IPSEC安全策略相关

IPSEC安全策略相关

ID:45756493

大小:480.67 KB

页数:9页

时间:2019-11-17

IPSEC安全策略相关_第1页
IPSEC安全策略相关_第2页
IPSEC安全策略相关_第3页
IPSEC安全策略相关_第4页
IPSEC安全策略相关_第5页
资源描述:

《IPSEC安全策略相关》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、WindowsIPSEC安全策略相关这个文档中我们将要介绍的内容是如何通过信任通讯的实施來防御网络攻击什么是IPSECIPSEC是"Internet协议安全”的缩写,被用于保护通过其IP地址进行通信的两台计算机之间IP通信。它使用IPSEC策略中定义筛选来划分IP数据包。数据包分类,匹配到筛选器后,发牛配置筛选器操作。是一种通过加密安全服务的使用来确^"Internet协议(IP)”网络之上的保密安全的通讯。对于IPSEC來说有两个目标:1.保护IP数据包的内容。2.通过数据包筛选及受信任通讯的实施来防

2、御网络攻击。这两个目标都是通过使用基于加密的保护服务、安全协议来实现的。这个基础为网络计算机Z间的通讯提供了既有力乂灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。由设计,下列类型的IP通信被免除和无法由IPSEC保护的:・广播通信來自一个发送者转到许多接收器是未知向发送者。此类型的数据包通过IPSEC过滤器能归类。例如,使用192.168.0.x标准C类子网将有192.168.0.255的广播地址。广播地址収决于子网掩码。•多播向许多接收器是未知向发送者与广播通信,一个发送者发送IP数据包。这

3、些是地址范帼从224.0.0.0到239.255.255.255屮。・资源保留协议(RSVP)此通信使用IP协议46,用于提供Windows2000屮服务质量(QoS)。免除的RSVP通信呈都耍求以允许QOS标记为可能是由IPSEC保护通讯。・Internet密钥交换(IKE)IKE是由IPSEC用于安全(如果筛选操作指示安全需要协商)协商安全参数和数据包匹配到筛选器后建立共享加密密钥协议。Windows2000总是使用用户数据报协议(UDP)源和目标端口500进行IKE通信。・KerberosKerb

4、eros是核心Windows2000安全协议通常山IKE用于IPSEC验证。此通信使用UDFVTCP协议源和口标端口88oKerberos是本身,不需要由IPSEC保护的安全协议。Kerberos免除基本上是:如果并且有源或口标端口是TCP或UDP数据包=8&允许。注意:这些免除适用于IPSEC传输模式筛选器对于数据包,有一个源地址的计算机止在发送数据包。IPSEC隧道可保护仅单播IP通信。IPSEC-tunnel模式筛选也能处理多播或广播数据包。如果Kerberos.IKE或RSVP数据包是一个适配器

5、上接收并超出英他适用器(通过使用数据包转发或路山和远程访问服务),路山它们是不受IPSECtunnel-模式筛选并且可能将在隧道内部执行。IPSEC策略组件概述IPSEC策略山几个组件组成,这些组件用于实施组织的IPSEC安全耍求。下图描绘了IPSEC策略的各种组件以及它们ZI'可如何关联。密钥交换方法(IKE)IPSEC策略充当一套规则的容器,这些规则确定将允许哪些网络通信流以及如何允许。每条规则「11一个筛选器列表和一个关联操作组成。筛选器列表包含一组筛选器。当通信流与特定筛选器匹配时,将触发关联的

6、筛选器操作。另外,规则还定义在主机之间使用哪些身份验证方法。此图以从上往下的方式描绘了策略组件。但是,建立策略最有效的方法是从筛选器和筛选器列表开始,因为它们是控制保护哪个通信流的基础构造块。我们可以看到一个IPSEC策略的大体构成情况:由一或多个筛选器构成一个筛选器列表,对于每-个筛选器列表都有且只有一个筛选器操作与之对应,这种一一对应的关系就是IPSEC策略的一・个规则,或多个规则便构成了一个完整的IPSEC策略。当一个通信请求产牛时,请求方与被请求方的IP,协议,端口等信息将与筛选器列表中的筛选器

7、逐一进行比照,如果与某筛选器相符合,则由IPSEC策略执行与该筛选器列表对应的筛选器操作。rh此可见,我们在配置IPSEC策略的时候所需的工作就是一一配置筛选器列表,并为每个列表指定一个筛选器操作TCP/IP筛选与IPSEC比较TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,或限定IP访问,每增加一次就要重启服务器一次,只能适合比较小型访问,IPSEC策略可设定即时牛效,不用重启服务器,可对端口或IP进行封锁或访问,可拒绝一些不安全端口的访问,也可像TCP/IP筛选一

8、样只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,可选择性要人很多,其中的许可比拒绝优先,这样就可以设定优先通过某一些特定的IP,也可设定某个IP只能访问某个端口Z类的。TCP/IP筛选会在注册表中的HKEYLOCA!__MACHINESYSTEMControlSet001ServicesTcpipParametersHKEYLOCAl__MACHINESYSTEMControlSet002Services

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。