- Kerberos – Kerberos v5常用于Windows Server 2003,是其缺省認(rèn)證方式����。 Kerberos能在域內(nèi)進(jìn)行安全協(xié)議認(rèn)證,使用時(shí)����,它既對用戶的身份也對網(wǎng)絡(luò)服務(wù)進(jìn)行驗(yàn)證。Kerberos的優(yōu)點(diǎn)是可以在 用戶和服務(wù)器之間相互認(rèn)證����,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認(rèn)證的UNix環(huán)境系統(tǒng)之間提供認(rèn)證服務(wù)�。
- 公鑰證書 (PKI) – PKI用來對非受信域的成員�,非Windows客戶����,或者沒有運(yùn)行Kerberos v5 認(rèn)證協(xié)議的計(jì)算機(jī)進(jìn)行認(rèn)證,認(rèn)證證書由一個(gè)作為證書機(jī)關(guān)(CA)系統(tǒng)簽署���。
- 預(yù)先共享密鑰 -在預(yù)先共享密鑰認(rèn)證中�����,計(jì)算機(jī)系統(tǒng)必須認(rèn)同在IPSec策略中使用的一個(gè)共享密鑰 ��,使用預(yù)先共享密鑰僅當(dāng)證書和Kerberos無法配置的場合。
IPSec加密協(xié)議
IPSec提供三種主要加密方法��,你可以根據(jù)你公司的需要選擇其中一個(gè)���。
- 數(shù)據(jù)加密標(biāo)準(zhǔn) (DES 40位) – 該加密方法性能最好��,但安全性較低�����。該 40位數(shù)據(jù)加密標(biāo)準(zhǔn)(Data Encryption Standard��,簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer����,簡稱SSL)。適用于數(shù)據(jù)安全性要求較低的場合���。
- 數(shù)據(jù)加密標(biāo)準(zhǔn) (DES 56位) – 通過IPSec策略�,可以使用56位 DES的加密方法����。1977年美國國家標(biāo)準(zhǔn)局公布了DES算法,它可以在通信過程中經(jīng)常生成密鑰�。該功能可防止因?yàn)橐粋€(gè)DES密鑰被破譯而整個(gè)數(shù)據(jù)集的安全受到影響。但是在商業(yè)中被認(rèn)為過時(shí)了���,僅用于傳統(tǒng)的應(yīng)用支持���,有專門的硬件可以破譯標(biāo)準(zhǔn)的 56位密鑰。
- 3DES – IPSec策略可以選擇一個(gè)強(qiáng)大的加密算法3DES���,其安全性比DES更高����。3DES也使用了56位密鑰,但使用了三個(gè)�。結(jié)果3DES成為 168位加密算法,用于諸如美國政府這樣的高機(jī)密的環(huán)境中��。采用該策略的所有計(jì)算機(jī)將都遵守這樣的機(jī)制���。
IPSec傳輸模式
IPSec可以在兩種不同的模式下運(yùn)作:傳輸模式和隧道模式��。這些模式指的是數(shù)據(jù)在網(wǎng)絡(luò)中是如何發(fā)送和加密的����。在傳輸模式下�����,IPSec的保護(hù)貫穿全程:從源頭到目的地�����,被稱為提供終端到終端的傳輸安全性 �����。
隧道模式僅僅在隧道點(diǎn)或者網(wǎng)關(guān)之間加密數(shù)據(jù)�����。隧道模式提供了網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸安全性�����。當(dāng)數(shù)據(jù)在客戶和服務(wù)器之間傳輸時(shí)�,僅當(dāng)數(shù)據(jù)到達(dá)網(wǎng)關(guān)時(shí)才得到加密,其余路徑不受保護(hù)���。一旦到達(dá)網(wǎng)關(guān)�����,就采用IPSec進(jìn)行加密��,等到達(dá)目的網(wǎng)關(guān)之后�����,數(shù)據(jù)包被解密和驗(yàn)證���,之后數(shù)據(jù)發(fā)送到不受保護(hù)的目的主機(jī)。隧道模式通常適用于數(shù)據(jù)必須離開安全的LAN或者WAN的范圍�,且在諸如互聯(lián)網(wǎng)這樣的公共網(wǎng)絡(luò)中傳輸?shù)膱龊稀?BR>
隨著iSCSI逐漸替代Fibre Channel���,安全的IP通信日益重要。IPSec提供了一個(gè)在異種環(huán)境中加密 IP傳輸?shù)姆椒ā?/P>
