IPSec基礎(chǔ)－IPSec策略

2019-11-05 01:57:40

字體：大中小

供稿：網(wǎng)友

　　ipSec本身沒(méi)有為策略定義標(biāo)準(zhǔn)，策略的定義和表示由具體實(shí)施方案解決，以下對(duì)IPSec策略的介紹以windows 2000為例。

在Windows 2000中，IPSec策略包括一系列規(guī)則（規(guī)則規(guī)定哪些數(shù)據(jù)流可以接受，哪些數(shù)據(jù)流不能接受）和過(guò)濾器（過(guò)濾器規(guī)定數(shù)據(jù)流的源和目標(biāo)地址），以便提供一定程度的安全級(jí)別。在Windows 2000的IPSec實(shí)現(xiàn)中，既有多種預(yù)置策略可供用戶選擇，也可以讓用戶根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實(shí)施有兩種基本方法，一是在本地計(jì)算機(jī)上指定策略，二是使用Windows 2000 "組策略"對(duì)象，由其來(lái)實(shí)施策略。IPSec策略可適用于單機(jī)、域、路由器、網(wǎng)站或各種自定義組織單元等多種場(chǎng)合。

一、規(guī)則

規(guī)則規(guī)定IPSec策略何時(shí)以及如何保護(hù)IP通信。根據(jù)IP數(shù)據(jù)流的類型、源和目的地址，規(guī)則應(yīng)該具有觸發(fā)和控制安全通信的能力。每一條規(guī)則包含一張IP過(guò)濾器列表和與之相匹配的安全設(shè)置，這些安全設(shè)置有：1）過(guò)濾器動(dòng)作 2）認(rèn)證方法 3）IP隧道設(shè)置 4）連接類型。

一個(gè)IPSec策略包含一至多條規(guī)則，這些規(guī)則可以同時(shí)處于激活狀態(tài)。例如，用戶為某網(wǎng)站路由器指定安全策略，但對(duì)經(jīng)過(guò)該路由器的Intranet和Internet通信有不同的安全要求，那么，這個(gè)策略就可以包含多條規(guī)則，分別對(duì)應(yīng)于Intranet和Internet的不同場(chǎng)景。IPSec實(shí)現(xiàn)中針對(duì)各種基于客戶機(jī)和服務(wù)器的通信提供了許多預(yù)置規(guī)則，用戶可根據(jù)實(shí)際需求使用或修改。

二、過(guò)濾器和過(guò)濾器動(dòng)作

規(guī)則具有根據(jù)IP數(shù)據(jù)流的類型以及源和目的地址為通信觸發(fā)安全協(xié)商的能力，這一過(guò)程也稱為IP包過(guò)濾。應(yīng)用包過(guò)濾技術(shù)，可以精確地定義哪些IP數(shù)據(jù)流需要受保護(hù)，哪些數(shù)據(jù)流需要被攔截，哪些則可以繞過(guò)IPSec應(yīng)用（即無(wú)須受保護(hù)）。

一個(gè)過(guò)濾器由以下幾個(gè)參數(shù)決定：IP包的源和目的地址；包所使用的傳輸協(xié)議類型；TCP和UDP協(xié)議的源和目的端口號(hào)。一個(gè)過(guò)濾器對(duì)應(yīng)于一種特定類型的數(shù)據(jù)流。過(guò)濾器動(dòng)作為需要受保護(hù)的IP通信設(shè)置安全需求，這些安全需求包括安全算法，安全協(xié)議和使用的密鑰屬性等等。

除了為需要受保護(hù)的IP通信設(shè)置過(guò)濾器動(dòng)作外，還可以將過(guò)濾器動(dòng)作配置成：

·繞過(guò)策略，即某些IP通信可以繞過(guò)IPSec，不受其安全保護(hù)。這類通信主要有以下三種情況：1）遠(yuǎn)程主機(jī)無(wú)法啟用IPSec，2）非敏感數(shù)據(jù)流無(wú)須受保護(hù)，3）數(shù)據(jù)流本身自帶安全措施（例如使用Kerberos v5、SSL或 PPTP協(xié)議）。

·攔截策略，用于攔截來(lái)自特定地址的通信。

三、連接類型

每一條規(guī)則都需要指明連接類型，用以規(guī)定IPSec策略的適用范圍：如撥號(hào)適配器或網(wǎng)卡等。規(guī)則的連接屬性決定該規(guī)則將應(yīng)用于單種連接還是多種連接。例如，用戶可以指明某條安全需求非凡高的規(guī)則，只應(yīng)用于撥號(hào)連接，而不應(yīng)用于LAN連接。

四、認(rèn)證

一條規(guī)則可以指定多種認(rèn)證方法。IPSec支持的認(rèn)證方法主要有：

·Kerberos v5：Windows 2000的缺省認(rèn)證協(xié)議。該認(rèn)證方法適用于任何運(yùn)行Kerberos v5協(xié)議的客戶機(jī)（無(wú)論該客戶機(jī)是否基于Windows）。

·公鑰證書(shū)認(rèn)證：該認(rèn)證方法適用于Internet訪問(wèn)、遠(yuǎn)程訪問(wèn)、基于L2TP的通信或不運(yùn)行Kerberos v5協(xié)議的主機(jī)，要求至少配置一個(gè)受信賴的認(rèn)證中心CA。 Windows 2000的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的認(rèn)證系統(tǒng)相兼容，但不推薦使用預(yù)置共享密鑰認(rèn)證，因?yàn)樵撜J(rèn)證方法不受IPSec策略保護(hù)，為避免使用預(yù)置共享密鑰認(rèn)證可能帶來(lái)的風(fēng)險(xiǎn)，一般建議使用Kerberos v5認(rèn)證或公鑰證書(shū)認(rèn)證。

上一篇：GRE：通用路由封裝

下一篇：IPSec基礎(chǔ)－密鑰交換和密鑰保護(hù)Internet密鑰交換（IKE）