成人在线你懂的-成人在线免费小视频-成人在线免费网站-成人在线免费视频观看-日韩精品国产一区二区-日韩精品国产一区

掃一掃
關(guān)注微信公眾號

IPSec基礎(chǔ)-IPSec策略相關(guān)基礎(chǔ)知識
2010-02-07   網(wǎng)絡(luò)

IPSec本身沒有為策略定義標(biāo)準(zhǔn),策略 的定義和表示由具體實(shí)施方案解決,以下對IPSec策略的介紹以Windows 2000為例。

  在Windows 2000中,IPSec策略包括一系列規(guī)則(規(guī)則規(guī)定哪些數(shù)據(jù)流可以接受,哪些數(shù)據(jù)流不能接受)和過濾器(過濾器規(guī)定數(shù)據(jù)流的源和目標(biāo)地 址),以便提供一定程度的安全級別。在Windows 2000IPSec實(shí)現(xiàn)中,既有多種預(yù)置策略可供用戶選擇,也可以讓用戶根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實(shí)施有兩種基本方法,一是在本地計算機(jī)上指定策略,二是使用Windows 2000 "組策略"對象,由其來實(shí)施策略。IPSec策略可適用于單機(jī)、域、路由器、網(wǎng)站或各種自定義組織單元等多種場合。
 一、規(guī)則
  規(guī)則規(guī)定IPSec策略何時以及如何保護(hù)IP通信。根據(jù)IP數(shù)據(jù)流的類型、源和目的地址,規(guī)則應(yīng)該具有觸發(fā)和控制安全通信的能力。每一條規(guī)則包含一張IP過濾器列表和與之相匹配的安全設(shè)置,這些安全設(shè)置有:1)過濾器動作 2)認(rèn)證方法 3IP隧道設(shè)置 4)連接類 型。
  一個IPSec策略包含一至多條規(guī)則,這些規(guī)則可以同時處于激活狀態(tài)。例如,用戶為某網(wǎng)站路由器指定安全策略,但對經(jīng)過該路由器的IntranetInternet通信有不同的安全要求,那么,這個策略就可以包含多條規(guī)則,分別對應(yīng)于IntranetInternet的不同場景。IPSec實(shí)現(xiàn)中針對各種基于客戶機(jī)和服務(wù)器的通信提供了許多預(yù)置規(guī)則,用戶可根 據(jù)實(shí)際需求使用或修改。
 二、過濾器和過濾器動作
  規(guī)則具有根據(jù)IP數(shù)據(jù)流的類型以及源和目的地址為通信觸發(fā)安全協(xié)商的能力,這一過程也稱為IP包過濾。應(yīng)用包過濾技術(shù),可以精確地定義哪些IP數(shù)據(jù)流需要受保護(hù),哪些數(shù)據(jù)流需要被攔截,哪些則可以繞過IPSec應(yīng)用(即無須受保護(hù))。
  一個過濾器由以下幾個參數(shù)決定:IP包的源和目的地址;包所使用的傳輸協(xié)議類型;TCPUDP協(xié)議的源和目的端口號。一個過濾器對應(yīng)于一種特定類型的數(shù)據(jù)流。 過濾器動作為需要受保護(hù)的IP通信設(shè)置 安全需求,這些安全需求包括安全算法,安全協(xié)議和使用的密鑰屬性等等。
  除了為需要受保護(hù)的IP通信設(shè)置過濾器動作外,還可以將過濾器動作配置成:
  ·繞過策略,即某些IP通信可以繞 過IPSec,不受其安全保護(hù)。這類通信主要有以下三種情況:1)遠(yuǎn)程主機(jī)無法啟用IPSec,2)非敏感數(shù)據(jù)流無須受保護(hù),3)數(shù)據(jù)流本身自帶安全措施(例如使用Kerberos v5、SSL PPTP協(xié)議)。
  ·攔截策略,用于攔截來自特定地址的通信。
 三、連接類型
  每一條規(guī)則都需要指明連接類型,用以規(guī)定IPSec策略的適用范圍:如撥號適配器或網(wǎng)卡等。規(guī)則的連接屬性決定該規(guī)則將應(yīng)用于單種連接還是多種連接。例 如,用戶可以指明某條安全需求特別高的規(guī)則,只應(yīng)用于撥號連接,而不應(yīng)用于LAN連接。
 四、認(rèn)證
  一條規(guī)則可以指定多種認(rèn)證方法。IPSec支持的認(rèn)證方法主要有:
  ·Kerberos v5Windows 2000的缺省認(rèn)證協(xié)議。該認(rèn)證方法適用于任何運(yùn)行Kerberos v5協(xié)議的客戶機(jī)(無論該客戶機(jī)是否基于Windows)。
  ·公鑰證書認(rèn)證:該認(rèn)證方法適用于Internet訪問、遠(yuǎn)程訪問、基于L2TP的通信或不運(yùn)行Kerberos v5協(xié)議的主機(jī),要求至少配置一個受信賴的認(rèn)證中心CA。 Windows 2000IKE可以和Microsoft、EntrustVeriSign等多家公司提供的認(rèn)證系統(tǒng)相兼容,但不推薦使用預(yù)置共享密鑰認(rèn)證,因為該認(rèn)證方法不受IPSec策略保護(hù),為避免使用預(yù)置共享密鑰認(rèn)證可能帶來的風(fēng)險,一般建議使用Kerberos v5認(rèn)證或公鑰證書認(rèn)證。

熱詞搜索:

上一篇:輕松9步輕松加強(qiáng)路由器安全防護(hù)能力
下一篇:網(wǎng)絡(luò)基礎(chǔ)端口的基礎(chǔ)知識及其概念介紹

分享到: 收藏
主站蜘蛛池模板: 天下第一楼剧情介绍| 做菜的视频家常菜大全| 陈一龙是哪部电视剧| 包青天之真假包公| 经典伦理电影| 抖音充值官网| 5xx.com| 房事性生活| 《隐秘而伟大》电视剧| 秋天不回来吉他谱扫弦| 欧布奥特曼普通版普通话中文版| stylistic device| 梁祝《引子》简谱| 德国老太性视频播放| 刑三狗| 晚上吃什么减肥| 口加一笔变新字有几个| 小丑与小丑女| 裸色亮片| 极乐玩偶 (1981)| 罗米欧与朱丽叶| angels of death| 浙江卫视回放观看入口| cope消除| 雪暴 电影| 好看电影网站免费看| 卡士酸奶尽量少吃| 高数玛利亚| 二年级最佳家长评语| 教育部全国青少年普法网答案| 夕阳老人视频| 女攻男受文| 以家人之名小说原著| 电视剧暗战在拂晓之前演员表| 混凝土结构施工质量验收规范gb50204-2015 | 新一剪梅| 李路琦| 喜羊羊与灰太狼之| 韩国青草视频| 孽子 电影| 徐若|