返回
企业网络架构之五利用IPSEC建立安全的网络通讯

企业网络架构之五利用IPSEC建立安全的网络通讯

ID:36472788

大小:770.00 KB

页数:13页

时间:2019-05-11

企业网络架构之五利用IPSEC建立安全的网络通讯_第1页
企业网络架构之五利用IPSEC建立安全的网络通讯_第2页
企业网络架构之五利用IPSEC建立安全的网络通讯_第3页
企业网络架构之五利用IPSEC建立安全的网络通讯_第4页
企业网络架构之五利用IPSEC建立安全的网络通讯_第5页
资源描述:

《企业网络架构之五利用IPSEC建立安全的网络通讯》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、5.1Internet协议安全性概述“Internet协议安全性(IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。Microsoft®Windows® 2000、Windows XP和WindowsServer 2003家族实施IPSec基于的是“Internet工程任务组(IETF)”IPSec工作组开发的标准。IPSec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。在通信中,只有发送方和接收方才是唯一必须了解IPSec保护的计算机。在Windows XP和W

2、indowsServer 2003家族中,IPSec提供的功能可用于保护工作组、局域网计算机、域客户端和服务器、分支机构(可能在物理上为远程机构)、Extranet以及漫游客户端之间的通讯。5.2IPSEC的工作原理证书服务工作于应用层,必须依赖于应用程序的支持。而IPSEC工作于网络层,与应用程序无关,也就是说不管是什么样的应用程序,当它的数据通过IP层时都会得得保护。IPSEC是安全联网的长期方向。它为防止专用网络和Internet攻击提供了主要防线。IPSec有两个目标:l  保护IP数据包的内容。l  通过数据包筛选及受信任通讯的实施来防御网络攻击。这两个目标都是通过使用基于加密的

3、保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。尽管基于加密的更强大的安全措施对于完全保护通讯是必需的,但是也大大增加了管理开销。为降低开销,IPSec采用了基于策略的管理。IPSec策略(而不是应用程序接口(API))用来配置IPSec安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。可使用Microsoft® Windows® XP和WindowsServer 2003家族中提供的“IP安全策略管理”控制台来通过Activ

4、eDirectory®为计算机(对于域成员)或在本地计算机(对于不属于域的计算机)上定义IPSec策略。IPSEC的默认策略有:l  Clinet要求通信的一方首先不选用IPSec对data进行加密。但如果对方请求加密则启用IPSec的加密。l  Server要求通信的一方首先选用IPSec对data进行加密。但如果对方请求不加密则不启用IPSec的加密data。l  Secureserver通信的双方必须要求采用IPSec的安全通信,传输的data必须要加密。IPSec基于端对端的安全模式,在源IP和目标IP地址之间建立信任和安全性。考虑认为IP地址本身没有必要具有标识,但IP地址后面的

5、系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全,因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换,否则仅从源向目标路由数据的计算机不要求支持IPSec。该模式允许为下列企业方案成功部署IPSec:l  局域网(LAN)客户端/服务器与对等。l  广域网(WAN)路由器对路由器以及网关对网关。l  远程访问拨号客户端以及从专用网络访问Internet。通常,两端都需要IPSec配置(称为IPSec策略)来设置选项与安全设置,以允许两个系统对如何保护它们之间的通讯达成协议

6、。5.3IPSEC的安全性在您的组织中部署IPSec之前,请考虑下列安全问题:l  3DES和运行Microsoft®Windows® 2000的计算机l  身份验证方法l  防火墙数据包筛选l  受保护的通信l  Diffie-Hellman小组l  IPSEC的工作模式5.3.13DES和运行Windows2000计算机IPSec策略允许选择强加密算法3DES,该算法提供的加密性能强于DES,具有较高的安全性。运行Windows 2000的计算机必须安装“高级加密数据包”或“ServicePack2”(或更高版本)才能执行3DES算法。如果运行Windows 2000的计算机接收3DE

7、S设置,但尚未安装“高度加密包”或“ServicePack2”(或更高版本),则3DES设置将被设置为安全性较低的DES以提供一定程度的通信保密,而并非阻止整个通信。但是,如果您的环境中的计算机并不都支持使用3DES,作为折衷选择,您应该仅使用DES。运行Windows XP和WindowsServer 2003家族的计算机支持3DES且不需要安装“高级加密数据包”。5.3.2身份验证方法如果企业中的计算机是Active

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。