|
2.2 IPSec基本概念
2.2.1 IPSec基本概念
IPSec通过使用基于密码学的保护服务、安全协议和动态密钥管理,可以实现以下这几个目标:
1、认证IP报文的来源
基于IP地址的访问控制十分脆弱,因为攻击者可以很容易利用伪装的IP地址来发送IP报文。许多攻击者利用机器间基于IP地址的信任,来伪装IP地址。IPSec允许设备使用比源IP地址更安全的方式来认证IP数据报的来源。IPSec的这一标准称为原始认证
上文我们介绍了IPSec的工作原理及其相关的基本概念和术语,在接下来的叙述中,我们将集中讨论IPSec的配置步骤。
1 IPSec基本配置步骤
前文中提到的AH和ESP报头中值得注意的一点是没有指明用来产生认证数据和负载数据的算法。可以使用一些不同的算法。这意味着,如果出现了一个新的算法,它可以不作明显改动地合成进IPSec标准中。目前,MD5和SHA是用来产生认证数据的两种算法。ESP加密算法包括DES,3DES,RC5和IDEA。下面讨论IPSec配置的步骤以及如何选取不同的算法。
(1)打开IPSec配置对话框
选择"开始"|"程序"| "管理工具"|"本地安全策略"菜单,打开"本地安全设置"对话框。单击以选择"IP安全策略:在本地机器",如图1所示。
图1 "本地安全设置"对话框
最初的窗口显示三种预定义的策略项:客户端、服务器、安全服务器。在每个预定义的策略的描述中详细解释了该策略的操作原则。如果想要修改系统预定义的策略细节,可以右击相应的策略并选择"属性"进行修改。
下面,我们将通过新建一个策略对各种策略的属性进行介绍。
(2)右击"IP安全策略,在本地机器",选择"创建IP安全策略",打开"安全策略向导"。单击"下一步"继续。如图2、3所示。
图2 创建IP安全策略
图3 安全策略向导
(3)在弹出的对话框中为新的IP安全策略命名并填写策略描述。如图4所示。
(4)单击"下一步",接受对话框中"默认的响应"复选项,之后单击"下一步"。如图5所示。
图4 " 安全策略名称"对话框
图5 "安全通讯请求"对话框
(5)接受默认的选项"Windows 2000 默认值Kerberos V5"作为默认响应规则身份验证方法,单击"下一步"继续。如图6所示。
(6)保留"编辑属性"的选择并单击"完成"按钮完成IPSec的初步配置。如图7所示。
图6 设置身份验证方法
图7 完成IP安全策略向导
(7)完成初步配置后,将弹出新IP安全策略属性对话框。如图8所示。
图8 IP安全策略属性对话框
图9 "新规则属性"对话框
(8)接下来需要添加用户自己定义的"IP安全规则"。这里,我们在不选择"使用'添加向导'"情况下单击"添加"按钮。出现如图9所示的"新规则属性"对话框。在这里我们可以对新规则的各项属性进行设置。其中包括:
1)IP筛选列表
在"IP筛选列表"标签页上单击"添加"按钮打开"IP筛选器列表"对话框。如图10所示。
输入新IP筛选器列表的名称、描述信息并在不选择"使用'添加向导'"情况下单击"添加"按钮。新弹出的"筛选器属性"对话框如图11所示,包含三个标签页:
●"寻址":可以对IP数据流的源地址、目标地址进行规定,如图11所示。
●"协议":可以对数据流所使用的协议进行规定,如果选择了"TCP"或"UDP"协议还可以对源端和目的端使用的端口号作出规定,如图12所示。
●"描述":对新筛选器作出简单描述。
图10 "IP筛选器列表"对话框
图11 "筛选器属性"对话框
图12 "筛选器属性"-"协议" 标签页
图13 确保选中新设置的"IP筛选器"
在完成对"筛选器属性"的设置后,要确保选中新设置的"IP筛选器",如图13所示。
2)筛选器操作
