阻塞傳輸:該策略讓IPSec封鎖來自從A計算機到B計算機所有傳輸。由接受系統(tǒng)丟棄傳輸數(shù)據(jù)。阻塞所有的傳輸數(shù)據(jù)的工作量很大,該策略不太常用。
加密傳輸:加密傳輸允許在計算機之間通信,但數(shù)據(jù)必須經(jīng)過加密以防竊聽,此時,IPSec使用封裝安全負載(Encapsulating Security Payload,簡稱ESP)協(xié)議來加密數(shù)據(jù),竊聽到的數(shù)據(jù)表現(xiàn)為不可讀的字節(jié)流。
簽名傳輸:簽名傳輸用來防止”中間人”攻擊,用于數(shù)字簽名的認證包頭(Authentication Header,簡稱AH) 協(xié)議是在網(wǎng)絡包的結(jié)尾添加一位,以驗證數(shù)據(jù)在傳輸中是否被改變。
無需簽名或者無需加密,允許未加改變地傳輸: 這是安全性的缺省設置。允許所有數(shù)據(jù)進行傳輸,無需驗證數(shù)據(jù)完整性。
開發(fā)一個總體的IPSec安全性策略 一旦了解了IPSec的加密選項,下一步是開發(fā)總體的IPSec安全策略。同其他安全策略一樣,IPSec安全策略也是一個平衡和折衷方案,即既要讓讓信息為大量用戶訪問,又要保護敏感信息不被竊取。 在安全界,對于標準的安全策略,與之對應的手段并沒有精確的定義。安全策略的內(nèi)容多種多樣,取決于公司的策略和架構(gòu)。下列的安全級別可作為規(guī)劃 IPSec配置的基本準則:
最低程度的安全性:敏感數(shù)據(jù)不通過計算機網(wǎng)絡傳送,因此IPSec在缺省情況下關閉,在Server 2003中,可以選擇關閉IPSec。
中等程度的安全性:當諸如數(shù)據(jù)庫或者文件服務器這樣的網(wǎng)絡系統(tǒng)在傳輸或者保存敏感數(shù)據(jù)時,必須進行IPSec安全設置。但是,這些安全措施需要綜合考慮,不能對日常工作造成影響。 Server 2003提供了缺省的加密數(shù)據(jù)的IPSec策略,不提倡對客戶(僅僅響應)和服務器(請求安全)采用過分嚴格的安全措施。使用這些缺省的安全設計可以優(yōu)化效率,且不會降低安全性。
高安全性:對于那些任何情況下都不能篡改或者添加的數(shù)據(jù),需要使用高安全性策略。在一些場合中,對于缺省的IPSec安全設置,安全服務器將提供需要的安全等級。同沒有配置IPSec的計算機進行通信是不安全,也是不允許的。
配置IPSec安全性 一旦確定了IPSec安全級別,下一步是配置IPSec安全性。IPSec策略配置是把安全需求轉(zhuǎn)換為一個或者多項 IPSec策略, 且在可以在域級,或者公司級,和本地級進行設置。每項IPSec策略包含一條或者多條IPSec規(guī)則,每條IPSec規(guī)則包含一個過濾列表,過濾動作,認證方法以及連接類型。 過濾列表決定了受安全規(guī)則制約的IP流量類型,一旦過濾器被觸發(fā),就會采取過濾動作。過濾動作指明了對應于過濾列表中所標出的IP地址所采取的安全措施。 配置 IPSec 過濾動作時,有三種可選動作:
允許:IPSec安全策略中的允許選項是缺省值。數(shù)據(jù)包允許在網(wǎng)絡中傳輸,無需 IPSec保護。
阻塞: 當使用阻塞過濾選項時, 網(wǎng)絡中不允許運行滿足相應的IP過濾條件的協(xié)議。
協(xié)商安全性:如果一項IPSec過濾條件得到匹配, 協(xié)商安全性選項可以讓管理員設置對數(shù)據(jù)的加密算法。
IPSec規(guī)則的另外一個關鍵要素是認證,有三種不同的認證方法:
Kerberos – Kerberos v5常用于Windows Server 2003,是其缺省認證方式。 Kerberos能在域內(nèi)進行安全協(xié)議認證,使用時,它既對用戶的身份也對網(wǎng)絡服務進行驗證。Kerberos的優(yōu)點是可以在 用戶和服務器之間相互認證,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認證的UNix環(huán)境系統(tǒng)之間提供認證服務。
公鑰證書 (PKI) – PKI用來對非受信域的成員,非Windows客戶,或者沒有運行Kerberos v5 認證協(xié)議的計算機進行認證,認證證書由一個作為證書機關(CA)系統(tǒng)簽署。
預先共享密鑰 -在預先共享密鑰認證中,計算機系統(tǒng)必須認同在IPSec策略中使用的一個共享密鑰 ,使用預先共享密鑰僅當證書和Kerberos無法配置的場合。
