第十二章节使用IPSEC和证书保护网络通信幻灯片.pptVIP

* 总结 经过本章的学习，我们了解了下列的知识和内容。 了解IPSec的概念和管理配置 能够为IPSec配置证书 在下一章中，我们将学习配置网络访问。 重点： 可以通过以下问题帮助学生理解相关内容： IPSec 默认策略由哪三种？ IPSec 默认策略由客户端（只响应）、服务器（请求安全）和安全服务器（需要安全）； IPSec 在中的规则由哪几部分组成？ IPSec 在中的规则由筛选器、筛选器操作和验证方法组成的； 运行 Windows?XP 或者 Windows Server?2003 操作系统的计算机需要安装“高度加密包”才可以支持 3DES 吗？ 运行 Windows?XP 或者 Windows Server?2003 操作系统的计算机不需要安装“高度加密包”就可支持 3DES； 在同一个森林中计算机之间最简单的验证方法是什么？ 在同一个森林中计算机之间最简单的验证方法是通过 Kerberos 协议验证。 * * 答案：C (12.1.6) * * 答案：B, E (12.2.4) * * 答案：A, E. (12.3.3) * * 答案：A (12.1.3) * * 答案：D (12.2.4) * 重点： 介绍 IPSec 驱动程序的工作原理； 注意： IPSec 驱动程序将所有当前的快速模式 SA 存储在一个数据库中。IPSec 驱动程序使用“安全参数索引 (SPI)”字段将正确的 SA 与正确的数据包匹配，如果匹配则可能开始与目标计算机协商，然后根据筛选操作发或者丢弃送数据包‘； 参考： SA 全称是 Security Association，安全关联。 * 重点： IPSec 规则的组成； IPSec 的默认策略； 课堂提问： 一台计算机上可以指派多个 IPSec 策略吗？ 一台计算机上只能指派一个 IPSec 策略。 * 重点： 介绍筛选器。 * 重点： 介绍筛选器操作； 注意： 筛选器操作的安全性由低到高为阻止通信、允许通信和协商 IPSec。 * 重点： 介绍筛选器操作。 * 重点： 介绍验证方法； 注意： Kerberos 是三个默认策略的默认验证方法； 一般不使用预共享密钥。 * 重点： 讲解如何在对等的计算机之间使用 IPSec 建立安全连接； 讲解传送模式的概念和配置操作。 * 重点： 讲解如何在路由器之间使用 IPSec 建立安全连接； 实验演示配置 IPSec 隧道的方法； 要求学生同步完成配置操作； 难点： 隧道模式的概念和特点。 * 重点： 介绍常用的身份验证加密技术和数据包加密技术； 参考： 为身份验证和数据包加密所选择的方法依据信息的敏感程度和有关政府标准而有所不同； DES 全称是 Data Encryption Algorithm，数据加密算法； 3DES 全称是 Triple Data Encryption，三重数据加密标准； SHA 全称是 Secure Hash Algorithm，安全哈希算法； MD5 全称是 Message Digest 5 ，消息摘要 5，符合工业标准的单向 128 位散列方案，由 RSA 数据安全有限公司开发，由各种“点对点协议”(PPP) 供应商用于加密的身份验证。散列方案是一种以结果惟一并且不能返回到其原始格式的方式来进行转换数据（如密码）的方法。CHAP 身份验证协议使用挑战响应并在响应时使用单向 MD5 散列法。按照此方式，您无须通过网络发送密码就可以向服务器证明你知道密码。 * 重点： 介绍默认策略； 注意： 客户端（只响应）这是一个计算机策略的示例，它是根据请求而保护通信。例如，局域网计算机可能不需要 IPSec，除非另一台计算机发出请求。客户端（只响应）策略允许其活动的计算机正确响应安全通信请求； 服务器（请求安全）这是一个在大多数情况下保护通信的计算机策略示例，同时也允许与不支持 IPSec 的计算机进行不安全的通信； 安全服务器（需要安全）这是一个在局域网上要求进行安全通信的计算机策略示例，如传输高度敏感数据的服务器。在这个策略中使用的筛选器要求对所有的出站通信进行保护，同时允许不受保护的初始入站通信的请求。 * 重点： 多个IPSec 策略的工作原理； 课堂提问： 如果为一台 DNS 服务器指派了默认的安全服务器（需要安全）策略，而网络中其他计算机未指派任何 IPSec 策略，结果会怎样？ 如果为一台 DNS 服务器指派了默认的安全服务器（需要安全）策略，而网络中其他计算机未指派任何 IPSec 策略，结果是网络中其他计算机无法通过该 DNS 服务器解析主机名称，因为默认的安全服务器（需要安全）策略要求加密通信。 * 重点： 正确平衡最低、标准和高安全级别的要求； 注意： 安全级别的分类：