IPSec与网络安全选编.ppt

IPSec 与 网 络 安 全 （IPSEC安全性通信协议） 本章主题: IPSec概述 启动IPSEC 彻底了解IPSEC策略 1.IPSec概述: 所提供的功能: 1、在开始传送信息之前，双方会相互验证对方的身份。 2、确认数据是否在传输过程中被截获并被修改过，确认信息的完整性。 3、将传送的信息加密。 在传输之前两台计算机先协商出一个结果—SA（安全关联），就好象一份合同书。其中包括用来验证身份与信息加密的密钥、安全通信协议、SPI（安全参数索引）等信息，双方按其内容通信。协商的方法是标准的IKE（密钥交换）。完成后就可以通信了。 注：如果一台计算机同时与多台计算机通信，那他将拥有多个SA结果。系统将利用SPI（安全参数索引）来区分是与那台计算机通信。 2.启动IPSec： 我们是通过IPSEC策略来实现对他的管理的 。 2.1默认的IPSEC策略： 在MMC中添加：“IP安全策略管理” 2.2启动IPSEC策略： 2.3IPSEC测试：当我们PING对方的IP时，可以。 但用net view来通信时，不可以。 3.彻底了解IPSEC策略； 3.1 Internetr 密钥交换： 通信双方必须先协商，而其结果叫SA（安全关系）。这个协商工作是通过 .IKE 来完成的。 1、IKE两阶段式的协商： 第一阶段：这个阶段产生的SA被称为“主要模式SA”，又称为phase （分段引进）1SA，是两台计算机之间的一个安全的身份验证的通信管道。 在这个阶段，双方经过交换一些用来建立“主密钥”的基本信息后，就会各自建立主密钥。 第二阶段：在这个阶段将产生的SA被称为“快速模式SA”，又称为phase 2 SA，用来说明双方要如何建立“会话密钥”，要如何将所传送的信息加密，要如何确认信息是否来自对方。这个阶段的传输受”主要模式SA “的保护。 注释：“主要模式SA”是用于在两台计算机之间建立一个 安全的、计算机身份经过验证的通信管道。 而“快速模式SA”是用来确保双方所传输的信息能够受到保护。 2、密钥交换设置： 他是通过IPSec策略完成的。比如说，在三个策略之中“安全服务器（需要安全）”中的“常规”标签。 安全服务器（需要安全）：主动要求必须使用IPSEC。通信双方必须使用IPSEC，若对方无此功能，则无法通信。 客户端（仅响应）：被动使用IPSEC，只有其他计算机要求使用IPSEC时，你才会使用。 服务器（请求安全）：主动的请求使用IPSEC。通信时你的计算机会主动请求对方使用IPSEC，但对方如没有IPSEC，那你还是可以接受的。 如果计算机是隶属于活动目录的成员，则每180分钟就向控制器查询IPSEC策略是否改变。 多少时间重新产生新的主密钥。 每隔多少次会话重新产生新的主密钥。就是一个密钥可以用多少次。