Chinaunix首页 | 论坛 | 博客
  • 博客访问: 261300
  • 博文数量: 54
  • 博客积分: 2668
  • 博客等级: 少校
  • 技术积分: 560
  • 用 户 组: 普通用户
  • 注册时间: 2009-05-06 01:08
文章分类

全部博文(54)

文章存档

2011年(14)

2010年(14)

2009年(26)

分类: WINDOWS

2010-01-20 13:41:42

IPSec的全称是Internet Protocol Security,翻译成中文就是Internet协议安全。它的作用主要有两个:一个是保护 IP 数据包的内容,另外一点就是通过数据包筛选并实施受信任通讯来防御网络攻击。这对于我们当有一些重要的数据在传输的过程中需要加以保护或者防止监听来说无疑是一个好消息。
由于是在IP层进行对数据的对称加密,封装的是整个的IP数据包,所以不需要为 TCP/IP 协议组中的每个协议设置单独的安全性,因为应用程序使用 TCP/IP 来将数据传递到 IP 协议层,并在这里进行保护。相应的IPSec配置相对复杂,但是对于应用程序来说是透明的,因此不要求应用程序必须支持。

一:基础知识

在开始文章前有必要先了解一些基础的知识,以便更好的阅读下面的文章。

1、IPSec的工作的过程:

两台计算机在通讯的时候,如果已经设置好IPSec的策略,主机在通讯的时候会检查这个策略,策略在应用到主机的时候会有一个协商的过程,这个过程通过Security Association来实现。协商后根据Policy的配置,两台计算机之间建立一个加密的连接,数据进行加密传输。驱动程序将解密的数据包传输给TCP/IP的驱动程序,然后传输给接收端的应用程序。

2、IPSec的工作方式:

⑴传送模式:保护两个主机之间的通讯,是默认的IPSec模式。传送模式只支持Win2k操作系统,提供P2P(点对点)的安全性。
⑵隧道模式:封装、发送和拆封过程称之为“隧道”。一般实现方法是在两个路由器上完成的。在路由器两端配置使用IPSec,保护两个路由器之间的通讯。主要用于广域网上,不提供各个网络内部的安全性。

3、IPSec的身份验证方法:

⑴ Kerberos V5:这个是默认的身份验证方法,如果是在一个域中的成员,又是Kerberos V5协议的客户机,选择这一项。比如一个域中的Win2k的计算机。
⑵证书:需要共同配置信任的CA。
⑶预共享密钥:双方在设置策略的时候使用一段共同协商好的密钥。
以上三种方法都可以作为身份验证的方法,一般在日常工作当中,如果是域中的Win2k的计算机之间就采用Kerberos的认证方式。其他情况下一般可以采用第三种方式,双方协商一段密钥。

4、IPSec的加密模式:

⑴身份验证加密技术:包括SNA和MD5
⑵数据包加密技术:包括40-bit DES、56-bit DES
⑶ 3DES:最安全的加密方法,相应的也会消耗更多的系统资源。
其他的关于IPSec的一些知识大家可以借助搜索引擎来实现,这里就不再展开了。

阅读(1398) | 评论(0) | 转发(0) |
0

上一篇:Opera添加flash插件

下一篇:Oracle常用命令集

给主人留下些什么吧!~~