安全工具netsh IPSec使用方法[ip安全策略]
作者 佚名
来源 批处理
浏览
发布时间 2013-07-09
| 言: IPSec的全称是Internet Protocol Security,翻译成中文就是Internet协议安全性。它的作用主要有两个:一个是保护 IP 数据包的内容,另外一点就是通过数据包筛选并实施受信任通讯来防御网络攻击。这对于我们当有一些重要的数据在传输的过程中需要加以保护或者防止监听来说无疑是一个好消息,因为Windows 2000已经内置了这个功能,我们不再需要借助其他的工具以实现这个目的了。 由于是在IP层进行对数据的对称加密,封装的是整个的IP数据包,所以不需要为 TCP/IP 协议组中的每个协议设置单独的安全性,因为应用程序使用 TCP/IP 来将数据传递到 IP 协议层,并在这里进行保护。相应的IPSec配置相对复杂,但是对于应用程序来说是透明的,因此不要求应用程序必须支持。下面分几个部分对IPSec的概念、工作过程和实践应用等几个方面加以阐述: 一、 IPSec的工作的过程: 两台计算机在通讯的时候,如果已经设置好IPSec的策略,主机在通讯的时候会检查这个策略,策略在应用到主机的时候会有一个协商的过程,这个过程通过Security Association来实现。协商后根据Policy的配置,两台计算机之间建立一个加密的连接,数据进行加密传输。驱动程序将解密的数据包传输给TCP/IP的驱动程序,然后传输给接收端的应用程序。 二、 进入IPSec控制界面: 有两种方式可以打开,功能是完全一样的: 开始-运行-管理工具-本地安全策略 MMC-添加/删除管理单元-添加-IP安全管理策略-确定 三、 预定义的策略: 缺省的是没有启用IPSec,需要进行指派。我们可以发现系统已经给我们定义了三个策略,下面非别进行介绍。 安全服务器:必须使用IPSec,如果对方不使用IPSec,则通讯无法完成。用于始终需要安全通讯的计算机。 客户端:功能是缺省在通讯过程中不使用IPSec,如果对方要求IPSec,它也可以使用IPSec。用于在大部分时间不能保证通讯的计算机。 服务器:功能是缺省使用IPSec,但是对方如果不支持IPSec,也可以不使用IPSec。用于在大部分时间能保证通讯的计算机。 策略可以在单台计算机上进行指派,也可以在组策略上批量进行指派。值得注意的是为了达到可以通过协商后进行通讯,所以通讯的两端都需要设置同样的策略并加以指派。 四、 IPSec的工作方式: 传送模式(计算机之间安全性配置):保护两个主机之间的通讯,是默认的IPSec模式。传送模式只支持Windows2000操作系统,提供点对点的安全性。 隧道模式(网络之间安全性配置):封装、发送和拆封过程称之为“隧道”。一般实现方法是在两个路由器上完成的。在路由器两端配置使用IPSec,保护两个路由器之间的通讯。主要用于广域网上,不提供各个网络内部的安全性。 五、 IPSec的身份验证方法: Kerberos V5:(默认)如果是在一个域中的成员,又是Kerberos V5协议的客户机,选择这一项。比如一个域中的Windows 2000的计算机。 证书:需要共同配置信任的CA。 预共享密钥:双方在设置策略的时候使用一段共同协商好的密钥。 以上三种方法都可以作为身份验证的方法,一般在日常工作当中,如果是域中的Windows 2000的计算机之间就采用Kerberos的认证方式,由于国内CA用的实在不多,一般其他情况下可以采用第三种方式,双方协商一段密钥,这个在后面的例子二中还会涉及。 六、 IPSec的加密模式: 身份验证加密技术: SNA MD5 数据包加密技术: 40-bit DES 56-bit DES 3DES:最安全的加密方法,相应的也会消耗更多的系统资源。 以上的概念性的东西大家可以查阅相关资料,这里就不多多讲述了。 七、 应用: 以上概念性的东西说了很多,下面正式进入 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于安全工具netsh IPSec使用方法[ip安全策略]的所有评论
