網(wǎng)絡(luò)構(gòu)架chapter06使用ipsec保護(hù)網(wǎng)絡(luò)通信_第1頁
網(wǎng)絡(luò)構(gòu)架chapter06使用ipsec保護(hù)網(wǎng)絡(luò)通信_第2頁
網(wǎng)絡(luò)構(gòu)架chapter06使用ipsec保護(hù)網(wǎng)絡(luò)通信_第3頁
網(wǎng)絡(luò)構(gòu)架chapter06使用ipsec保護(hù)網(wǎng)絡(luò)通信_第4頁
網(wǎng)絡(luò)構(gòu)架chapter06使用ipsec保護(hù)網(wǎng)絡(luò)通信_第5頁
已閱讀5頁,還剩28頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、MCSE 2008網(wǎng)絡(luò)基礎(chǔ)架構(gòu)使用IPSec保護(hù)網(wǎng)絡(luò)通信主講人:軍本章要點概述IPSec概述IPSec保護(hù)網(wǎng)絡(luò)通訊安全I(xiàn)KE 兩個階段協(xié)商獨立服務(wù)器乊間的 IPSec設(shè)置路由器的IPSec設(shè)置采用計算機(jī)的IPSec設(shè)置脆弱的網(wǎng)絡(luò)網(wǎng)絡(luò)本身的脆弱性、蠕蟲泛濫 事件越來越多方法越來越多網(wǎng)絡(luò)信息資源的風(fēng)險性人為ernet的美妙乊處在于你和每個人都能互相連接 ernet的可怕乊處在于每個人都能和你互相連接常用網(wǎng)絡(luò)數(shù)據(jù)篡改中間人應(yīng)用程序?qū)臃?wù)范疇的四大標(biāo)準(zhǔn)性數(shù)據(jù)的數(shù)據(jù)的完整性認(rèn)證不可否認(rèn)性IPSecIPSec通過以下服務(wù)來保護(hù)兩IP地址間的數(shù)據(jù): 數(shù)據(jù)驗證數(shù)據(jù)來源數(shù)據(jù)完整性重放保護(hù) 加密驗證IPSec策略

2、IPSec 是一組公開標(biāo)準(zhǔn)的框架,是一種IP網(wǎng)絡(luò)中為兩計算機(jī)間發(fā)送的數(shù)據(jù)提供保護(hù)的方法。Benefits of IPSec:在進(jìn)行之前,先相互驗證計算機(jī)。加密要交換的數(shù)據(jù)保證數(shù)據(jù)傳輸?shù)耐暾栽趦蓚€計算機(jī)之間建立安全性協(xié)作關(guān)系IPSec策略IPSec使用策略及其中的規(guī)則來性規(guī)則包含:篩選器:地址、協(xié)議(端口)篩選器勱作:、協(xié)商安全驗證方法默認(rèn)策略(老版):Cnt(Respond Only)Server (Request Security)Secure Server (Require Security)IPSec策略/IP篩選器列表篩選器操作針對性變?nèi)鮾?yōu)先級變低策略規(guī)則1篩選器1:來自192.16

3、8.3.32的net通信篩選器2:來自192.168.3.200的POP3通信協(xié)商安全(要求加密)策略規(guī)則2篩選器1:所有net通信篩選器2:所有POP3通信策略規(guī)則3篩選器1:所有通信協(xié)商安全(要求加密)IPSec安全通信如何實現(xiàn)1.協(xié)商:驗證Kerberos V5共享密鑰協(xié)商:算法,產(chǎn)生密鑰AH完整性:MD5/SHA-1ESP加密 : DES/3DES數(shù)據(jù)通信10客戶端(僅響應(yīng))IPSec策略這一策略是針對那些不要求安全通信的計算機(jī)的.例如:那些只有在被另一個計算機(jī)請求時才使用IPSec的ranet客戶機(jī)就是這樣的計算機(jī).利用這一策略,計算機(jī)能夠?qū)Π踩ㄐ耪埱笞龀鲞m當(dāng)?shù)捻憫?yīng).該策略包含默認(rèn)

4、的響應(yīng)規(guī)則,可以利用這一規(guī)則與請求IPSec的計算機(jī).服務(wù)器(請求安全)IPSec策略這一策略適用于那些大多數(shù)情況下要求安全通信的計算機(jī).例如:那些敏感數(shù)據(jù)的服務(wù)器就是這樣的計算機(jī).這一策略使得計算機(jī)能夠接收那些不可靠的網(wǎng)絡(luò)數(shù)據(jù)流,但總是試圖從原來的發(fā)送者請求安全性,來保護(hù)附加的通信.如果其他計算機(jī)未吭用 IPSec,這一策略將允許整個通信都是不可靠的安全服務(wù)器(需要安全) IPSec策略這一策略適用于總是要求安全通信的計算機(jī).例如:對于那些高敏感數(shù)據(jù)的服務(wù)器,和保護(hù)ranet免受外部干擾的安全性網(wǎng)關(guān),這種安全服務(wù)器策略就很有用.這一策略不可靠的進(jìn)入通信,而外發(fā)網(wǎng)絡(luò)數(shù)據(jù)流總是安全的,即使在某個

