IPSec本身沒有為策略定義標准策略的定義和表示由具體實施方案解決以下對IPSec策略的介紹以Windows 為例
在Windows 中IPSec策略包括一系列規則(規則規定哪些數據流可以接受哪些數據流不能接受)和過濾器(過濾器規定數據流的源和目標地址)以便提供一定程度的安全級別在Windows 的IPSec實現中既有多種預置策略可供用戶選擇也可以讓用戶根據企業安全需求自行創建策略IPSec策略的實施有兩種基本方法一是在本地計算機上指定策略二是使用Windows 組策略對象由其來實施策略IPSec策略可適用於單機域路由器網站或各種自定義組織單元等多種場合
一規則
規則規定IPSec策略何時以及如何保護IP通信根據IP數據流的類型源和目的地址規則應該具有觸發和控制安全通信的能力每一條規則包含一張IP過濾器列表和與之相匹配的安全設置這些安全設置有)過濾器動作 )認證方法 )IP隧道設置 )連接類型
一個IPSec策略包含一至多條規則這些規則可以同時處於激活狀態例如用戶為某網站路由器指定安全策略但對經過該路由器的Intranet和Internet通信有不同的安全要求那麼這個策略就可以包含多條規則分別對應於Intranet和Internet的不同場景IPSec實現中針對各種基於客戶機和服務器的通信提供了許多預置規則用戶可根據實際需求使用或修改
二過濾器和過濾器動作
規則具有根據IP數據流的類型以及源和目的地址為通信觸發安全協商的能力這一過程也稱為IP包過濾應用包過濾技術可以精確地定義哪些IP數據流需要受保護哪些數據流需要被攔截哪些則可以繞過IPSec應用(即無須受保護)
一個過濾器由以下幾個參數決定IP包的源和目的地址包所使用的傳輸協議類型TCP和UDP協議的源和目的端口號一個過濾器對應於一種特定類型的數據流 過濾器動作為需要受保護的IP通信設置安全需求這些安全需求包括安全算法安全協議和使用的密鑰屬性等等
除了為需要受保護的IP通信設置過濾器動作外還可以將過濾器動作配置成
·繞過策略即某些IP通信可以繞過IPSec不受其安全保護這類通信主要有以下三種情況)遠程主機無法啟用IPSec)非敏感數據流無須受保護)數據流本身自帶安全措施(例如使用Kerberos vSSL或 PPTP協議)
·攔截策略用於攔截來自特定地址的通信
三連接類型
每一條規則都需要指明連接類型用以規定IPSec策略的適用范圍如撥號適配器或網卡等規則的連接屬性決定該規則將應用於單種連接還是多種連接例如用戶可以指明某條安全需求特別高的規則只應用於撥號連接而不應用於LAN連接
四認證
一條規則可以指定多種認證方法IPSec支持的認證方法主要有
·Kerberos vWindows 的缺省認證協議該認證方法適用於任何運行Kerberos v協議的客戶機(無論該客戶機是否基於Windows)
·公鑰證書認證該認證方法適用於Internet訪問遠程訪問基於LTP的通信或不運行Kerberos v協議的主機要求至少配置一個受信賴的認證中心CA Windows 的IKE可以和MicrosoftEntrust和VeriSign等多家公司提供的認證系統相兼容但不推薦使用預置共享密鑰認證因為該認證方法不受IPSec策略保護為避免使用預置共享密鑰認證可能帶來的風險一般建議使用Kerberos v認證或公鑰證書認證
From:http://tw.wingwit.com/Article/os/xtgl/201311/10168.html
