• 阻塞傳輸：該策略讓IPSec封鎖來(lái)自從A計(jì)算機(jī)到B計(jì)算機(jī)所有傳輸。由接受系統(tǒng)丟棄傳輸數(shù)據(jù)。阻塞所有的傳輸數(shù)據(jù)的工作量很大，該策略不太常用。


• 加密傳輸：加密傳輸允許在計(jì)算機(jī)之間通信，但數(shù)據(jù)必須經(jīng)過(guò)加密以防竊聽(tīng)，此時(shí)，IPSec使用封裝安全負(fù)載（Encapsulating Security Payload，簡(jiǎn)稱ESP)協(xié)議來(lái)加密數(shù)據(jù)，竊聽(tīng)到的數(shù)據(jù)表現(xiàn)為不可讀的字節(jié)流。


• 簽名傳輸：簽名傳輸用來(lái)防止”中間人”攻擊，用于數(shù)字簽名的認(rèn)證包頭（Authentication Header，簡(jiǎn)稱AH) 協(xié)議是在網(wǎng)絡(luò)包的結(jié)尾添加一位，以驗(yàn)證數(shù)據(jù)在傳輸中是否被改變。


• 無(wú)需簽名或者無(wú)需加密，允許未加改變地傳輸： 這是安全性的缺省設(shè)置。允許所有數(shù)據(jù)進(jìn)行傳輸，無(wú)需驗(yàn)證數(shù)據(jù)完整性。

    開(kāi)發(fā)一個(gè)總體的IPSec安全性策略 
  
    一旦了解了IPSec的加密選項(xiàng)，下一步是開(kāi)發(fā)總體的IPSec安全策略。同其他安全策略一樣，IPSec安全策略也是一個(gè)平衡和折衷方案，即既要讓讓信息為大量用戶訪問(wèn)，又要保護(hù)敏感信息不被竊取。
  
    在安全界，對(duì)于標(biāo)準(zhǔn)的安全策略，與之對(duì)應(yīng)的手段并沒(méi)有精確的定義。安全策略的內(nèi)容多種多樣，取決于公司的策略和架構(gòu)。下列的安全級(jí)別可作為規(guī)劃 IPSec配置的基本準(zhǔn)則：

• 最低程度的安全性：敏感數(shù)據(jù)不通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳送，因此IPSec在缺省情況下關(guān)閉，在Server 2003中，可以選擇關(guān)閉IPSec。


• 中等程度的安全性：當(dāng)諸如數(shù)據(jù)庫(kù)或者文件服務(wù)器這樣的網(wǎng)絡(luò)系統(tǒng)在傳輸或者保存敏感數(shù)據(jù)時(shí)，必須進(jìn)行IPSec安全設(shè)置。但是，這些安全措施需要綜合考慮，不能對(duì)日常工作造成影響。 Server 2003提供了缺省的加密數(shù)據(jù)的IPSec策略，不提倡對(duì)客戶（僅僅響應(yīng)）和服務(wù)器（請(qǐng)求安全）采用過(guò)分嚴(yán)格的安全措施。使用這些缺省的安全設(shè)計(jì)可以優(yōu)化效率，且不會(huì)降低安全性。


• 高安全性：對(duì)于那些任何情況下都不能篡改或者添加的數(shù)據(jù)，需要使用高安全性策略。在一些場(chǎng)合中，對(duì)于缺省的IPSec安全設(shè)置，安全服務(wù)器將提供需要的安全等級(jí)。同沒(méi)有配置IPSec的計(jì)算機(jī)進(jìn)行通信是不安全，也是不允許的。

    配置IPSec安全性
  
    一旦確定了IPSec安全級(jí)別，下一步是配置IPSec安全性。IPSec策略配置是把安全需求轉(zhuǎn)換為一個(gè)或者多項(xiàng) IPSec策略， 且在可以在域級(jí)，或者公司級(jí)，和本地級(jí)進(jìn)行設(shè)置。每項(xiàng)IPSec策略包含一條或者多條IPSec規(guī)則，每條IPSec規(guī)則包含一個(gè)過(guò)濾列表，過(guò)濾動(dòng)作，認(rèn)證方法以及連接類型。
  
