《IPSec与网络安全》由会员分享,可在线阅读,更多相关《IPSec与网络安全(17页珍藏版)》请在金锄头文库上搜索。
1、IPSec 与 网 络 安 全(IPSEC安全性通信协议),本章主题: IPSec概述 启动IPSEC 彻底了解IPSEC策略,1.IPSec概述:所提供的功能: 1、在开始传送信息之前,双方会相互验证对方的身份。 2、确认数据是否在传输过程中被截获并被修改过,确认信息的完整性。 3、将传送的信息加密。 在传输之前两台计算机先协商出一个结果SA(安全关联),就好象一份合同书。其中包括用来验证身份与信息加密的密钥、安全通信协议、SPI(安全参数索引)等信息,双方按其内容通信。协商的方法是标准的IKE(密钥交换)。完成后就可以通信了。,注:如果一台计算机同时与多台计算机通信,那他将拥有多个SA结果
2、。系统将利用SPI(安全参数索引)来区分是与那台计算机通信。2.启动IPSec: 我们是通过IPSEC策略来实现对他的管理的 。2.1默认的IPSEC策略: 在MMC中添加:“IP安全策略管理”,安全服务器(需要安全):主动要求必须使用IPSEC。通信双方必须使用IPSEC,若对方无此功能,则无法通信。客户端(仅响应):被动使用IPSEC,只有其他计算机要求使用IPSEC时,你才会使用。服务器(请求安全):主动的请求使用IPSEC。通信时你的计算机会主动请求对方使用IPSEC,但对方如没有IPSEC,那你还是可以接受的。,2.2启动IPSEC策略:,2.3IPSEC测试:当我们PING对方的I
3、P时,可以。 但用net view来通信时,不可以。,3.彻底了解IPSEC策略;3.1 Internetr 密钥交换: 通信双方必须先协商,而其结果叫SA(安全关系)。这个协商工作是通过 .IKE 来完成的。 1、IKE两阶段式的协商: 第一阶段:这个阶段产生的SA被称为“主要模式SA”,又称为phase (分段引进)1SA,是两台计算机之间的一个安全的身份验证的通信管道。 在这个阶段,双方经过交换一些用来建立“主密钥”的基本信息后,就会各自建立主密钥。,第二阶段:在这个阶段将产生的SA被称为“快速模式SA”,又称为phase 2 SA,用来说明双方要如何建立“会话密钥”,要如何将所传送的信息加密,要如何确认信息是否来自对方。这个阶段的传输受”主要模式SA “的保护。 注释:“主要模式SA”是用于在两台计算机之间建立一个 安全的、计算机身份经过验证的通信管道。 而“快速模式SA”是用来确保双方所传输的信息能够受到保护。 2、密钥交换设置: 他是通过IPSec策略完成的。比如说,在三个策略之中“安全服务器(需要安全)”中的“常规”标签。,如果计算机是隶属于活动目录的成员,则每180分钟就向控制器查询IPSEC策略是否改变。,多少时间重新产生新的主密钥。,每隔多少次会话重新产生新的主密钥。就是一个密钥可以用多少次。,
