IPSEC |
發(fā)布時(shí)間: 2012/7/26 16:28:38 |
IPSEC是一種由IETF設(shè)計(jì)的端到端的確;贗P通訊的數(shù)據(jù)安全性的機(jī)制。IPSEC支持對(duì)數(shù)據(jù)加密,同時(shí)確保數(shù)據(jù)的完整性。按照IETF的規(guī)定,不采用數(shù)據(jù)加密時(shí),IPSEC使用驗(yàn)證包頭(AH)提供驗(yàn)證來(lái)源驗(yàn)證(source authentication),確保數(shù)據(jù)的完整性;IPSEC使用封裝安全負(fù)載(ESP)與加密一道提供來(lái)源驗(yàn)證,確保數(shù)據(jù)完整性。IPSEC協(xié)議下,只有發(fā)送方和接受方知道秘密密鑰。如果驗(yàn)證數(shù)據(jù)有效,接受方就可以知道數(shù)據(jù)來(lái)自發(fā)送方,并且在傳輸過(guò)程中沒(méi)有受到破壞。 可以把IPSEC想象成是位于TCP/IP協(xié)議棧的下層協(xié)議。該層由每臺(tái)機(jī)器上的安全策略和發(fā)送、接受方協(xié)商的安全關(guān)聯(lián)(security association)進(jìn)行控制。安全策略由一套過(guò)濾機(jī)制和關(guān)聯(lián)的安全行為組成。如果一個(gè)數(shù)據(jù)包的IP地址,協(xié)議,和端口號(hào)滿足一個(gè)過(guò)濾機(jī)制,那么這個(gè)數(shù)據(jù)包將要遵守關(guān)聯(lián)的安全行為。 協(xié)商安全關(guān)聯(lián)(NegotiatedSecurityAssociation) 上述第一個(gè)滿足過(guò)濾機(jī)制的數(shù)據(jù)包將會(huì)引發(fā)發(fā)送和接收方對(duì)安全關(guān)聯(lián)進(jìn)行協(xié)商。ISAKMP/OAKLEY是這種協(xié)商采用的標(biāo)準(zhǔn)協(xié)議。在一個(gè)ISAKMP/OAKLEY交換過(guò)程中,兩臺(tái)機(jī)器對(duì)驗(yàn)證和數(shù)據(jù)安全方式達(dá)成一致,進(jìn)行相互驗(yàn)證,然后生成一個(gè)用于隨后的數(shù)據(jù)加密的個(gè)共享密鑰。 驗(yàn)證包頭 通過(guò)一個(gè)位于IP包頭和傳輸包頭之間的驗(yàn)證包頭可以提供IP負(fù)載數(shù)據(jù)的完整性和數(shù)據(jù)驗(yàn)證。驗(yàn)證包頭包括驗(yàn)證數(shù)據(jù)和一個(gè)序列號(hào),共同用來(lái)驗(yàn)證發(fā)送方身份,確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被改動(dòng),防止受到第三方的攻擊。IPSEC驗(yàn)證包頭不提供數(shù)據(jù)加密;信息將以明文方式發(fā)送。 封裝安全包頭 為了保證數(shù)據(jù)的保密性并防止數(shù)據(jù)被第3方竊取,封裝安全負(fù)載(ESP)提供了一種對(duì)IP負(fù)載進(jìn)行加密的機(jī)制。另外,ESP還可以提供數(shù)據(jù)驗(yàn)證和數(shù)據(jù)完整性服務(wù);因此在IPSEC包中可以用ESP包頭替代AH包頭。 用戶管理 在選擇VPN技術(shù)時(shí),一定要考慮到管理上的要求。一些大型網(wǎng)絡(luò)都需要把每個(gè)用戶的目錄信息存放在一臺(tái)中央數(shù)據(jù)存儲(chǔ)設(shè)備中(目錄服務(wù))便于管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加,修改和查詢。每一臺(tái)接入或隧道服務(wù)器都應(yīng)當(dāng)能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫(kù),存儲(chǔ)每一名用戶的信息,包括用戶名,口令,以及撥號(hào)接入的屬性等。但是,這種由多臺(tái)服務(wù)器維護(hù)多個(gè)用戶帳號(hào)的作法難以實(shí)現(xiàn)及時(shí)的更新,給管理帶來(lái)很大的困難。因此,大多數(shù)的管理人員采用在目錄服務(wù)器,主域控制器或RADIUS服務(wù)器上建立一個(gè)主帳號(hào)數(shù)據(jù)庫(kù)的方法,進(jìn)行有效管理。 RAS支持 微軟的遠(yuǎn)程接入服務(wù)器(RAS)使用域控制器或RADIUS服務(wù)器存儲(chǔ)每名用戶的信息。因?yàn)楣芾韱T可以在單獨(dú)的數(shù)據(jù)庫(kù)中管理用戶信息中的撥號(hào)許可信息,所以使用一臺(tái)域控制器能夠簡(jiǎn)化系統(tǒng)管理。 微軟的RAS最初被用作撥號(hào)用戶的接入服務(wù)器。