利用ipsec建立安全的網(wǎng)絡(luò)通訊和證書

利用ipsec建立安全的網(wǎng)絡(luò)通訊和證書

ID:11302369

大?。?.75 MB

頁數(shù):24頁

時(shí)間:2018-07-11

利用ipsec建立安全的網(wǎng)絡(luò)通訊和證書_第1頁
利用ipsec建立安全的網(wǎng)絡(luò)通訊和證書_第2頁
利用ipsec建立安全的網(wǎng)絡(luò)通訊和證書_第3頁
利用ipsec建立安全的網(wǎng)絡(luò)通訊和證書_第4頁
利用ipsec建立安全的網(wǎng)絡(luò)通訊和證書_第5頁
資源描述:

《利用ipsec建立安全的網(wǎng)絡(luò)通訊和證書》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、窗體頂端博客登錄用戶名:密 碼:窗體底端一步一步實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)架構(gòu)之五:利用IPSEC建立安全的網(wǎng)絡(luò)通訊2008-04-1618:03:55 標(biāo)簽:ftp網(wǎng)絡(luò)架構(gòu)IPSEC網(wǎng)行天下   [推送到技術(shù)圈]版權(quán)聲明:原創(chuàng)作品,謝絕轉(zhuǎn)載!否則將追究法律責(zé)任。5.1Internet協(xié)議安全性概述“Internet協(xié)議安全性(IPSec)”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。Microsoft?Windows??2000、Windows?XP和WindowsServer?2003家族實(shí)施IPSec基于的是“Inter

2、net工程任務(wù)組(IETF)”IPSec工作組開發(fā)的標(biāo)準(zhǔn)。IPSec是安全聯(lián)網(wǎng)的長期方向。它通過端對端的安全性來提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與Internet的攻擊。在通信中,只有發(fā)送方和接收方才是唯一必須了解IPSec保護(hù)的計(jì)算機(jī)。在Windows?XP和WindowsServer?2003家族中,IPSec提供的功能可用于保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶端和服務(wù)器、分支機(jī)構(gòu)(可能在物理上為遠(yuǎn)程機(jī)構(gòu))、Extranet以及漫游客戶端之間的通訊。5.2IPSEC的工作原理證書服務(wù)工作于應(yīng)用層,必須依賴于應(yīng)用程序的支持。而IPSEC工作于網(wǎng)絡(luò)層,與應(yīng)用程序無關(guān),也就是說不管是什么樣

3、的應(yīng)用程序,當(dāng)它的數(shù)據(jù)通過IP層時(shí)都會(huì)得得保護(hù)。IPSEC是安全聯(lián)網(wǎng)的長期方向。它為防止專用網(wǎng)絡(luò)和Internet攻擊提供了主要防線。IPSec有兩個(gè)目標(biāo):l??保護(hù)IP數(shù)據(jù)包的內(nèi)容。l??通過數(shù)據(jù)包篩選及受信任通訊的實(shí)施來防御網(wǎng)絡(luò)攻擊。這兩個(gè)目標(biāo)都是通過使用基于加密的保護(hù)服務(wù)、安全協(xié)議與動(dòng)態(tài)密鑰管理來實(shí)現(xiàn)的。這個(gè)基礎(chǔ)為專用網(wǎng)絡(luò)計(jì)算機(jī)、域、站點(diǎn)、遠(yuǎn)程站點(diǎn)、Extranet和撥號(hào)用戶之間的通信提供了既有力又靈活的保護(hù)。它甚至可以用來阻礙特定通訊類型的接收和發(fā)送。盡管基于加密的更強(qiáng)大的安全措施對于完全保護(hù)通訊是必需的,但是也大大增加了管理開銷。為降低開銷,IPSec采用了基于策略的管

4、理。IPSec策略(而不是應(yīng)用程序接口(API))用來配置IPSec安全服務(wù)。這些策略可為多數(shù)現(xiàn)有網(wǎng)絡(luò)中的多數(shù)通信類型提供各種級別的保護(hù)??墒褂肕icrosoft??Windows??XP和WindowsServer?2003家族中提供的“IP安全策略管理”控制臺(tái)來通過ActiveDirectory?為計(jì)算機(jī)(對于域成員)或在本地計(jì)算機(jī)(對于不屬于域的計(jì)算機(jī))上定義IPSec策略。IPSEC的默認(rèn)策略有:l??Clinet要求通信的一方首先不選用IPSec對data進(jìn)行加密。但如果對方請求加密則啟用IPSec的加密。l??Server要求通信的一方首先選用IPSec對data進(jìn)行

5、加密。但如果對方請求不加密則不啟用IPSec的加密data。l??Secureserver通信的雙方必須要求采用IPSec的安全通信,傳輸?shù)膁ata必須要加密。IPSec基于端對端的安全模式,在源IP和目標(biāo)IP地址之間建立信任和安全性。考慮認(rèn)為IP地址本身沒有必要具有標(biāo)識(shí),但I(xiàn)P地址后面的系統(tǒng)必須有一個(gè)通過身份驗(yàn)證程序驗(yàn)證過的標(biāo)識(shí)。只有發(fā)送和接收的計(jì)算機(jī)需要知道通訊是安全的。每臺(tái)計(jì)算機(jī)都假定進(jìn)行通訊的媒體不安全,因此在各自的終端上實(shí)施安全設(shè)置。除非兩臺(tái)計(jì)算機(jī)之間正在進(jìn)行防火墻類型的數(shù)據(jù)包篩選或網(wǎng)絡(luò)地址轉(zhuǎn)換,否則僅從源向目標(biāo)路由數(shù)據(jù)的計(jì)算機(jī)不要求支持IPSec。該模式允許為下列企業(yè)

6、方案成功部署IPSec:l??局域網(wǎng)(LAN)客戶端/服務(wù)器與對等。l??廣域網(wǎng)(WAN)路由器對路由器以及網(wǎng)關(guān)對網(wǎng)關(guān)。l??遠(yuǎn)程訪問撥號(hào)客戶端以及從專用網(wǎng)絡(luò)訪問Internet。通常,兩端都需要IPSec配置(稱為IPSec策略)來設(shè)置選項(xiàng)與安全設(shè)置,以允許兩個(gè)系統(tǒng)對如何保護(hù)它們之間的通訊達(dá)成協(xié)議。5.3IPSEC的安全性在您的組織中部署IPSec之前,請考慮下列安全問題:l??3DES和運(yùn)行Microsoft?Windows??2000的計(jì)算機(jī)l??身份驗(yàn)證方法l??防火墻數(shù)據(jù)包篩選l??受保護(hù)的通信l??Diffie-Hellman小組l??IPSEC的工作模式5.3.13

7、DES和運(yùn)行Windows2000計(jì)算機(jī)IPSec策略允許選擇強(qiáng)加密算法3DES,該算法提供的加密性能強(qiáng)于DES,具有較高的安全性。運(yùn)行Windows?2000的計(jì)算機(jī)必須安裝“高級加密數(shù)據(jù)包”或“ServicePack2”(或更高版本)才能執(zhí)行3DES算法。如果運(yùn)行Windows?2000的計(jì)算機(jī)接收3DES設(shè)置,但尚未安裝“高度加密包”或“ServicePack2”(或更高版本),則3DES設(shè)置將被設(shè)置為安全性較低的DES以提供一定程度的通信保密,而并非阻止整個(gè)通信。但是,如

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時(shí)聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請聯(lián)系客服處理。