利用IPSEC建立安全的网络通讯及证书.docVIP

窗体顶端 博客登录 用户名：密　码： 一步一步实现企业网络架构之五:利用IPSEC建立安全的网络通讯 2008-04-16 18:03:55 　标签：ftp 网络架构 IPSEC 网行天下　　　[推送到技术圈] 版权声明：原创作品，谢绝转载！否则将追究法律责任。 5.1 Internet “Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft? Windows??2000、Windows?XP 和 Windows Server?2003 家族实施 IPSec 基于的是“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。 IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows?XP 和 Windows Server?2003 家族中，IPSec 提供的功能可用于保护工作组、局域网计算机、域客户端和服务器、分支机构（可能在物理上为远程机构）、Extranet 以及漫游客户端之间的通讯。 5.2 IPSEC 证书服务工作于应用层，必须依赖于应用程序的支持。而IPSEC工作于网络层，与应用程序无关，也就是说不管是什么样的应用程序，当它的数据通过IP层时都会得得保护。 IPSEC是安全联网的长期方向。它为防止专用网络和 Internet 攻击提供了主要防线。 IPSec 有两个目标： ??? ???通过数据包筛选及受信任通讯的实施来防御网络攻击。 这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。 尽管基于加密的更强大的安全措施对于完全保护通讯是必需的，但是也大大增加了管理开销。为降低开销，IPSec 采用了基于策略的管理。 IPSec 策略（而不是应用程序接口 (API)）用来配置 IPSec 安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。 可使用 Microsoft??Windows??XP 和 Windows Server?2003 家族中提供的“IP 安全策略管理”控制台来通过 Active Directory? 为计算机（对于域成员）或在本地计算机（对于不属于域的计算机）上定义 IPSec 策略。 IPSEC的默认策略有： ???Clinet 要求通信的一方首先不选用IPSec对data进行加密。但如果对方请求加密则启用IPSec的加密。 ???Server 要求通信的一方首先选用IPSec对data进行加密。但如果对方请求不加密则不启用IPSec的加密data。 ???Secure server 通信的双方必须要求采用IPSec的安全通信，传输的data必须要加密。 IPSec 基于端对端的安全模式，在源 IP 和目标 IP 地址之间建立信任和安全性。考虑认为 IP 地址本身没有必要具有标识，但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全，因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换，否则仅从源向目标路由数据的计算机不要求支持 IPSec。该模式允许为下列企业方案成功部署 IPSec： ??? ???广域网 (WAN) 路由器对路由器以及网关对网关。 ???远程访问 拨号客户端以及从专用网络访问 Internet。 通常，两端都需要 IPSec 配置（称为 IPSec 策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。 5.3 IPSEC 在您的组织中部署 IPSec 之前，请考虑下列安全问题： ??? ???身份验证方法 ???防火墙数据包筛选 ???受保护的通信 ???Diffie-Hellman 小组 ???IPSEC的工作模式 5.3.1 3DES和运行Windows 2000计算机 IPSec 策略允许选择强加密算法 3DES，该算法提供的加密性能强于 DES，具有较高的安全性。运行 Windows?2000 的计算机必须安装“高级加密数据包”或“Service Pack 2”（或更高版本）才能执行 3DES 算法。如果运行 Windows?2000 的计算机接收 3DES 设置，但尚未安装“高度加密包”或“Se