流需要被攔截,哪些則可以繞過(guò)IPSec應(yīng)用(即無(wú)須受保護(hù)) 。
一個(gè)過(guò)濾器由以下幾個(gè)參數(shù)決定:IP包的源和目的地址;包所使用的傳輸協(xié)議類型;TCP和UDP協(xié)議的源和目的端口號(hào) 。一個(gè)過(guò)濾器對(duì)應(yīng)于一種特定類型的數(shù)據(jù)流 。過(guò)濾器動(dòng)作為需要受保護(hù)的IP通信設(shè)置安全需求,這些安全需求包括安全算法,安全協(xié)議和使用的密鑰屬性等等 。
除了為需要受保護(hù)的IP通信設(shè)置過(guò)濾器動(dòng)作外,還可以將過(guò)濾器動(dòng)作配置成:
·繞過(guò)策略,即某些IP通信可以繞過(guò)IPSec,不受其安全保護(hù) 。這類通信主要有以下三種情況:1)遠(yuǎn)程主機(jī)無(wú)法啟用IPSec,2)非敏感數(shù)據(jù)流無(wú)須受保護(hù),3)數(shù)據(jù)流本身自帶安全措施(例如使用Kerberos v5、SSL或 PPTP協(xié)議) 。
·攔截策略,用于攔截來(lái)自特定地址的通信 。
三、連接類型
每一條規(guī)則都需要指明連接類型,用以規(guī)定IPSec策略的適用范圍:如撥號(hào)適配器或網(wǎng)卡等 。規(guī)則的連接屬性決定該規(guī)則將應(yīng)用于單種連接還是多種連接 。例如,用戶可以指明某條安全需求非凡高的規(guī)則,只應(yīng)用于撥號(hào)連接,而不應(yīng)用于LAN連接 。
四、認(rèn)證
一條規(guī)則可以指定多種認(rèn)證方法 。IPSec支持的認(rèn)證方法主要有:
·Kerberos v5:Windows 2000的缺省認(rèn)證協(xié)議 。該認(rèn)證方法適用于任何運(yùn)行Kerberos v5協(xié)議的客戶機(jī)(無(wú)論該客戶機(jī)是否基于Windows) 。
·公鑰證書認(rèn)證:該認(rèn)證方法適用于Internet訪問(wèn)、遠(yuǎn)程訪問(wèn)、基于L2TP的通信或不運(yùn)行Kerberos v5協(xié)議的主機(jī),要求至少配置一個(gè)受信賴的認(rèn)證中心CA 。Windows 2000的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的認(rèn)證系統(tǒng)相兼容,但不推薦使用預(yù)置共享密鑰認(rèn)證,因?yàn)樵撜J(rèn)證方法不受IPSec策略保護(hù),為避免使用預(yù)置共享密鑰認(rèn)證可能帶來(lái)的風(fēng)險(xiǎn),一般建議使用Kerberos v5認(rèn)證或公鑰證書認(rèn)證 。

    推薦閱讀