"筛选器操作"标签页是整个IPSec设计的关键。它将对符合"IP筛选器"的数据流进行相应处理。如图14所示。这里,我们在不选择"使用'添加向导'"情况下单击"添加"按钮。出现如图15所示的"新筛选器操作 属性"对话框。
图14 "筛选器操作" 标签页
 图15 "新筛选器操作 属性"对话框 在这里我们可以对新筛选器操作的细节进行设置。其中,可以选择"许可"、"阻止"对符合"IP筛选器"的数据流进行过滤。可以发现,实际上这就可以很简单的实现一个普通防火墙的功能。除此之外,如果选择"协商安全"还可以对允许的通信进行进一步的安全设置。可以单击"添加"按钮,添加相应的安全措施,如图16所示。 
图16 "安全措施" 对话框
图17 "自定义安全措施设置"对话框
安全措施包括:
●"高":选择以最高的安全级别来保护数据。使用"封装安全措施负载量"(ESP) 来提供机密性(数据加密)、身份验证、防止重发和完整性,使其适合于高的安全级别。ESP 不提供 IP 报头(地址)的完整性。如果数据和地址均需要保护,可以创建自定义安全方法。如果不需要加密,可以使用"中"。
●"中":使用验证报头(AH)协议来提供完整性、防止重发和身份验证。这适合于安全计划需要标准的安全级别时。AH 提供IP报头和数据的完整性,但是不加密数据。
●"自定义":如果需要加密和地址完整性、更强大的算法或密钥寿命,可以指定自定义的安全方法。如图17所示,其中包括:
■数据和地址不加密的完整性(AH)算法:
◆消息摘要 5 (MD5),产生 128 位的密钥。
◆安全散列算法 (SHA1),产生 160 位的密钥。密钥越长越安全,所以应首要考虑 SHA1。
■数据完整性算法: MD5或SHA1。
■数据加密算法:
◆3DES 是最安全的 DES 组合,3DES 每个数据块处理三次,因此会降低系统性能。
◆DES 只使用56位密钥,用于不需要很高的安全性和3DES开销的情况下,或者出于互通性考虑。
■密钥生存期 :密钥生存期决定新密钥的产生时间,可以用千字节数或/和秒数指定密钥生存期。例如,如果通讯用了 10000 秒,而密钥寿命指定为 1000 秒,将会产生 10 个密钥来完成该传送。这样可以确保即使攻击者获得了部分通讯,也无法获得整个通讯。
可以添加多个安全措施,并通过"上移"、"下移"按钮指定和另一计算机协商时采取的安全措施首选的顺序。如图18所示。
图18 指定安全措施首选的顺序
图19 确保选中新添加的筛选器操作项
在"安全措施"标签页还有三个选项:
●"接受不安全的通信,但总是用IPSec响应":接受由其它计算机初始化的不受保护的通信,但在本机应答或初始化时总是使用安全的通信。
●"允许和不支持IPSec的计算机进行不安全的通信":允许来自或到其它计算机的不受保护的通信。
●"会话密钥完全向前保密":确保会话密钥和密钥材料不被重复使用。
需要注意的是,当以上内容设置结束回到"筛选器操作"标签页后,必须选中刚才添加的新筛选器操作项,如图19所示。
3)身份验证方法
身份验证方法定义向每一位用户保证其他的计算机或用户的身份的方法。如图20所示。每一种身份验证方法提供必要的手段来保证身份。WINDOWS2000支持三种身份验证方法:Kerberos协议、使用证书和使用预共享的密钥。如图21所示。
图20 身份验证方法标签页
图21 身份验证方法属性对话框
4)隧道设置
如图22所示,当只与特定的计算机交换通信并且知道该计算机的IP地址时,选择"隧道终点由此IP地址指定"并输入目标计算机的IP地址。
|
.gif){kind=small}
.gif){kind=small}
.gif){kind=small}
.gif){kind=small}
您现在的位置: 
