IPSec本身沒有為策略定義標準,策略 的定義和表示由具體實施方案解決,以下對IPSec策略的介紹以Windows 2000為例。
在Windows 2000中,IPSec策略包括一系列規則(規則規定哪些數據流可以接受,哪些數據流不能接受)和過濾器(過濾器規定數據流的源和目標地 址),以便提供一定程度的安全級別。在Windows 2000的IPSec實現中,既有多種預置策略可供用戶選擇,也可以讓用戶根據企業安全需求自行創建策略。IPSec策略的實施有兩種基本方法,一是在本地計算機上指定策略,二是使用Windows 2000 "組策略"對象,由其來實施策略。IPSec策略可適用于單機、域、路由器、網站或各種自定義組織單元等多種場合。
一、規則
規則規定IPSec策略何時以及如何保護IP通信。根據IP數據流的類型、源和目的地址,規則應該具有觸發和控制安全通信的能力。每一條規則包含一張IP過濾器列表和與之相匹配的安全設置,這些安全設置有:1)過濾器動作 2)認證方法 3)IP隧道設置 4)連接類 型。
一個IPSec策略包含一至多條規則,這些規則可以同時處于激活狀態。例如,用戶為某網站路由器指定安全策略,但對經過該路由器的Intranet和Internet通信有不同的安全要求,那么,這個策略就可以包含多條規則,分別對應于Intranet和Internet的不同場景。IPSec實現中針對各種基于客戶機和服務器的通信提供了許多預置規則,用戶可根 據實際需求使用或修改。
二、過濾器和過濾器動作
規則具有根據IP數據流的類型以及源和目的地址為通信觸發安全協商的能力,這一過程也稱為IP包過濾。應用包過濾技術,可以精確地定義哪些IP數據流需要受保護,哪些數據流需要被攔截,哪些則可以繞過IPSec應用(即無須受保護)。
一個過濾器由以下幾個參數決定:IP包的源和目的地址;包所使用的傳輸協議類型;TCP和UDP協議的源和目的端口號。一個過濾器對應于一種特定類型的數據流。 過濾器動作為需要受保護的IP通信設置 安全需求,這些安全需求包括安全算法,安全協議和使用的密鑰屬性等等。
除了為需要受保護的IP通信設置過濾器動作外,還可以將過濾器動作配置成:
·繞過策略,即某些IP通信可以繞 過IPSec,不受其安全保護。這類通信主要有以下三種情況:1)遠程主機無法啟用IPSec,2)非敏感數據流無須受保護,3)數據流本身自帶安全措施(例如使用Kerberos v5、SSL或 PPTP協議)。
·攔截策略,用于攔截來自特定地址的通信。
·攔截策略,用于攔截來自特定地址的通信。
三、連接類型
每一條規則都需要指明連接類型,用以規定IPSec策略的適用范圍:如撥號適配器或網卡等。規則的連接屬性決定該規則將應用于單種連接還是多種連接。例 如,用戶可以指明某條安全需求特別高的規則,只應用于撥號連接,而不應用于LAN連接。
四、認證
一條規則可以指定多種認證方法。IPSec支持的認證方法主要有:
·Kerberos v5:Windows 2000的缺省認證協議。該認證方法適用于任何運行Kerberos v5協議的客戶機(無論該客戶機是否基于Windows)。
·公鑰證書認證:該認證方法適用于Internet訪問、遠程訪問、基于L2TP的通信或不運行Kerberos v5協議的主機,要求至少配置一個受信賴的認證中心CA。 Windows 2000的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的認證系統相兼容,但不推薦使用預置共享密鑰認證,因為該認證方法不受IPSec策略保護,為避免使用預置共享密鑰認證可能帶來的風險,一般建議使用Kerberos v5認證或公鑰證書認證。
·公鑰證書認證:該認證方法適用于Internet訪問、遠程訪問、基于L2TP的通信或不運行Kerberos v5協議的主機,要求至少配置一個受信賴的認證中心CA。 Windows 2000的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的認證系統相兼容,但不推薦使用預置共享密鑰認證,因為該認證方法不受IPSec策略保護,為避免使用預置共享密鑰認證可能帶來的風險,一般建議使用Kerberos v5認證或公鑰證書認證。