現(xiàn)在,RAS可以作為PPTP和L2TP協(xié)議的隧道服務(wù)器(NT5將支持L2TP)。這些第2層的VPN方案繼承了已有的撥號(hào)網(wǎng)絡(luò)全部的管理基礎(chǔ)。 擴(kuò)展性 通過(guò)使用循環(huán)DNS在同屬一個(gè)安全地帶(securityperimeter)的VPN隧道服務(wù)器之間進(jìn)行請(qǐng)求分配,可以實(shí)現(xiàn)容余和負(fù)荷平衡。一個(gè)安全地帶只具有一個(gè)對(duì)外域名,但擁有多個(gè)IP地址,負(fù)荷可以在所有的IP地址之間進(jìn)行任意的分配。所有的服務(wù)器可以使用一個(gè)共享數(shù)據(jù)庫(kù),如NT域控制器驗(yàn)證訪問(wèn)請(qǐng)求。 RADIUS 遠(yuǎn)程驗(yàn)證用戶撥入服務(wù)(RADIUS)協(xié)議是管理遠(yuǎn)程用戶驗(yàn)證和授權(quán)的常用方法。RADIUS是一種基于UDP協(xié)議的超輕便(lightweight)協(xié)議。RADIUS服務(wù)器可以被放置在Internet網(wǎng)絡(luò)的任何地方為客戶NAS提供驗(yàn)證(包括PPP PAP,CHAP,MSCHAP和EAP)。另外,RADIUS服務(wù)器可以提供代理服務(wù)將驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到遠(yuǎn)端的RADIUS服務(wù)器。例如,ISP之間相互合作,通過(guò)使用RADIUS代理服務(wù)實(shí)現(xiàn)漫游用戶在世界各地使用本地ISP提供的撥號(hào)服務(wù)連接Internet和VPN。如果ISP發(fā)現(xiàn)用戶名不是本地注冊(cè)用戶,就會(huì)使用RADIUS代理將接入請(qǐng)求轉(zhuǎn)發(fā)給用戶的注冊(cè)網(wǎng)絡(luò)。這樣企業(yè)在掌握授權(quán)權(quán)利的前提下,有效的使用ISP的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,使企業(yè)的網(wǎng)絡(luò)費(fèi)用開(kāi)支實(shí)現(xiàn)最小化。 記費(fèi),審計(jì)和報(bào)警 為有效的管理VPN系統(tǒng),網(wǎng)絡(luò)管理人員應(yīng)當(dāng)能夠隨時(shí)跟蹤和掌握以下情況:系統(tǒng)的使用者,連接數(shù)目,異;顒(dòng),出錯(cuò)情況,以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時(shí)信息對(duì)記費(fèi),審計(jì)和報(bào)警或其它錯(cuò)誤提示具有很大幫助。例如,網(wǎng)絡(luò)管理人員為了編制帳單數(shù)據(jù)需要知道何人在使用系統(tǒng)以及使用了多長(zhǎng)時(shí)間。異常活動(dòng)可能預(yù)示著存在對(duì)系統(tǒng)的不正確使用或系統(tǒng)資源出現(xiàn)不足。對(duì)設(shè)備進(jìn)行實(shí)時(shí)的監(jiān)測(cè)可以在系統(tǒng)出現(xiàn)問(wèn)題時(shí)及時(shí)向管理員發(fā)出警告。一臺(tái)隧道服務(wù)器應(yīng)當(dāng)能夠提供以上所有信息以及對(duì)數(shù)據(jù)進(jìn)行正確處理所需要的事件日志,報(bào)告和數(shù)據(jù)存儲(chǔ)設(shè)備。 NT4.0在RAS中提供了對(duì)記費(fèi),審計(jì)和報(bào)警的支持。RADIUS協(xié)議對(duì)呼叫-記費(fèi)請(qǐng)求(call-accountingrequest)進(jìn)行了規(guī)定。當(dāng)RAS向RADIUS發(fā)送呼叫-記費(fèi)請(qǐng)求后由后者建立記費(fèi)記錄分別記錄呼叫開(kāi)始,結(jié)束以及預(yù)定中斷的情況。 結(jié)論 如本文所述,Windows系統(tǒng)自帶的VPN服務(wù)允許用戶或企業(yè)通過(guò)公共或?qū)S镁W(wǎng)絡(luò)與遠(yuǎn)端服務(wù)器,分支機(jī)構(gòu),或其他公司建立安全和可靠的連接。雖然上述通訊過(guò)程發(fā)生公共互聯(lián)網(wǎng)絡(luò)上,但是用戶端如同使用專用網(wǎng)絡(luò)進(jìn)行通訊一樣建立起安全的連接。使用Windows系統(tǒng)的VPN技術(shù)可以解決在當(dāng)今遠(yuǎn)程通訊量日益增大,企業(yè)全球運(yùn)作分布廣泛的情況下,員工需要訪問(wèn)中央資源,企業(yè)相互之間必須能夠進(jìn)行及時(shí)和有效的通訊的問(wèn)題。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |