開發(fā)一個總體的IPSec安全性策略 
  
    一旦了解了IPSec的加密選項,下一步是開發(fā)總體的IPSec安全策略。同其他安全策略一樣,IPSec安全策略也是一個平衡和折衷方案,即既要讓讓信息為大量用戶訪問,又要保護敏感信息不被竊取。
  
    在安全界,對于標準的安全策略,與之對應的手段并沒有精確的定義。安全策略的內(nèi)容多種多樣,取決于公司的策略和架構(gòu)。下列的安全級別可作為規(guī)劃 IPSec配置的基本準則:



    配置IPSec安全性
  
    一旦確定了IPSec安全級別,下一步是配置IPSec安全性。IPSec策略配置是把安全需求轉(zhuǎn)換為一個或者多項 IPSec策略, 且在可以在域級,或者公司級,和本地級進行設置。每項IPSec策略包含一條或者多條IPSec規(guī)則,每條IPSec規(guī)則包含一個過濾列表,過濾動作,認證方法以及連接類型。
  
    過濾列表決定了受安全規(guī)則制約的IP流量類型,一旦過濾器被觸發(fā),就會采取過濾動作。過濾動作指明了對應于過濾列表中所標出的IP地址所采取的安全措施。 配置 IPSec 過濾動作時,有三種可選動作:



    IPSec規(guī)則的另外一個關鍵要素是認證,有三種不同的認證方法:



    預定義IPSec策略
  
    正如前面提到的,IP傳輸規(guī)則 用來創(chuàng)建IPSec策略。Server 2003中包含三種預定義的可能會滿足公司需要的IPSec策略,這些安全策略可以缺省方式工作,也可以修改為適合公司的特別需要。
  
    通過檢查缺省的選項,且對照其設置,可以在創(chuàng)建安全策略時,更好地理解需要完成的工作。 缺省的 IPSec策略包括:客戶(僅僅響應),服務器 (請求安全性),以及加密服務器(需要安全性)。
  
    客戶(僅僅響應)
  
    在客戶(僅僅響應)配置模式下,客戶告訴Server 2003不使用缺省的IPSec選項。僅當另外一個系統(tǒng)或者網(wǎng)絡設備請求它實現(xiàn) IPSec策略時,才打開該功能。在該配置模式下,客戶系統(tǒng)不會打開IPSec 安全選項,僅當出現(xiàn)外界的請求時,才使用 IPSec策略。
  
    缺省的策略出自缺省的響應規(guī)則,該缺省的響應規(guī)則應用于數(shù)據(jù)流入流出的連接,缺省的配置設置為:



    如果上面的缺省設置不能滿足我們的需求,可以修改它們,或者創(chuàng)建新策略。例如,如果需要,我們可以把認證類型從Kerberos改為 PKI,或者我們可以 把連接類型從All改成LAN,或者僅允許遠程訪問。
  
    服務器 (請求安全性)
  
    服務器 (請求安全性)選項比客戶選項提供了更多安全性。在該配置中,系統(tǒng)在初始時請求IPSec加密傳輸方式,但是如果其他系統(tǒng)不支持IPSec,也會采取折衷,并允許進行不安全的通信。此時,如果系統(tǒng)沒有開啟IPSec,整個通信不受保護。要了解該策略是如何制定的,需要仔細查看一下創(chuàng)建策略的規(guī)則。有三種規(guī)則:
  
    規(guī)則 1:



    規(guī)則2:



    規(guī)則3 (與客戶選項相同)



    加密服務器(需要安全性)
  
    一旦開啟,加密服務器(需要安全性)選項提供了最高級別的安全性。加密服務器策略 對所有采用IPSec策略傳輸?shù)木W(wǎng)絡數(shù)據(jù)進行加密。該策略將拒絕所有來自非IPSec客戶的數(shù)據(jù)包。該策略有一條規(guī)則需求對所有IP傳輸數(shù)據(jù)進行加密,但是注意該規(guī)則允許ICMP類型的傳輸數(shù)據(jù),另外 缺省的響應規(guī)則類似于其他預定義策略。
  
    規(guī)則1:



    規(guī)則2:



    規(guī)則 3 (與客戶選項相同)



    結(jié)論 
  
    通過檢查這些預定義的Server 2003 策略的多種規(guī)則,我們現(xiàn)在對如何設計滿足公司要求的安全策略有了更好的理解。使用規(guī)則來創(chuàng)建策略,可以讓安全設計具有靈活性,可以讓管理員設置用于IP數(shù)據(jù)傳輸?shù)暮线m的安全級別。

分享到

多易

相關推薦