亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

IPSec基礎-IPSec策略相關基礎知識
2010-02-07   網(wǎng)絡

IPSec本身沒有為策略定義標準,策略 的定義和表示由具體實施方案解決,以下對IPSec策略的介紹以Windows 2000為例。

  在Windows 2000中,IPSec策略包括一系列規(guī)則(規(guī)則規(guī)定哪些數(shù)據(jù)流可以接受,哪些數(shù)據(jù)流不能接受)和過濾器(過濾器規(guī)定數(shù)據(jù)流的源和目標地 址),以便提供一定程度的安全級別。在Windows 2000IPSec實現(xiàn)中,既有多種預置策略可供用戶選擇,也可以讓用戶根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實施有兩種基本方法,一是在本地計算機上指定策略,二是使用Windows 2000 "組策略"對象,由其來實施策略。IPSec策略可適用于單機、域、路由器、網(wǎng)站或各種自定義組織單元等多種場合。
 一、規(guī)則
  規(guī)則規(guī)定IPSec策略何時以及如何保護IP通信。根據(jù)IP數(shù)據(jù)流的類型、源和目的地址,規(guī)則應該具有觸發(fā)和控制安全通信的能力。每一條規(guī)則包含一張IP過濾器列表和與之相匹配的安全設置,這些安全設置有:1)過濾器動作 2)認證方法 3IP隧道設置 4)連接類 型。
  一個IPSec策略包含一至多條規(guī)則,這些規(guī)則可以同時處于激活狀態(tài)。例如,用戶為某網(wǎng)站路由器指定安全策略,但對經(jīng)過該路由器的IntranetInternet通信有不同的安全要求,那么,這個策略就可以包含多條規(guī)則,分別對應于IntranetInternet的不同場景。IPSec實現(xiàn)中針對各種基于客戶機和服務器的通信提供了許多預置規(guī)則,用戶可根 據(jù)實際需求使用或修改。
 二、過濾器和過濾器動作
  規(guī)則具有根據(jù)IP數(shù)據(jù)流的類型以及源和目的地址為通信觸發(fā)安全協(xié)商的能力,這一過程也稱為IP包過濾。應用包過濾技術,可以精確地定義哪些IP數(shù)據(jù)流需要受保護,哪些數(shù)據(jù)流需要被攔截,哪些則可以繞過IPSec應用(即無須受保護)。
  一個過濾器由以下幾個參數(shù)決定:IP包的源和目的地址;包所使用的傳輸協(xié)議類型;TCPUDP協(xié)議的源和目的端口號。一個過濾器對應于一種特定類型的數(shù)據(jù)流。 過濾器動作為需要受保護的IP通信設置 安全需求,這些安全需求包括安全算法,安全協(xié)議和使用的密鑰屬性等等。
  除了為需要受保護的IP通信設置過濾器動作外,還可以將過濾器動作配置成:
  ·繞過策略,即某些IP通信可以繞 過IPSec,不受其安全保護。這類通信主要有以下三種情況:1)遠程主機無法啟用IPSec,2)非敏感數(shù)據(jù)流無須受保護,3)數(shù)據(jù)流本身自帶安全措施(例如使用Kerberos v5、SSL PPTP協(xié)議)。
  ·攔截策略,用于攔截來自特定地址的通信。
 三、連接類型
  每一條規(guī)則都需要指明連接類型,用以規(guī)定IPSec策略的適用范圍:如撥號適配器或網(wǎng)卡等。規(guī)則的連接屬性決定該規(guī)則將應用于單種連接還是多種連接。例 如,用戶可以指明某條安全需求特別高的規(guī)則,只應用于撥號連接,而不應用于LAN連接。
 四、認證
  一條規(guī)則可以指定多種認證方法。IPSec支持的認證方法主要有:
  ·Kerberos v5Windows 2000的缺省認證協(xié)議。該認證方法適用于任何運行Kerberos v5協(xié)議的客戶機(無論該客戶機是否基于Windows)。
  ·公鑰證書認證:該認證方法適用于Internet訪問、遠程訪問、基于L2TP的通信或不運行Kerberos v5協(xié)議的主機,要求至少配置一個受信賴的認證中心CA。 Windows 2000IKE可以和MicrosoftEntrustVeriSign等多家公司提供的認證系統(tǒng)相兼容,但不推薦使用預置共享密鑰認證,因為該認證方法不受IPSec策略保護,為避免使用預置共享密鑰認證可能帶來的風險,一般建議使用Kerberos v5認證或公鑰證書認證。

熱詞搜索:

上一篇:輕松9步輕松加強路由器安全防護能力
下一篇:網(wǎng)絡基礎端口的基礎知識及其概念介紹

分享到: 收藏