    過(guò)濾列表決定了受安全規(guī)則制約的IP流量類型，一旦過(guò)濾器被觸發(fā)，就會(huì)采取過(guò)濾動(dòng)作。過(guò)濾動(dòng)作指明了對(duì)應(yīng)于過(guò)濾列表中所標(biāo)出的IP地址所采取的安全措施。 配置 IPSec 過(guò)濾動(dòng)作時(shí)，有三種可選動(dòng)作：

• 允許：IPSec安全策略中的允許選項(xiàng)是缺省值。數(shù)據(jù)包允許在網(wǎng)絡(luò)中傳輸，無(wú)需 IPSec保護(hù)。


• 阻塞： 當(dāng)使用阻塞過(guò)濾選項(xiàng)時(shí)， 網(wǎng)絡(luò)中不允許運(yùn)行滿足相應(yīng)的IP過(guò)濾條件的協(xié)議。


• 協(xié)商安全性：如果一項(xiàng)IPSec過(guò)濾條件得到匹配， 協(xié)商安全性選項(xiàng)可以讓管理員設(shè)置對(duì)數(shù)據(jù)的加密算法。

    IPSec規(guī)則的另外一個(gè)關(guān)鍵要素是認(rèn)證，有三種不同的認(rèn)證方法：

• Kerberos – Kerberos v5常用于Windows Server 2003，是其缺省認(rèn)證方式。 Kerberos能在域內(nèi)進(jìn)行安全協(xié)議認(rèn)證，使用時(shí)，它既對(duì)用戶的身份也對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行驗(yàn)證。Kerberos的優(yōu)點(diǎn)是可以在 用戶和服務(wù)器之間相互認(rèn)證，也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認(rèn)證的UNix環(huán)境系統(tǒng)之間提供認(rèn)證服務(wù)。


• 公鑰證書 (PKI) – PKI用來(lái)對(duì)非受信域的成員，非Windows客戶，或者沒(méi)有運(yùn)行Kerberos v5 認(rèn)證協(xié)議的計(jì)算機(jī)進(jìn)行認(rèn)證，認(rèn)證證書由一個(gè)作為證書機(jī)關(guān)（CA）系統(tǒng)簽署。


• 預(yù)先共享密鑰 -在預(yù)先共享密鑰認(rèn)證中，計(jì)算機(jī)系統(tǒng)必須認(rèn)同在IPSec策略中使用的一個(gè)共享密鑰 ，使用預(yù)先共享密鑰僅當(dāng)證書和Kerberos無(wú)法配置的場(chǎng)合。

    預(yù)定義IPSec策略
  
    正如前面提到的，IP傳輸規(guī)則 用來(lái)創(chuàng)建IPSec策略。Server 2003中包含三種預(yù)定義的可能會(huì)滿足公司需要的IPSec策略，這些安全策略可以缺省方式工作，也可以修改為適合公司的特別需要。
  
    通過(guò)檢查缺省的選項(xiàng)，且對(duì)照其設(shè)置，可以在創(chuàng)建安全策略時(shí)，更好地理解需要完成的工作。 缺省的 IPSec策略包括：客戶（僅僅響應(yīng)），服務(wù)器 (請(qǐng)求安全性），以及加密服務(wù)器（需要安全性）。
  
    客戶（僅僅響應(yīng)）
  
    在客戶（僅僅響應(yīng)）配置模式下，客戶告訴Server 2003不使用缺省的IPSec選項(xiàng)。僅當(dāng)另外一個(gè)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備請(qǐng)求它實(shí)現(xiàn) IPSec策略時(shí)，才打開(kāi)該功能。在該配置模式下，客戶系統(tǒng)不會(huì)打開(kāi)IPSec 安全選項(xiàng)，僅當(dāng)出現(xiàn)外界的請(qǐng)求時(shí)，才使用 IPSec策略。
  
    缺省的策略出自缺省的響應(yīng)規(guī)則，該缺省的響應(yīng)規(guī)則應(yīng)用于數(shù)據(jù)流入流出的連接，缺省的配置設(shè)置為：

