資源描述:
《企業(yè)網(wǎng)絡(luò)架構(gòu)之五利用IPSEC建立安全的網(wǎng)絡(luò)通訊》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)���。
1����、5.1Internet協(xié)議安全性概述“Internet協(xié)議安全性(IPSec)”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊�����。Microsoft?Windows??2000��、Windows?XP和WindowsServer?2003家族實(shí)施IPSec基于的是“Internet工程任務(wù)組(IETF)”IPSec工作組開發(fā)的標(biāo)準(zhǔn)��。IPSec是安全聯(lián)網(wǎng)的長(zhǎng)期方向���。它通過端對(duì)端的安全性來(lái)提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與Internet的攻擊�。在通信中,只有發(fā)送方和接收方才是唯一必須了解IPSec保護(hù)的計(jì)算機(jī)��。在Windows?XP和W
2����、indowsServer?2003家族中,IPSec提供的功能可用于保護(hù)工作組��、局域網(wǎng)計(jì)算機(jī)�����、域客戶端和服務(wù)器��、分支機(jī)構(gòu)(可能在物理上為遠(yuǎn)程機(jī)構(gòu))�����、Extranet以及漫游客戶端之間的通訊�����。5.2IPSEC的工作原理證書服務(wù)工作于應(yīng)用層�,必須依賴于應(yīng)用程序的支持��。而IPSEC工作于網(wǎng)絡(luò)層���,與應(yīng)用程序無(wú)關(guān),也就是說不管是什么樣的應(yīng)用程序��,當(dāng)它的數(shù)據(jù)通過IP層時(shí)都會(huì)得得保護(hù)�����。IPSEC是安全聯(lián)網(wǎng)的長(zhǎng)期方向��。它為防止專用網(wǎng)絡(luò)和Internet攻擊提供了主要防線��。IPSec有兩個(gè)目標(biāo):l??保護(hù)IP數(shù)據(jù)包的內(nèi)容�����。l??通過數(shù)據(jù)包篩選及受信任通訊的實(shí)施來(lái)防御網(wǎng)絡(luò)攻擊�����。這兩個(gè)目標(biāo)都是通過使用基于加密的
3�、保護(hù)服務(wù)��、安全協(xié)議與動(dòng)態(tài)密鑰管理來(lái)實(shí)現(xiàn)的。這個(gè)基礎(chǔ)為專用網(wǎng)絡(luò)計(jì)算機(jī)����、域、站點(diǎn)���、遠(yuǎn)程站點(diǎn)���、Extranet和撥號(hào)用戶之間的通信提供了既有力又靈活的保護(hù)。它甚至可以用來(lái)阻礙特定通訊類型的接收和發(fā)送�。盡管基于加密的更強(qiáng)大的安全措施對(duì)于完全保護(hù)通訊是必需的,但是也大大增加了管理開銷�。為降低開銷,IPSec采用了基于策略的管理�����。IPSec策略(而不是應(yīng)用程序接口(API))用來(lái)配置IPSec安全服務(wù)��。這些策略可為多數(shù)現(xiàn)有網(wǎng)絡(luò)中的多數(shù)通信類型提供各種級(jí)別的保護(hù)��?����?墒褂肕icrosoft??Windows??XP和WindowsServer?2003家族中提供的“IP安全策略管理”控制臺(tái)來(lái)通過Activ
4、eDirectory?為計(jì)算機(jī)(對(duì)于域成員)或在本地計(jì)算機(jī)(對(duì)于不屬于域的計(jì)算機(jī))上定義IPSec策略����。IPSEC的默認(rèn)策略有:l??Clinet要求通信的一方首先不選用IPSec對(duì)data進(jìn)行加密。但如果對(duì)方請(qǐng)求加密則啟用IPSec的加密����。l??Server要求通信的一方首先選用IPSec對(duì)data進(jìn)行加密。但如果對(duì)方請(qǐng)求不加密則不啟用IPSec的加密data�����。l??Secureserver通信的雙方必須要求采用IPSec的安全通信���,傳輸?shù)膁ata必須要加密���。IPSec基于端對(duì)端的安全模式,在源IP和目標(biāo)IP地址之間建立信任和安全性�?��?紤]認(rèn)為IP地址本身沒有必要具有標(biāo)識(shí)�,但I(xiàn)P地址后面的
5�、系統(tǒng)必須有一個(gè)通過身份驗(yàn)證程序驗(yàn)證過的標(biāo)識(shí)。只有發(fā)送和接收的計(jì)算機(jī)需要知道通訊是安全的。每臺(tái)計(jì)算機(jī)都假定進(jìn)行通訊的媒體不安全��,因此在各自的終端上實(shí)施安全設(shè)置��。除非兩臺(tái)計(jì)算機(jī)之間正在進(jìn)行防火墻類型的數(shù)據(jù)包篩選或網(wǎng)絡(luò)地址轉(zhuǎn)換��,否則僅從源向目標(biāo)路由數(shù)據(jù)的計(jì)算機(jī)不要求支持IPSec����。該模式允許為下列企業(yè)方案成功部署IPSec:l??局域網(wǎng)(LAN)客戶端/服務(wù)器與對(duì)等�����。l??廣域網(wǎng)(WAN)路由器對(duì)路由器以及網(wǎng)關(guān)對(duì)網(wǎng)關(guān)�。l??遠(yuǎn)程訪問撥號(hào)客戶端以及從專用網(wǎng)絡(luò)訪問Internet��。通常�����,兩端都需要IPSec配置(稱為IPSec策略)來(lái)設(shè)置選項(xiàng)與安全設(shè)置�,以允許兩個(gè)系統(tǒng)對(duì)如何保護(hù)它們之間的通訊達(dá)成協(xié)議
6���、�。5.3IPSEC的安全性在您的組織中部署IPSec之前,請(qǐng)考慮下列安全問題:l??3DES和運(yùn)行Microsoft?Windows??2000的計(jì)算機(jī)l??身份驗(yàn)證方法l??防火墻數(shù)據(jù)包篩選l??受保護(hù)的通信l??Diffie-Hellman小組l??IPSEC的工作模式5.3.13DES和運(yùn)行Windows2000計(jì)算機(jī)IPSec策略允許選擇強(qiáng)加密算法3DES,該算法提供的加密性能強(qiáng)于DES�����,具有較高的安全性��。運(yùn)行Windows?2000的計(jì)算機(jī)必須安裝“高級(jí)加密數(shù)據(jù)包”或“ServicePack2”(或更高版本)才能執(zhí)行3DES算法���。如果運(yùn)行Windows?2000的計(jì)算機(jī)接收3DE
7、S設(shè)置,但尚未安裝“高度加密包”或“ServicePack2”(或更高版本)���,則3DES設(shè)置將被設(shè)置為安全性較低的DES以提供一定程度的通信保密���,而并非阻止整個(gè)通信。但是�,如果您的環(huán)境中的計(jì)算機(jī)并不都支持使用3DES,作為折衷選擇����,您應(yīng)該僅使用DES���。運(yùn)行Windows?XP和WindowsServer?2003家族的計(jì)算機(jī)支持3DES且不需要安裝“高級(jí)加密數(shù)據(jù)包”����。5.3.2身份驗(yàn)證方法如果企業(yè)中的計(jì)算機(jī)是Active
