- Kerberos – Kerberos v5常用于Windows Server 2003�����,是其缺省認證方式����。 Kerberos能在域內進行安全協(xié)議認證����,使用時��,它既對用戶的身份也對網絡服務進行驗證�����。Kerberos的優(yōu)點是可以在 用戶和服務器之間相互認證�,也具有互操作性����。Kerberos可以在 Server 2003的域和使用Kerberos 認證的UNix環(huán)境系統(tǒng)之間提供認證服務。
- 公鑰證書 (PKI) – PKI用來對非受信域的成員�����,非Windows客戶���,或者沒有運行Kerberos v5 認證協(xié)議的計算機進行認證��,認證證書由一個作為證書機關(CA)系統(tǒng)簽署��。
- 預先共享密鑰 -在預先共享密鑰認證中�,計算機系統(tǒng)必須認同在IPSec策略中使用的一個共享密鑰 ,使用預先共享密鑰僅當證書和Kerberos無法配置的場合�����。
IPSec加密協(xié)議
IPSec提供三種主要加密方法��,你可以根據你公司的需要選擇其中一個���。
- 數據加密標準 (DES 40位) – 該加密方法性能最好�����,但安全性較低��。該 40位數據加密標準(Data Encryption Standard���,簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer,簡稱SSL)���。適用于數據安全性要求較低的場合�。
- 數據加密標準 (DES 56位) – 通過IPSec策略���,可以使用56位 DES的加密方法。1977年美國國家標準局公布了DES算法,它可以在通信過程中經常生成密鑰���。該功能可防止因為一個DES密鑰被破譯而整個數據集的安全受到影響���。但是在商業(yè)中被認為過時了,僅用于傳統(tǒng)的應用支持�����,有專門的硬件可以破譯標準的 56位密鑰�����。
- 3DES – IPSec策略可以選擇一個強大的加密算法3DES�����,其安全性比DES更高���。3DES也使用了56位密鑰�,但使用了三個����。結果3DES成為 168位加密算法���,用于諸如美國政府這樣的高機密的環(huán)境中。采用該策略的所有計算機將都遵守這樣的機制����。
IPSec傳輸模式
IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式。這些模式指的是數據在網絡中是如何發(fā)送和加密的��。在傳輸模式下��,IPSec的保護貫穿全程:從源頭到目的地�����,被稱為提供終端到終端的傳輸安全性 �。
隧道模式僅僅在隧道點或者網關之間加密數據。隧道模式提供了網關到網關的傳輸安全性����。當數據在客戶和服務器之間傳輸時,僅當數據到達網關時才得到加密��,其余路徑不受保護�����。一旦到達網關,就采用IPSec進行加密�,等到達目的網關之后��,數據包被解密和驗證�����,之后數據發(fā)送到不受保護的目的主機����。隧道模式通常適用于數據必須離開安全的LAN或者WAN的范圍,且在諸如互聯(lián)網這樣的公共網絡中傳輸的場合��。
隨著iSCSI逐漸替代Fibre Channel�����,安全的IP通信日益重要����。IPSec提供了一個在異種環(huán)境中加密 IP傳輸的方法。
