IPSEC安全策略的学习与应用
来源:用户上传
作者:
摘 要:IPSec是由IETF定义的标准框架,为IP网络通信提供透明的安全服务。IPSec能为企业局域网与拨号用户、域、网站、远程站点等之间的通信提供强有力且灵活保护,还能筛选特定数据流。本文通过配置IP安全策略来筛选特定的IP或端口,限制常见病毒、木马、黑客攻击。
关键词:IPSec;筛选器;规则;策略
IPsec(Internet Protocol Security)是通过使用加密的安全服务确保Internet协议(IP)网络上私有、安全的通信,由Internet工程任务组(IETF)开发的开放标准框架(体系结构)。IPsec支持网络级对等身份验证、数据源身份验证、数据完整性、机密性(加密)和回放保护。IPsec受Windows Server2003、winXP和win2000等操作系统支持,其设置可在域、站点或组织单位级上配置,还可与现有应用程序层安全解决方案配合使用。
1 IP 安全策略研究
1.1 IPSec特性及其配置策略
IPSec应用于IP层上网络数據安全的体系结构,不是一个单独协议,主要包括三部分:网络认证协议(AH);封装安全载荷协议(ESP);密钥管理协议(IKE)。使用Microsoft管理控制台(MMC)配置IPSec。单击开始菜单,指向程序,选择控制面板中管理工具,然后点击本地安全策略。在打开的MMC左窗格中,单击本地计算机上的IP安全策略。MMC将在右窗格中显示现有默认策略(服务器、客户端、安全服务器)。
第一,创建IP安全策略定义策略基础设置,包括策略名、策略描述、策略更改间隔。策略更改时间默认为180分钟,即删除策略前必须先确保策略已停止(不指派)。否则删除后一段时间内继续生效,持续180分钟。
第二,密钥管理协议是IPsec体系一种主要协议。协议结合认证、密钥管理和安全连接等概念建立私有通信所需安全,进行添加、删除、修改等,可设置多个安全措施(方法),身份验证时保护身体。
1.2 IPSec规则
IP安全规则规定IPSec策略何时及如何保护IP通信。根据IP数据流类型、源和目的地址,规则具有触发和控制安全通信的能力。一个IPSec策略有多条规则,可同时处于激活状态。IPSec对各种基于客户机和服务器通信提供许多预设规则,用户可根据需求使用或修改。每一条规则包含一张IP筛选器列表和与之匹配的设置:筛选器动作;认证方法;IP隧道设置;连接类型。
①创建IP筛选器。IP安全规则可根据IP数据流的类型、源地址和目标地址触发通信的安全协商(即IP包过滤)。包过滤技术可精确定义哪些IP数据流受保护,哪些要被拦截或允许通过。一个筛选器几个决定参数:IP包的源和目的地址;包所用传输协议类型,TCP和UDP协议的源和目的端口号,一个过滤器对应一种特定类型的数据流。
②创建筛选器动作,为需要受保护IP通信设置安全需求,包括安全算法,安全协议和使用的密钥属性等。创建完成后,要对筛选器创建一个动作来规定IP数据流在通信与筛选器列表中筛选器相匹配时启用。参数有许可、阻止或协商安全。
③IP安全策略中身份验证方法有三种:Kerberos、证书(CA)、预共享密钥。在新规则参数设置页面打开身份验证方法菜单,选择计算机之间通讯如何进行安全验证。默认选择KerberoV5验证。
④遂道设置,指定是否以隧道方式通信,如果是,则指定隧道终结点IP地址。对于出站通信,隧道终结点是IPSec隧道对等端IP地址。对于入站通信,隧道终结点是本地IP 地址。隧道终结点在IPSec策略内IPSec规则属性“隧道设置”选项卡上配置。必须创建两个隧道规则,每个规则适于通信传送的一个方向。
⑤连接类型。每个Internet协议安全(IPSec)规则,必须定义将应用规则的连接类型。例如,如果指定将某规则仅用于远程访问连接,则这些连接将与规则匹配。每条规则有一个连接类型设置:a 所有网络连接:适于通过已配置任何网络连接发送的通信;b 局域网(LAN):只适于通过已配置LAN连接发送的通信;c 远程访问:仅适于通过任何已在计算机上配置的远程访问、虚拟专用网络(VPN)连接或拨号连接发送的通信。完成一个IPSec策略后,要在系统中指派该策略,筛选功能才会生效。
2 IP安全策略在企业的应用
企业内部重要信息系统服务器或重点岗位计算机相应安全配置。比如设置将重点岗位计算机只与目标主机通讯,限制员工使用重点岗位计算机登陆网络。例如视频监控系统属重要信息系统服务器,往往只与对的主机或服务器(视频监控服务器)通讯,并要求监控人员不能使用该计算机登陆网络,只允许与视频服务器通讯,其他IP地址全部过滤。另外,可分时段限定外部网络访问FTP服务器,企业服务器向用户提供多种服务,有些服务占用网络资源较大,比如FTP服务器,同时多用户多线程下载时占用大量带宽,影响办公网络速度,设置分时段开放网络资源,达到节省带宽目的。
综上所述,IP安全策略一次只能指派一个策略,但一个策略允许多个规则,可通过创建多个规则组合实现不同目的。将所有常见病毒、木马利用的端口,系统中危险端口全部禁用,并结合第三方防火墙软件,最大限度防范病毒、木马、黑客的破坏。文中主要利用IPSEC规则,对IP数据包筛选。IP安全策略功能非常强大,许多地方要不断学习实践,利用强大功能为企业网络安全服务。可安装病毒防火墙、补丁分发服务、配置IP安全策略、增强用户网络安全防范意识等多方面,不断提高企业网络安全环境。
转载注明来源:https://www.xzbu.com/1/view-14889400.htm