基于IPSEC实现网络的安全管理系统.docVIP

基于IPSEC实现网络的安全管理系统 许多单位的网络,一般都是通过代理服务器,(如:WINGAT,SYGATE,WINDOWS系统集成的ICS等)软件实现与INTERNET共享连接的.在这样的一个网络中,如果没有安全性的措施,则公用和专用网络对于未经访问和监视都是敏感的.这些危险可能都来自民局域网内部的攻击,也可能来自INTERNET外部的攻击.因为在一般情况下,仅有基于用户密码的访问控制是不能保护网上传输的数据的. 一、目前办公网络所面临的主要不安全因素 nbsp;在没有安全措施的情况下,用户的数据可能会遭受攻击.一些攻击是被动的,这意味着信息可能被监视.另一些攻击是主动的,这意味着用户信息有可能被修改.在没有安全措施的情况下,网络数据对于下列类型的攻击来说是很脆弱的。 nbsp;窃听 nbsp;在通常的情况下。大部分网络通信在一个非安全或“纯文本”格式下发生,这允许获取用数据访问路径的攻击者“侦听”或读取数据流.当一个攻击者窃听用户通信时,通常指的是窃听或窥探。窃听者监视网络的能力通常是一个企业中网络管理者面对的最大的安全问题。对于没有进行基于密码规则加密的数据,当其在网上时就很可能被其他用户读取。 nbsp;数据修改 nbsp;当一个攻击者读取数据以后,下个步骤就是修改它.攻击者可以修改包中的信息,而无需知道发送者和接收者之间的任何信息。即使用户对于通信无需任何保密,但也不想其任何消息被修改。 nbsp;身份欺骗(IP地址欺骗) nbsp;大多数网络和操作系统使用计算机的IP地址来标识有效用户.在一定的情况下,合法作为用户的IP地址有可能被其他不明身份的用户作为自己的IP地址,用来欺骗网络管理人员和用户。攻击者也可能使用特殊的程序来构造IP地址,比如从团体内部网络得来有效的地址。在获取访问网络的一个有效IP地址后,攻击者可以修改,重新路由或删除用户的数据。 nbsp;基于口令的攻击 nbsp;通常操作系统命名和网络安全性计划是基于对口令的访问控制.这意味着用户访问一个计算机的权利及网络资源是由用户来决定,确切地说是由用户名及用户口令组成旧的应用有时不会保护相关的身份信息.这可能会使窃听者假装成有效的用户而获取网络访问权.当攻击者找到一个有效的权利.因此,若用户拥有管理员级权利,那么攻击者也可以在后来的访问中创建账号以供以后访问时使用。 nbsp;拒绝服务攻击 nbsp;不像基于对口令的攻击,拒绝服务攻击则可以阻止有效用户正常地使用计算机或者网络。 nbsp;中间人攻击 nbsp;就像“攻击”二字本身的名字一样,中间人攻击是对两个建立通信的用户进行攻击.进行攻击的中间人可以在两个用户之间进行主动地监视和捕获,透明地控制用户之间的通信。例如:攻击者可以重路由用户数据交换.当计算机在网络低层通信时,计算机可能无法决定自己和谁在通信.中间人攻击能够成功的原因在于中间人会将自己“假扮”为合法用户从而读取用户消息.这时另一端的用户可能由于攻击者能主动回答相信其为合法用户,并且保持与攻击者交换数据及让其能获取更多的信息。 nbsp;危害密钥攻击 nbsp;密钥是用于解释已加密信息一的段保密代码或数字尽管对于攻击者来说获取一个密钥是件非常困难并且非常耗费资源的过程,但它仍是可能成功的。当攻击者获取一个密钥以后,该密钥则被称为危害密钥.攻击者使用危害密钥获取一个加密通信的访问权时,发送者和接收者却不会知道,有了危害密钥,攻击就可以解密或者修改数据。并且试图利用此密钥推算另外的密钥,这可能导致允许攻击者访问其他安全加密的通信。 nbsp;8窃听器攻击 nbsp;窃听器是一个应用程序或装置,它可以读取,监视,捕获网络数据并读取网络包. 若包没有加密,窃听器则可以完全地查看包中的信息,甚至攻击者没有获取密钥,便可以打开并读取封装的包,除非包加密。 IPSEC的工作原理及特点 nbsp;通过对以上几种不安全的介绍,可以看出在局域网中,提高数据传输的安全性是很重要的.为此,在这次实习中 通过在网络中启用internet protocol; security(IPSEC internet 协议安全性)来保护网络安全的方法. nbsp;对于IPSEC的工作原理.可以通过以下3个步骤来说明 nbsp;在进行数据交换之前,先相互验证双方计算机的身份。 nbsp;验证身份通过以后,在这两台计算机之间建立一种安全协作关系。 nbsp;在进行数据传输之前对数据进行加密。 nbsp;通过这3个步骤,便可以保证网络的通信安全.即使数据中途被截获,但因为截获者不知道加密的密钥,因而也就无从了解数据的内容。 在Windows 2000/2003 XP中启用IPSEC安全策略 nbsp;在 Windows 2000/2003 xp系统