有关IP的基知识IP安全安全关联（SA）IP安全机制实例操作.pptVIP

网络通信安全 共23页 第四节 IP安全  有关IP的基础知识 IP安全 安全关联（SA） IP安全机制 实例操作:Win2000对ipsec的支持（必须掌握） 3.4.1 有关IP的基础知识 （1）IP地址 Internet是一个信息的海洋，但这些信息存放在什么地方呢？，实际上，这些信息是存放在世界各地称为“站点”的计算机上，为了区别各个站点，必须为每个站点分配一个唯一的地址，这个地址即称为“IP地址” 。 在Internet上，每台计算机或路由器都有一个由授权机构分配的号码，这就是IP地址。 3.4.2 IP安全 IP安全主要包括： 间接访问控制支持 无连接完整性 数据源认证 防止IP包重放／重排的保护 机密性 有限话务流的秘密性 基于以上安全,internet协议安全工作组经过几年的努力,提出了一系列的协议,构成一个安全体系,总称为IP security Protocol,简称IPSec. AH(Authentication Header) ESP(Encapsulating Security Payload) IKE(Internet Key Exchange) 3.4.3 安全关联（Security Association） 安全关联是通信对等方对某些要素的一些约定（如密码算法及密钥）. SA是单向的,输入和输出分别要有各自的SA. 3.4.4 IP安全机制 1. 认证头 IP认证头是一种安全机制，它为IP包提供以下安全服务： （1）无连接完整性； （2）数据源认证； （3）防重放攻击保护。 不提供数据加密,数据以明文方式传送,当机密必不是必须的时候,使用AH协议比较合适.  2. 封装安全有效载荷 像AH一样，ESP是基于封装的机制，主要用来处理IP数据报的加密.它为IP包提供以下安全服务： （1）秘密性； （2）数据源认证； （3）无连接完整性。 （4）防重放攻击保护； （5）部分防流量分析保护（仅为隧道模式）。 3. AH和ESP的结合 AH和ESP可以结合起来建立安全连接。例如，在VPN中，AH可在主机与安全网关（传输模式）之间使用，ESP则可在安全网关之间使用（隧道模式）。 Win2000对ipsec的支持 实例:用win2000的IP安全策略封闭端口的办法 用win2000的IP安全策略封闭端口的办法 一、创建一个新的IP安全策略 你可以通过“控制面板→管理工具→本地安全策略”进入，右击“IP安全策略”，选择“创建IP安全策略”，点[下一步]。输入安全策略的名称，点[下一步]，一直到完成，你就创建了一个安全策略。  用win2000的IP安全策略封闭端口的办法 二、进入管理IP筛选器列表 接着你要做的是右击“IP安全策略”，进入管理IP筛选器和筛选器操作，在管理IP筛选器列表中，你可以添加要封锁的端口，这里以关闭ICMP和139端口为例说明。 用win2000的IP安全策略封闭端口的办法 三、设置管理筛选器操作 点“添加”，点[下一步]，在名称中输入“拒绝”，点[下一步]。选择“阻止”，点[下一步]。 用win2000的IP安全策略封闭端口的办法 四、指派该策略 1、右击新建的IP安全策略“安全”，打开属性页。在规则中选择“添加”，点[下一步]。在IP筛选器列表中选择“关闭ICMP”，点[下一步]。在筛选器操作中选择“拒绝”，点[下一步]。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法，你可以将“关闭139”等其他筛选器加入进来。2、是右击“安全”，在菜单中选择“所有任务”，选择“指派”。 * * IP地址是Internet地址的一种表示形式； IP地址由网络号与主机号两部分组成，网络号标识一个逻辑网络，主机号标识网络中一台主机； 一台Internet主机至少有一个IP地址，而且这个IP地址是全网唯一的。 IP地址的分类 IP地址长度为32位，采用x.x.x.x的格式来表示，每个x为8位。例如，19，每个x的值为0～255。这种格式的地址被称为点分十进制地址； 根据不同的取值范围，IP地址可以分为五类。IP地址中前5位用于标识IP地址的类别，A类地址的第一位为“0”，B类地址的前两位为“10”，C类地址的前三位为“110”，D类地址的前四位为“1110”，E类地址的前五位为“11110”。其中，A类、B类与C类地址为基本的IP地址。 IP地址的分类 如果WWW服务器地址 IP地址用点分十进制表示，例如为22，那么用户很难记住； 如果告诉用