IPSec是跨平台的一项增强系统安全的策略软件,兼容性很强,既可以运行于Windows系统,也可以运行于UNIX(Linux)。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
1.引入IPSec的原因
1)原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通信数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。
2)因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的互连。
2.IPSec的应用方式
1)端到端(end-end):主机到主机的安全通信。
2)端到路由(end-router):主机到路由设备之间的安全通信。
3)路由到路由(router-router):路由设备之间的安全通信,通常用于在两个网络之间建立虚拟专用网。
3.Windows下的IPSec策略使用
Windows下的IPSec默认有以下三种策略。
1)服务器(请求安全):主动地请求使用IPSec。当其他计算机要与本地计算机通信时,或者本地计算机要跟其他计算机通信时,本地计算机都会请求对方使用IPSec,若对方不支持IPSec,也可以接受没有IPSec的方式通信。
2)客户端(仅响应):被动地使用IPSec,也就是只有其他计算机要求与本地计算机利用IPSec来通信时,本地计算机才会使用IPSec。
3)安全服务器(需要安全):主动要求必须使用IPSec。其他计算机与本地计算机,或者本地计算机与其他计算机通信时,都必须使用IPSec。若对方不支持,则双方无法通信。
4.IPSec自定义策略(www.xing528.com)
IPSec自定义策略主要包括三部分:IP筛选器列表、筛选器操作、身份认证方法。
(1)IP筛选器列表(IP Filter List)
(2)筛选器操作
许可——表示双方通信不需要IPSec;
阻止——表示拒绝双方通信;
协商安全——双方协商出一种安全通信的方法。
(3)身份认证方法
在IKE执行密钥交换动作时,双方用来验证对方身份的方法有以下三种。
●Kerberos是默认的验证方法。必须支持Kerberos V5的计算机才可以使用这种验证方法,例如,Windows 2000/XP/2003,而且这些计算机必须是同一个域或者是受信任域内的成员,基于域环境。
●证书。采用此种验证方法的计算机必须向受信任的CA(Certification Authority,证书颁发机构)申请X.509 Version 3的证书。Windows 2000/XP/2003都支持证书方法验证。
●预共享密钥。采用此方法双方必须设置一个相同的字符串作为密钥。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
