您好, 訪客   登錄/注冊

IPSEC安全策略的學習與應用

來源:用戶上傳      作者:

  摘 要:IPSec是由IETF定義的標準框架,為IP網絡通信提供透明的安全服務。IPSec能為企業局域網與撥號用戶、域、網站、遠程站點等之間的通信提供強有力且靈活保護,還能篩選特定數據流。本文通過配置IP安全策略來篩選特定的IP或端口,限制常見病毒、木馬、黑客攻擊。
  關鍵詞:IPSec;篩選器;規則;策略
  IPsec(Internet Protocol Security)是通過使用加密的安全服務確保Internet協議(IP)網絡上私有、安全的通信,由Internet工程任務組(IETF)開發的開放標準框架(體系結構)。IPsec支持網絡級對等身份驗證、數據源身份驗證、數據完整性、機密性(加密)和回放保護。IPsec受Windows Server2003、winXP和win2000等操作系統支持,其設置可在域、站點或組織單位級上配置,還可與現有應用程序層安全解決方案配合使用。
  1 IP 安全策略研究
  1.1 IPSec特性及其配置策略
  IPSec應用于IP層上網絡數據安全的體系結構,不是一個單獨協議,主要包括三部分:網絡認證協議(AH);封裝安全載荷協議(ESP);密鑰管理協議(IKE)。使用Microsoft管理控制臺(MMC)配置IPSec。單擊開始菜單,指向程序,選擇控制面板中管理工具,然后點擊本地安全策略。在打開的MMC左窗格中,單擊本地計算機上的IP安全策略。MMC將在右窗格中顯示現有默認策略(服務器、客戶端、安全服務器)。
  第一,創建IP安全策略定義策略基礎設置,包括策略名、策略描述、策略更改間隔。策略更改時間默認為180分鐘,即刪除策略前必須先確保策略已停止(不指派)。否則刪除后一段時間內繼續生效,持續180分鐘。
  第二,密鑰管理協議是IPsec體系一種主要協議。協議結合認證、密鑰管理和安全連接等概念建立私有通信所需安全,進行添加、刪除、修改等,可設置多個安全措施(方法),身份驗證時保護身體。
  1.2 IPSec規則
  IP安全規則規定IPSec策略何時及如何保護IP通信。根據IP數據流類型、源和目的地址,規則具有觸發和控制安全通信的能力。一個IPSec策略有多條規則,可同時處于激活狀態。IPSec對各種基于客戶機和服務器通信提供許多預設規則,用戶可根據需求使用或修改。每一條規則包含一張IP篩選器列表和與之匹配的設置:篩選器動作;認證方法;IP隧道設置;連接類型。
 ?、賱摻↖P篩選器。IP安全規則可根據IP數據流的類型、源地址和目標地址觸發通信的安全協商(即IP包過濾)。包過濾技術可精確定義哪些IP數據流受保護,哪些要被攔截或允許通過。一個篩選器幾個決定參數:IP包的源和目的地址;包所用傳輸協議類型,TCP和UDP協議的源和目的端口號,一個過濾器對應一種特定類型的數據流。
 ?、趧摻êY選器動作,為需要受保護IP通信設置安全需求,包括安全算法,安全協議和使用的密鑰屬性等。創建完成后,要對篩選器創建一個動作來規定IP數據流在通信與篩選器列表中篩選器相匹配時啟用。參數有許可、阻止或協商安全。
 ?、跧P安全策略中身份驗證方法有三種:Kerberos、證書(CA)、預共享密鑰。在新規則參數設置頁面打開身份驗證方法菜單,選擇計算機之間通訊如何進行安全驗證。默認選擇KerberoV5驗證。
 ?、芩斓涝O置,指定是否以隧道方式通信,如果是,則指定隧道終結點IP地址。對于出站通信,隧道終結點是IPSec隧道對等端IP地址。對于入站通信,隧道終結點是本地IP 地址。隧道終結點在IPSec策略內IPSec規則屬性“隧道設置”選項卡上配置。必須創建兩個隧道規則,每個規則適于通信傳送的一個方向。
 ?、葸B接類型。每個Internet協議安全(IPSec)規則,必須定義將應用規則的連接類型。例如,如果指定將某規則僅用于遠程訪問連接,則這些連接將與規則匹配。每條規則有一個連接類型設置:a 所有網絡連接:適于通過已配置任何網絡連接發送的通信;b 局域網(LAN):只適于通過已配置LAN連接發送的通信;c 遠程訪問:僅適于通過任何已在計算機上配置的遠程訪問、虛擬專用網絡(VPN)連接或撥號連接發送的通信。完成一個IPSec策略后,要在系統中指派該策略,篩選功能才會生效。
  2 IP安全策略在企業的應用
  企業內部重要信息系統服務器或重點崗位計算機相應安全配置。比如設置將重點崗位計算機只與目標主機通訊,限制員工使用重點崗位計算機登陸網絡。例如視頻監控系統屬重要信息系統服務器,往往只與對的主機或服務器(視頻監控服務器)通訊,并要求監控人員不能使用該計算機登陸網絡,只允許與視頻服務器通訊,其他IP地址全部過濾。另外,可分時段限定外部網絡訪問FTP服務器,企業服務器向用戶提供多種服務,有些服務占用網絡資源較大,比如FTP服務器,同時多用戶多線程下載時占用大量帶寬,影響辦公網絡速度,設置分時段開放網絡資源,達到節省帶寬目的。
  綜上所述,IP安全策略一次只能指派一個策略,但一個策略允許多個規則,可通過創建多個規則組合實現不同目的。將所有常見病毒、木馬利用的端口,系統中危險端口全部禁用,并結合第三方防火墻軟件,最大限度防范病毒、木馬、黑客的破壞。文中主要利用IPSEC規則,對IP數據包篩選。IP安全策略功能非常強大,許多地方要不斷學習實踐,利用強大功能為企業網絡安全服務??砂惭b病毒防火墻、補丁分發服務、配置IP安全策略、增強用戶網絡安全防范意識等多方面,不斷提高企業網絡安全環境。
轉載注明來源:http://www.hailuomaifang.com/1/view-14889400.htm

?
99久久国产综合精麻豆