|
在網(wǎng)絡應用越來越廣泛的今天�,一個重要的問題就是有關計算機通信的安全(服務器租用找:51033397)性問題。作為網(wǎng)絡系統(tǒng)管理員����,一項基本職責就是保證數(shù)據(jù)在網(wǎng)絡傳輸中,不能被未經(jīng)授權的人訪問���、查看或修改���,在這中間,同時要保證數(shù)據(jù)能加密傳輸�。怎樣做到這一點呢?
Win2k網(wǎng)絡中���,我們可以通過IPSec來保護網(wǎng)絡的安全(服務器租用找:51033397)��。IPSec的全稱是InternetProtocolSecurity���,翻譯成中文就是Internet協(xié)議安全(服務器租用找:51033397)�。它的作用主要有兩個:一個是保護IP數(shù)據(jù)包的內容�����,另外一點就是通過數(shù)據(jù)包篩選并實施受信任通訊來防御網(wǎng)絡攻擊����。這對于我們當有一些重要的數(shù)據(jù)在傳輸?shù)倪^程中需要加以保護或者防止監(jiān)聽來說無疑是一個好消息。
由于是在IP層進行對數(shù)據(jù)的對稱加密���,封裝的是整個的IP數(shù)據(jù)包,所以不需要為TCP/IP協(xié)議組中的每個協(xié)議設置單獨的安全(服務器租用找:51033397)性��,因為應用程序使用TCP/IP來將數(shù)據(jù)傳遞到IP協(xié)議層���,并在這里進行保護��。相應的IPSec配置相對復雜�����,但是對于應用程序來說是透明的����,因此不要求應用程序必須支持。
Win2k操作系統(tǒng)都支持IPSec�,Win2k以前的版本,如Win98與WinNT不支持IPSec�。在Win2k的網(wǎng)絡中,不管是局域網(wǎng)�、廣域網(wǎng),都可以使用IPSec來保證網(wǎng)絡的安全(服務器租用找:51033397)����。我們以前見到的文章都是討論在圖形界面下配置IPSec的,因為步驟比較多���,所以很容易出錯�����,并且效率不是怎么的高��,那么我們是否可以在命令行下配置IPSec呢��?答案是肯定的�����,今天我們就來講講如何在命令行下配置IPSec�。
一:基礎知識
在開始文章前有必要先了解一些基礎的知識,以便更好的閱讀下面的文章����。
1、IPSec的工作的過程:
兩臺計算機在通訊的時候��,如果已經(jīng)設置好IPSec的策略��,億恩科技主機在通訊的時候會檢查這個策略�,策略在應用到億恩科技主機的時候會有一個協(xié)商的過程,這個過程通過SecurityAssociation來實現(xiàn)��。協(xié)商后根據(jù)Policy的配置�,兩臺計算機之間建立一個加密的連接�,數(shù)據(jù)進行加密傳輸。驅動程序將解密的數(shù)據(jù)包傳輸給TCP/IP的驅動程序����,然后傳輸給接收端的應用程序。
2�、IPSec的工作方式:
⑴傳送模式:保護兩個億恩科技主機之間的通訊��,是默認的IPSec模式����。傳送模式只支持Win2k操作系統(tǒng)����,提供P2P(點對點)的安全(服務器租用找:51033397)性。
⑵隧道模式:封裝���、發(fā)送和拆封過程稱之為“隧道”����。一般實現(xiàn)方法是在兩個路由器上完成的����。在路由器兩端配置使用IPSec,保護兩個路由器之間的通訊��。主要用于廣域網(wǎng)上�����,不提供各個網(wǎng)絡內部的安全(服務器租用找:51033397)性�。
3�、IPSec的身份驗證方法:
⑴KerberosV5:這個是默認的身份驗證方法�,如果是在一個域中的成員,又是KerberosV5協(xié)議的客戶機��,選擇這一項����。比如一個域中的Win2k的計算機。
⑵證書:需要共同配置信任的CA����。
⑶預共享密鑰:雙方在設置策略的時候使用一段共同協(xié)商好的密鑰。
以上三種方法都可以作為身份驗證的方法�,一般在日常工作當中,如果是域中的Win2k的計算機之間就采用Kerberos的認證方式�。其他情況下一般可以采用第三種方式,雙方協(xié)商一段密鑰�����。
4�����、IPSec的加密模式:
⑴身份驗證加密技術:包括SNA和MD5
⑵數(shù)據(jù)包加密技術:包括40-bitDES��、56-bitDES
⑶3DES:最安全(服務器租用找:51033397)的加密方法��,相應的也會消耗更多的系統(tǒng)資源�。
其他的關于IPSec的一些知識大家可以借助搜索引擎來實現(xiàn),這里就不再展開了����。
二:微軟的禮物
在命令行下配置IPSec,我們需要借助第三方的軟件IPSecPol來實現(xiàn)(可以在光盤里找到)����,它是我們可愛的微軟的免費提供的支持工具。
為什么我們要用IPSecPol這個工具呢���?如果我們需要有大量的IP安全(服務器租用找:51033397)策略需要配置的話����,一般的圖形界面模式即費時又費力�,而使用IPSecPol之后,我們可以利用腳本來實現(xiàn)�,并且結合批處理,只要用戶輸入幾個參數(shù)就可以在短短的時間內完成龐大的工作����。更重要的是����,它可以實時配置策略�,喜歡命令行下工作的你是否也開始對它感興趣了?
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商�!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
