|
IPSec本身没有为策略定义标准策略的定义和表示由具体实施方案解决以下对IPSec策略的介绍以Windows 为例 在Windows 中IPSec策略包括一系列规则(规则规定哪些数据流可以接受哪些数据流不能接受)和过滤器(过滤器规定数据流的源和目标地址)以便提供一定程度的安全级别在Windows 的IPSec实现中既有多种预置策略可供用户选择也可以让用户根据企业安全需求自行创建策略IPSec策略的实施有两种基本方法一是在本地计算机上指定策略二是使用Windows 组策略对象由其来实施策略IPSec策略可适用于单机域路由器网站或各种自定义组织单元等多种场合 一规则 规则规定IPSec策略何时以及如何保护IP通信根据IP数据流的类型源和目的地址规则应该具有触发和控制安全通信的能力每一条规则包含一张IP过滤器列表和与之相匹配的安全设置这些安全设置有)过滤器动作 )认证方法 )IP隧道设置 )连接类型 一个IPSec策略包含一至多条规则这些规则可以同时处于激活状态例如用户为某网站路由器指定安全策略但对经过该路由器的Intranet和Internet通信有不同的安全要求那么这个策略就可以包含多条规则分别对应于Intranet和Internet的不同场景IPSec实现中针对各种基于客户机和服务器的通信提供了许多预置规则用户可根据实际需求使用或修改 二过滤器和过滤器动作 规则具有根据IP数据流的类型以及源和目的地址为通信触发安全协商的能力这一过程也称为IP包过滤应用包过滤技术可以精确地定义哪些IP数据流需要受保护哪些数据流需要被拦截哪些则可以绕过IPSec应用(即无须受保护) 一个过滤器由以下几个参数决定IP包的源和目的地址包所使用的传输协议类型TCP和UDP协议的源和目的端口号一个过滤器对应于一种特定类型的数据流 过滤器动作为需要受保护的IP通信设置安全需求这些安全需求包括安全算法安全协议和使用的密钥属性等等 除了为需要受保护的IP通信设置过滤器动作外还可以将过滤器动作配置成 ·绕过策略即某些IP通信可以绕过IPSec不受其安全保护这类通信主要有以下三种情况)远程主机无法启用IPSec)非敏感数据流无须受保护)数据流本身自带安全措施(例如使用Kerberos vSSL或 PPTP协议) ·拦截策略用于拦截来自特定地址的通信 三连接类型 每一条规则都需要指明连接类型用以规定IPSec策略的适用范围如拨号适配器或网卡等规则的连接属性决定该规则将应用于单种连接还是多种连接例如用户可以指明某条安全需求特别高的规则只应用于拨号连接而不应用于LAN连接 四认证 一条规则可以指定多种认证方法IPSec支持的认证方法主要有 ·Kerberos vWindows 的缺省认证协议该认证方法适用于任何运行Kerberos v协议的客户机(无论该客户机是否基于Windows) ·公钥证书认证该认证方法适用于Internet访问远程访问基于LTP的通信或不运行Kerberos v协议的主机要求至少配置一个受信赖的认证中心CA Windows 的IKE可以和MicrosoftEntrust和VeriSign等多家公司提供的认证系统相兼容但不推荐使用预置共享密钥认证因为该认证方法不受IPSec策略保护为避免使用预置共享密钥认证可能带来的风险一般建议使用Kerberos v认证或公钥证书认证 |