5、對等物沒有吭用IPSec的情況下, 不可靠的通信仍然被激活I(lǐng)PSec策略指派.自定義IPSEC策略Rule ComponentsTunnel EndpoNetwork TypeAuthentication MethodIP Filter ListFilter ActionDefault Response RuleFilterActionFilterActionFilterActionFilterActionFilter 2Filter 1Filter 2Filter 1Rule 2Rule 1IPSec Policy連接安全規(guī)則連接安全規(guī)則首先會對規(guī)則中定義的計算機(jī)進(jìn)行驗證,乊后才能通信。它會

6、保護(hù)已驗證的兩臺計算機(jī)間發(fā)送的信息連接安全規(guī)則一般只“驗證連接”安全關(guān)聯(lián)兩臺計算機(jī)商定一個IPSec連接后,兩臺計算機(jī)間發(fā)送的數(shù)據(jù)則會被稱為“安全關(guān)聯(lián)”(SA的安全性是兩個IPSec協(xié)議提供:SA)認(rèn)證報頭(AH)協(xié)議:為整個IP數(shù)據(jù)包提供數(shù)據(jù)來源驗證、數(shù)據(jù)完整性和重放保護(hù) 封裝式安全措施負(fù)載(ESP):ESP負(fù)載提供數(shù)據(jù)加密、數(shù)據(jù)來源驗證和重放保護(hù)。IPSec連接是如何建立的要勱態(tài)建立 IPSec端點間的SA,需要使用“ernet密鑰交換”(IKE)協(xié)議。IKE能夠在定義SA的策略上使雙方達(dá)成一致。在建立SA的過程中,IKE還提供針對IPSec安全協(xié)議AH和ESP的加密與協(xié)商。建立IPSec

7、連接過程如下:建立主模式SA在通信和加密算法等一系列問題上達(dá)成一致創(chuàng)建快速模式SA發(fā)送數(shù)據(jù)IPSec安全通信如何實現(xiàn)Active DirectorySecurity AssotionNegotiation (ISAKMP)18Encrypted IP Packets3IPSec DriverIPSec DriverTCP LayerTCP Layer2IPSec PolicyIPSec Policy1IPSec 能做什么禁用協(xié)議關(guān)閉端口加密數(shù)據(jù)Demo 19為計算機(jī)乊間的安全性配置IP Sec傳輸模式EnforIPSec policies for traffic betnsystemsSupp

8、orts Windows 2000Provides end-to-end securityIs the default mode for IPSecSecurity Betn ComputersWindows 2000Windows 2000 ServerProfesal為網(wǎng)絡(luò)乊間配置IP Sec安全性隧道模式EnforIPSec policies for allernet trafficSupports legacy operating systems predominantlySupports po-to-posecurityat both routersSpecifies tunnel

9、endpoSecurity Betn NetworksWindows 2000-basedServer/RouterWindows 2000-basedServer/Router獨立服務(wù)器乊間的 IPSec設(shè)置Server2 IP:192.168.8.2/241168.8.1/24獨立服務(wù)器乊間的 IPSec設(shè)置路由器的IPSec設(shè)置分別位于兩地的網(wǎng)絡(luò)乊間如果要通過因特網(wǎng)安全的發(fā)送數(shù)據(jù),可以在兩地的路由器乊間創(chuàng)建 IPSec隧道。通過下列實驗說明如何在路由器乊間創(chuàng)建 IPSec設(shè)置。實驗中用兩臺windows server 2008 服務(wù)器扮演路由器角色。路由器的IPSec設(shè)置甲網(wǎng)絡(luò)乙網(wǎng)絡(luò)19

10、2.168.9.0IP:192.168.5.200/24192.168.8.0IP:192.168.8.100/24IP:192.168.8.1/24 DG:192.168.8.100IP:192.168.9.1/24 DG:192.168.9.200IPSec隧道甲路由器IP:192.168.5.100/24乙路由器IP:192.168.9.200/24通過域的組策略來設(shè)置IPSec你可以針對active directory 域的站點、域戒的組策略來新建連接安全規(guī)則,以便讓域成員計算機(jī)乊間能夠利用IPSec安全的通信。實驗要求:甲網(wǎng)絡(luò)中的3臺計算機(jī)都是windows server 2008,

11、其中,DC是域控,server1和server2都是域的成員服務(wù)器。甲網(wǎng)絡(luò)中的所有域成員計算機(jī)乊間都需要利用 IPSec來通信,DC和路由器除外。通過域的組策略來設(shè)置IPSecDC域控制器(&DNS服務(wù)器 IP:192.168.8.200/24 DG:192.168.8.254 DNS:192.168.8.200)Server1(成員服務(wù)器) IP:192.168.8.1/24 DG:192.168.8.254 DNS:192.168.8.200192.168.8.254192.168.9.254采用計算機(jī)的IPSec設(shè)置實驗?zāi)康模候炞C兩臺服務(wù)器如何利用IPSec安全地通信,并且是采用計算機(jī)的驗證方式。實驗要求:3臺服務(wù)器都是windows server 2008,其中的CA是服務(wù)器。計算機(jī)的服務(wù)器,另外2臺是獨立的采用計算機(jī)的IPSec設(shè)置IP:192.168.8.200/24CA獨立CAServer2IP:192.168.8.2/24Server1IP:192.168.8.1/24啟用舊版

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論