• IP過(guò)濾列表（IP Filter List）：


• 過(guò)濾動(dòng)作（Filter Action）： Default Response


• 認(rèn)證（Authentication）： Kerberos


• 隧道設(shè)置（Tunnel Setting）：: None


• 連接類型（Connection Type）：All

    如果上面的缺省設(shè)置不能滿足我們的需求，可以修改它們，或者創(chuàng)建新策略。例如，如果需要，我們可以把認(rèn)證類型從Kerberos改為 PKI，或者我們可以 把連接類型從All改成LAN，或者僅允許遠(yuǎn)程訪問(wèn)。
  
    服務(wù)器 (請(qǐng)求安全性）
  
    服務(wù)器 (請(qǐng)求安全性）選項(xiàng)比客戶選項(xiàng)提供了更多安全性。在該配置中，系統(tǒng)在初始時(shí)請(qǐng)求IPSec加密傳輸方式，但是如果其他系統(tǒng)不支持IPSec，也會(huì)采取折衷，并允許進(jìn)行不安全的通信。此時(shí)，如果系統(tǒng)沒(méi)有開(kāi)啟IPSec，整個(gè)通信不受保護(hù)。要了解該策略是如何制定的，需要仔細(xì)查看一下創(chuàng)建策略的規(guī)則。有三種規(guī)則：
  
    規(guī)則 1：

• IP過(guò)濾列表（IP Filter List）:All IP Traffic


• 過(guò)濾動(dòng)作（Filter Action）： Request Security (Optional)


• 認(rèn)證（Authentication）： Kerberos


• 隧道設(shè)置（Tunnel Setting）： None


• 連接類型（Connection Type）：All

    規(guī)則2：

• IP過(guò)濾列表（IP Filter List）: All ICMP Traffic


• 過(guò)濾動(dòng)作（Filter Action）： Permit


• 認(rèn)證（Authentication）： N/A


• 隧道設(shè)置（Tunnel Setting）： None


• 連接類型（Connection Type）： All

    規(guī)則3 (與客戶選項(xiàng)相同）

• IP過(guò)濾列表（IP Filter List）:


• 過(guò)濾動(dòng)作（Filter Action）: Default Response


• 認(rèn)證（Authentication）： Kerberos


• 隧道設(shè)置（Tunnel Setting）：None


• 連接類型（Connection Type）： All

    加密服務(wù)器（需要安全性）
  
    一旦開(kāi)啟，加密服務(wù)器（需要安全性）選項(xiàng)提供了最高級(jí)別的安全性。加密服務(wù)器策略 對(duì)所有采用IPSec策略傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密。該策略將拒絕所有來(lái)自非IPSec客戶的數(shù)據(jù)包。該策略有一條規(guī)則需求對(duì)所有IP傳輸數(shù)據(jù)進(jìn)行加密，但是注意該規(guī)則允許ICMP類型的傳輸數(shù)據(jù)，另外 缺省的響應(yīng)規(guī)則類似于其他預(yù)定義策略。
  
    規(guī)則1：

• IP過(guò)濾列表（IP Filter List）：All IP Traffic


• 過(guò)濾動(dòng)作（Filter Action）：Require Security


• 認(rèn)證（Authentication）：N/A


• 隧道設(shè)置（Tunnel Setting）： None


• 連接類型（Connection Type）：All

    規(guī)則2：

• 
  
  P過(guò)濾列表（IP Filter List）： All ICMP Traffic


• 
  
  過(guò)濾動(dòng)作（Filter Action）：Permit


• 
  
  認(rèn)證（Authentication）： Kerberos


• 
  
  隧道設(shè)置（Tunnel Setting） None


• 
  
  連接類型（Connection Type）：All

    規(guī)則 3 (與客戶選項(xiàng)相同）

• P過(guò)濾列表（IP Filter List）：


• 過(guò)濾動(dòng)作（Filter Action）：Default Response


• 認(rèn)證（Authentication）：Kerberos


• 隧道設(shè)置（Tunnel Setting）None


• 連接類型（Connection Type）：All

    結(jié)論 
  
    通過(guò)檢查這些預(yù)定義的Server 2003 策略的多種規(guī)則，我們現(xiàn)在對(duì)如何設(shè)計(jì)滿足公司要求的安全策略有了更好的理解。使用規(guī)則來(lái)創(chuàng)建策略，可以讓安全設(shè)計(jì)具有靈活性，可以讓管理員設(shè)置用于IP數(shù)據(jù)傳輸?shù)暮线m的安全級(jí)別。

多易

<dfn id="40jji"></dfn>