IPSec基础-IPSec策略

网络技术是从1990年代中期发展起来的新技术 , 它把互联网上分散的资源融为有机整体 , 实现资源的全面共享和有机协作 , 使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享 , 网络则被认为是互联网发展的第三阶段 。IPSec本身没有为策略定义标准 , 策略的定义和表示由具体实施方案解决 , 以下对IPSec策略的介绍以Windows 2000为例 。
在Windows 2000中 , IPSec策略包括一系列规则(规则规定哪些数据流可以接受 , 哪些数据流不能接受)和过滤器(过滤器规定数据流的源和目标地址) , 以便提供一定程度的安全级别 。在Windows 2000的IPSec实现中 , 既有多种预置策略可供用户选择 , 也可以让用户根据企业安全需求自行创建策略 。IPSec策略的实施有两种基本方法 , 一是在本地计算机上指定策略 , 二是使用Windows 2000 "组策略"对象 , 由其来实施策略 。IPSec策略可适用于单机、域、路由器、网站或各种自定义组织单元等多种场合 。
一、规则
规则规定IPSec策略何时以及如何保护IP通信 。根据IP数据流的类型、源和目的地址 , 规则应该具有触发和控制安全通信的能力 。每一条规则包含一张IP过滤器列表和与之相匹配的安全设置 , 这些安全设置有:1)过滤器动作 2)认证方法 3)IP隧道设置 4)连接类型 。
一个IPSec策略包含一至多条规则 , 这些规则可以同时处于激活状态 。例如 , 用户为某网站路由器指定安全策略 , 但对经过该路由器的Intranet和Internet通信有不同的安全要求 , 那么 , 这个策略就可以包含多条规则 , 分别对应于Intranet和Internet的不同场景 。IPSec实现中针对各种基于客户机和服务器的通信提供了许多预置规则 , 用户可根据实际需求使用或修改 。
二、过滤器和过滤器动作
规则具有根据IP数据流的类型以及源和目的地址为通信触发安全协商的能力 , 这一过程也称为IP包过滤 。应用包过滤技术 , 可以精确地定义哪些IP数据流需要受保护 , 哪些数据流需要被拦截 , 哪些则可以绕过IPSec应用(即无须受保护) 。
一个过滤器由以下几个参数决定:IP包的源和目的地址;包所使用的传输协议类型;TCP和UDP协议的源和目的端口号 。一个过滤器对应于一种特定类型的数据流 。过滤器动作为需要受保护的IP通信设置安全需求 , 这些安全需求包括安全算法 , 安全协议和使用的密钥属性等等 。
除了为需要受保护的IP通信设置过滤器动作外 , 还可以将过滤器动作配置成:
·绕过策略 , 即某些IP通信可以绕过IPSec , 不受其安全保护 。这类通信主要有以下三种情况:1)远程主机无法启用IPSec , 2)非敏感数据流无须受保护 , 3)数据流本身自带安全措施(例如使用Kerberos v5、SSL或 PPTP协议) 。
·拦截策略 , 用于拦截来自特定地址的通信 。
三、连接类型
每一条规则都需要指明连接类型 , 用以规定IPSec策略的适用范围:如拨号适配器或网卡等 。规则的连接属性决定该规则将应用于单种连接还是多种连接 。例如 , 用户可以指明某条安全需求特别高的规则 , 只应用于拨号连接 , 而不应用于LAN连接 。
四、认证
一条规则可以指定多种认证方法 。IPSec支持的认证方法主要有:
·Kerberos v5:Windows 2000的缺省认证协议 。该认证方法适用于任何运行Kerberos v5协议的客户机(无论该客户机是否基于Windows) 。
·公钥证书认证:该认证方法适用于Internet访问、远程访问、基于L2TP的通信或不运行Kerberos v5协议的主机 , 要求至少配置一个受信赖的认证中心CA 。Windows 2000的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的认证系统相兼容 , 但不推荐使用预置共享密钥认证 , 因为该认证方法不受IPSec策略保护 , 为避免使用预置共享密钥认证可能带来的风险 , 一般建议使用Kerberos v5认证或公钥证书认证 。

    推荐阅读