网络层安全IPSec
课程链接: http://click.aliyun.com/m/36974/
5.1 IPSec协议
(1)前面使用Outlook进行数字签名和数字加密是应用层实现的安全。安全套接字实现的安全是在应用层和传输层之间插入了一层来实现数据通信安全。而IPSec是网络层实现的安全。不需要应用程序的支持,只要配置通信双方的安全规则,传输层的数据传输单元就会被加密后封装到网络层,实现数据通信安全。IPSec工作在OSI模型的网络层。
(2)IPSec主要的两个协议
①鉴别首部(Authentication Header, AH)协议:提供源点鉴别和数据完整性,但不能保密。AH协议的功能都包含在ESP协议中,因此不再使用AH协议。
②封装安全有效载荷(Encapsulation Security Payload, ESP)协议:提供源点鉴别、数据完整性和保密,支持IPv4和IPv6。
5.2 安全关联
(1)IPSec协议的IP数据报(简称IPSec数据报),可以在两个主机之间、两个路由器之间或一个主机和一个路由器之间发送。但发送IPSec数据报之前,源实体和目的实体之间必须创建一条网络逻辑连接,即安全关联(Security Association, SA)。
(2)安全关联的状态信息(以Client到Web服务器的安全关联SA1为例)
①源点(Client的IP)和终点(Web服务器的地址)
②一个32位的连接标识符,称为安全参数索引(Security Parameter Index, SPI)。
③所使用的加密类型(如DES)、加密密码
④完整性检查类型(例如,使用报文摘要MD5的报文鉴别码MAC)
⑤鉴别使用的密钥(比如指定身份验证密钥为abc)
【注意】要实现安全通信,Web服务器与Client发送IPSec数据报之前,也要建立一条安全关联SA。
5.3 实战:在Windows系统上配置IPSec实现安全通信
(1)实验环境:Win2003Web(192.168.80.20)和WinXP(192.168.80.50)
(2)IPSec(IP安全策略)规则的主要组成
①筛选器:定义SA的条件,如源地址、目标地址、协议和端口号等
②筛选器动作(允许、拒绝和加密通信):只有“协商安全”才需要指明加密算法和完整性算法,以及身份验证方法。如果是允许和拒绝,则不需要指定上述内容。
③身份验证方法(Kerberos、数字证书、共享密钥):默认使用Kerberos来验证,这是为域中的计算机准备的身份验证方法。共享密钥则要求通信双方要使用相同的密钥(可自定义,如abc123)