預定義IPSec策略 正如前面提到的,IP傳輸規(guī)則 用來創(chuàng)建IPSec策略。Server 2003中包含三種預定義的可能會滿足公司需要的IPSec策略,這些安全策略可以缺省方式工作,也可以修改為適合公司的特別需要。 通過檢查缺省的選項,且對照其設置,可以在創(chuàng)建安全策略時,更好地理解需要完成的工作。 缺省的 IPSec策略包括:客戶(僅僅響應),服務器 (請求安全性),以及加密服務器(需要安全性)。 客戶(僅僅響應) 在客戶(僅僅響應)配置模式下,客戶告訴Server 2003不使用缺省的IPSec選項。僅當另外一個系統(tǒng)或者網(wǎng)絡設備請求它實現(xiàn) IPSec策略時,才打開該功能。在該配置模式下,客戶系統(tǒng)不會打開IPSec 安全選項,僅當出現(xiàn)外界的請求時,才使用 IPSec策略。 缺省的策略出自缺省的響應規(guī)則,該缺省的響應規(guī)則應用于數(shù)據(jù)流入流出的連接,缺省的配置設置為:
IP過濾列表(IP Filter List):
過濾動作(Filter Action): Default Response
認證(Authentication): Kerberos
隧道設置(Tunnel Setting):: None
連接類型(Connection Type):All
如果上面的缺省設置不能滿足我們的需求,可以修改它們,或者創(chuàng)建新策略。例如,如果需要,我們可以把認證類型從Kerberos改為 PKI,或者我們可以 把連接類型從All改成LAN,或者僅允許遠程訪問。 服務器 (請求安全性) 服務器 (請求安全性)選項比客戶選項提供了更多安全性。在該配置中,系統(tǒng)在初始時請求IPSec加密傳輸方式,但是如果其他系統(tǒng)不支持IPSec,也會采取折衷,并允許進行不安全的通信。此時,如果系統(tǒng)沒有開啟IPSec,整個通信不受保護。要了解該策略是如何制定的,需要仔細查看一下創(chuàng)建策略的規(guī)則。有三種規(guī)則: 規(guī)則 1:
IP過濾列表(IP Filter List):All IP Traffic
過濾動作(Filter Action): Request Security (Optional)
認證(Authentication): Kerberos
隧道設置(Tunnel Setting): None
連接類型(Connection Type):All
規(guī)則2:
IP過濾列表(IP Filter List): All ICMP Traffic
過濾動作(Filter Action): Permit
認證(Authentication): N/A
隧道設置(Tunnel Setting): None
連接類型(Connection Type): All
規(guī)則3 (與客戶選項相同)
IP過濾列表(IP Filter List):
過濾動作(Filter Action): Default Response
認證(Authentication): Kerberos
隧道設置(Tunnel Setting):None
連接類型(Connection Type): All
加密服務器(需要安全性) 一旦開啟,加密服務器(需要安全性)選項提供了最高級別的安全性。加密服務器策略 對所有采用IPSec策略傳輸?shù)木W(wǎng)絡數(shù)據(jù)進行加密。該策略將拒絕所有來自非IPSec客戶的數(shù)據(jù)包。該策略有一條規(guī)則需求對所有IP傳輸數(shù)據(jù)進行加密,但是注意該規(guī)則允許ICMP類型的傳輸數(shù)據(jù),另外 缺省的響應規(guī)則類似于其他預定義策略。 規(guī)則1:
IP過濾列表(IP Filter List):All IP Traffic
過濾動作(Filter Action):Require Security
認證(Authentication):N/A
隧道設置(Tunnel Setting): None
連接類型(Connection Type):All
規(guī)則2:
P過濾列表(IP Filter List): All ICMP Traffic
過濾動作(Filter Action):Permit
認證(Authentication): Kerberos
隧道設置(Tunnel Setting) None
連接類型(Connection Type):All
規(guī)則 3 (與客戶選項相同)
P過濾列表(IP Filter List):
過濾動作(Filter Action):Default Response
認證(Authentication):Kerberos
隧道設置(Tunnel Setting)None
連接類型(Connection Type):All
結(jié)論 通過檢查這些預定義的Server 2003 策略的多種規(guī)則,我們現(xiàn)在對如何設計滿足公司要求的安全策略有了更好的理解。使用規(guī)則來創(chuàng)建策略,可以讓安全設計具有靈活性,可以讓管理員設置用于IP數(shù)據(jù)傳輸?shù)暮线m的安全級別。
上一篇專訪HDS亞太區(qū)總經(jīng)理:進軍中端市場 備戰(zhàn)高端市場
下一篇Maxtor與Linksys合作推無線外置硬盤驅(qū)動器
感谢您访问我们的网站,您可能还对以下资源感兴趣:
噜噜噜综合