IPSec与网络安全

1、IPSec 与与 网网 络络 安安 全全（IPSEC安全性通信协议）安全性通信协议）本章主题本章主题: IPSec概述概述 启动启动IPSEC 彻底了解彻底了解IPSEC策略策略1.IPSec概述概述:所提供的功能所提供的功能: 1、在开始传送信息之前，双方会相互验证对方的身份。、在开始传送信息之前，双方会相互验证对方的身份。 2、确认数据是否在传输过程中被截获并被修改过，确认信息、确认数据是否在传输过程中被截获并被修改过，确认信息的完整性。的完整性。 3、将传送的信息加密。、将传送的信息加密。 在传输之前两台计算机先协商出一个结果在传输之前两台计算机先协商出一个结果SA（安全关（安全关联），

2、就好象一份合同书。其中包括用来验证身份与信息加联），就好象一份合同书。其中包括用来验证身份与信息加密的密钥、安全通信协议、密的密钥、安全通信协议、SPI（安全参数索引）等信息，（安全参数索引）等信息，双方按其内容通信。协商的方法是标准的双方按其内容通信。协商的方法是标准的IKE（密钥交换）。（密钥交换）。完成后就可以通信了。完成后就可以通信了。注：如果一台计算机同时与多台计算机通信，那他将拥有多个注：如果一台计算机同时与多台计算机通信，那他将拥有多个SA结果。系统将利用结果。系统将利用SPI（安全参数索引）来区分是与那台（安全参数索引）来区分是与那台计算机通信。计算机通信。2.启动启动IPSe

3、c： 我们是通过我们是通过IPSEC策略来实现对他的管理的策略来实现对他的管理的 。2.1默认的默认的IPSEC策略：策略： 在在MMC中添加：中添加：“IP安全策略管理安全策略管理”安全服务器（需要安全）：主动要求必须使用安全服务器（需要安全）：主动要求必须使用IPSEC。通信双方必。通信双方必须使用须使用IPSEC，若对方无此功能，则无法通信。，若对方无此功能，则无法通信。客户端（仅响应）：被动使用客户端（仅响应）：被动使用IPSEC，只有其他计算机要求使用，只有其他计算机要求使用IPSEC时，你才会使用。时，你才会使用。服务器（请求安全）：主动的请求使用服务器（请求安全）：主动的请求使用

4、IPSEC。通信时你的计算机。通信时你的计算机会主动请求对方使用会主动请求对方使用IPSEC，但对方如没有，但对方如没有IPSEC，那你还是可以，那你还是可以接受的。接受的。2.2启动启动IPSEC策略：策略：2.3IPSEC测试：当我们测试：当我们PING对方的对方的IP时，可以。时，可以。 但用但用net view来通信时，不可以。来通信时，不可以。 3.彻底了解彻底了解IPSEC策略；策略；3.1 Internetr 密钥交换：密钥交换： 通信双方必须先协商，而其结果叫通信双方必须先协商，而其结果叫SA（安全关系）。这（安全关系）。这个协商工作是通过个协商工作是通过 .IKE 来完成的。

5、来完成的。 1、IKE两阶段式的协商：两阶段式的协商： 第一阶段：这个阶段产生的第一阶段：这个阶段产生的SA被称为被称为“主要模式主要模式SA”，又，又称为称为phase （分段引进）（分段引进）1SA，是两台计算机之间的一个，是两台计算机之间的一个安全的身份验证的通信管道。安全的身份验证的通信管道。 在这个阶段，双方经过交换一些用来建立在这个阶段，双方经过交换一些用来建立“主密钥主密钥”的的基本信息后，就会各自建立主密钥。基本信息后，就会各自建立主密钥。 第二阶段：在这个阶段将产生的第二阶段：在这个阶段将产生的SA被称为被称为“快速模式快速模式SA”，又称为又称为phase 2 SA，用来说

6、明双方要如何建立，用来说明双方要如何建立“会话密会话密钥钥”，要如何将所传送的信息加密，要如何确认信息是否来，要如何将所传送的信息加密，要如何确认信息是否来自对方。这个阶段的传输受自对方。这个阶段的传输受”主要模式主要模式SA “的保护。的保护。 注释：注释：“主要模式主要模式SA”是用于在两台计算机之间建立一是用于在两台计算机之间建立一个个 安全的、计算机身份经过验证的通信管道。安全的、计算机身份经过验证的通信管道。 而而“快速模式快速模式SA”是用来确保双方所传输的信息能是用来确保双方所传输的信息能够受到保护。够受到保护。 2、密钥交换设置：、密钥交换设置： 他是通过他是通过IPSec策略完成的。比如说，在三个策略之中策略完成的。比如说，在三个策略之中“安全服务器（需要安全）安全服务器（需要安全）”中的中的“常规常规”标签。标签。如果计算机是隶属于活动目录的成如果计算机是隶属于活动目录的成员，则每员，则每180分钟就向控制器查询分钟就向控制器查询IPSEC策