IPSec基礎－IPSec政策

IPSec本身沒有為政策定義标準，政策的定義和表示由具體實施方案解決，以下對IPSec政策的介紹以Windows 2000為例。 　　在Windows 2000中，IPSec政策包括一系列規則（規則規定哪些資料流可以接受，哪些資料流不能接受）和過濾器（過濾器規定資料流的源和目标位址），以便提供一定程度的安全級别。在Windows 2000的IPSec實作中，既有多種預置政策可供使用者選擇，也可以讓使用者根據企業安全需求自行建立政策。IPSec政策的實施有兩種基本方法，一是在本地計算機上指定政策，二是使用Windows 2000 "組政策"對象，由其來實施政策。IPSec政策可适用于單機、域、路由器、網站或各種自定義組織單元等多種場合。 　　 一、規則 　　規則規定IPSec政策何時以及如何保護IP通信。根據IP資料流的類型、源和目的位址，規則應該具有觸發和控制安全通信的能力。每一條規則包含一張IP過濾器清單和與之相比對的安全設定，這些安全設定有：1）過濾器動作 2）認證方法 3）IP隧道設定 4）連接配接類型。 　　一個IPSec政策包含一至多條規則，這些規則可以同時處于激活狀态。例如，使用者為某網站路由器指定安全政策，但對經過該路由器的Intranet和Internet通信有不同的安全要求，那麼，這個政策就可以包含多條規則，分别對應于Intranet和Internet的不同場景。IPSec實作中針對各種基于客戶機和伺服器的通信提供了許多預置規則，使用者可根據實際需求使用或修改。 二、過濾器和過濾器動作 　　規則具有根據IP資料流的類型以及源和目的位址為通信觸發安全協商的能力，這一過程也稱為IP包過濾。應用包過濾技術，可以精确地定義哪些IP資料流需要受保護，哪些資料流需要被攔截，哪些則可以繞過IPSec應用（即無須受保護）。 　　一個過濾器由以下幾個參數決定：IP包的源和目的位址；包所使用的傳輸協定類型；TCP和UDP協定的源和目的端口号。一個過濾器對應于一種特定類型的資料流。 過濾器動作為需要受保護的IP通信設定安全需求，這些安全需求包括安全算法，安全協定和使用的密鑰屬性等等。 　　除了為需要受保護的IP通信設定過濾器動作外，還可以将過濾器動作配置成： 　　·繞過政策，即某些IP通信可以繞過IPSec，不受其安全保護。這類通信主要有以下三種情況：1）遠端主機無法啟用IPSec，2）非敏感資料流無須受保護，3）資料流本身自帶安全措施（例如使用Kerberos v5、SSL或 PPTP協定）。 　　·攔截政策，用于攔截來自特定位址的通信。 三、連接配接類型 　　每一條規則都需要指明連接配接類型，用以規定IPSec政策的适用範圍：如撥号擴充卡或網卡等。規則的連接配接屬性決定該規則将應用于單種連接配接還是多種連接配接。例如，使用者可以指明某條安全需求特别高的規則，隻應用于撥接上網，而不應用于LAN連接配接。 四、認證 　　一條規則可以指定多種認證方法。IPSec支援的認證方法主要有： 　　·Kerberos v5：Windows 2000的預設認證協定。該認證方法适用于任何運作Kerberos v5協定的客戶機（無論該客戶機是否基于Windows）。 　　·公鑰證書認證：該認證方法适用于Internet通路、遠端通路、基于L2TP的通信或不運作Kerberos v5協定的主機，要求至少配置一個受信賴的認證中心CA。 Windows 2000的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的認證系統相相容，但不推薦使用預置共享密鑰認證，因為該認證方法不受IPSec政策保護，為避免使用預置共享密鑰認證可能帶來的風險，一般建議使用Kerberos v5認證或公鑰證書認證。