IPsec协议的两种工作模式
一种是隧道模式,一种是传输模式。
传输模式只对IP数据包的有效负载进行加密或认证,此时继续使用原始IP头部。
隧道模式对整个IP数据包进行加密或认证。
此时,需要新产生一个IP头部,原来IP头被加密,有效地防止“中间人”攻击。
传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。
什么是IPSec,IPSec服务的作用
它是一种安全保障方式,假设咱们俩发送信息
用IPSEC保护
这段信息我发送后就被IPSEC加密,到你那边再解密
这样就算中间有人拦截了但是是加密的所以无法读取
WINDOWS2000以上支持IPSEC了
ipsec是什么协议,以及主要作用
“ 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 协议 (IP) 网络上进行保密而安全的通讯。
Microsoft? Windows? 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“ 工程任务组 (IETF)”IPSec工作组开发的标准。
IPSec(ProtocolSecurity)是安全联网的长期方向。
它通过端对端的安全性来提供主动的保护以防止专用网络与 的攻击。
在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。
在 Windows 2000、Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、 以及漫游客户端之间的通信。
IPSec是IETF( Engineering Task Force,工程任务组)的IPSec小组建立的一组IP安全协议集。
IPSec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。
IPSec的安全服务要求支持共享密钥完成认证和/或保密,并且手工输入密钥的方式是必须要支持的,其目的是要保证IPSec协议的互操作性。
当然,手工输入密钥方式的扩展能力很差,因此在IPSec协议中引入了一个密钥管理协议,称密钥交换协议——IKE,该协议可以动态认证IPSec对等体,协商安全服务,并自动生成共享密钥。
怎么样配置IPsec协议
.配置IPsec协议 准备工作 准备两台运行Windows 2000 Server操作系统的服务器,进行连接、配置相应IP地址。
配置HOST A的IPSec (1)建立新的IPSec策略 1)选择"开始"|"程序"| "管理工具"|"本地安全策略"菜单,打开"本地安全设置"对话框。
2)右击"IP安全策略,在本地机器",选择"创建IP安全策略",当出现向导时单击"下一步"继续。
3)为新的IP安全策略命名并填写策略描述,单击"下一步"继续。
4)通过选择"激活默认响应规则"复选框接受默认值,单击"下一步"继续。
5)接受默认的选项"Windows 2000 默认值Kerberos V5"作为默认响应规则身份验证方法,单击"下一步"继续。
6)保留"编辑属性"的选择,单击"完成"按钮完成IPSec的初步配置。
(2)添加新规则 在不选择"使用'添加向导'"的情况下单击"添加"按钮。
出现"新规则属性"对话框。
3)添加新过滤器 1)单击"添加"按钮,出现 "IP筛选器32313133353236313431303231363533e58685e5aeb931333335323464列表"对话框。
2)为新的IP筛选器列表命名并填写描述,在不选择"使用'添加向导'"的情况下单击"添加"按钮。
出现"筛选器属性"对话框。
3)单击"寻址"标签,将"源地址"改为"一个特定的IP地址"并输入HOST A的IP地址。
将"目标地址"改为"一个特定的IP地址"并输入HOST B的IP地址。
保留默认选择"镜像"复选框。
4)单击"协议" 标签,选择"协议类型"为ICMP。
5)单击"确定"回到"IP筛选器列表"对话框。
观察新添加的筛选器列表。
6)单击"关闭"回到"新规则属性"对话框。
7)通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。
(4)规定过滤器动作 1)单击"新规则属性"对话框中的"筛选器操作"标签。
2)在不选择"使用'添加向导'"的情况下单击"添加"按钮。
出现"新筛选器操作属性"对话框。
3)选择"协商安全"单选框。
4)单击"添加"按钮选择安全方法。
5)选择"中(AH)",单击"确定"回到"新筛选器操作属性"对话框。
6)单击"关闭"回到"新规则属性"对话框。
7)确保不选择"允许和不支持IPSec的计算机进行不安全的通信",单击"确定"回到"筛选器操作"对话框。
8)通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。
(5)设置身份验证方法 1)单击"新规则属性"对话框中的"身份验证方法"标签。
2)单击"添加"按钮,出现"新身份验证方法属性"对话框。
3)选择"此字串用来保护密钥交换(预共享密钥)"单选框,并输入预共享密钥子串"ABC"。
4)单击"确定"按钮回到"身份验证方法"标签。
5)单击"上移"按钮使"预先共享的密钥"成为首选。
(6)设置"隧道设置" 1)单击"新规则属性"对话框中的"隧道设置"标签。
2)选择"此规则不指定IPSec隧道"。
(7)设置"连接类型" 1)单击"新规则属性"对话框中的"连接类型"标签。
2)选择"所有网络连接"。
3)单击"确定"按钮回到"新IP安全策略属性"对话框。
4)单击"关闭"按钮关闭"新IP安全策略属性"对话框回到"本地安全策略"设置。
配置HOST B的IPSec 仿照前面对HOST A的配置对HOST B的IPSec进行配置。
测试IPSec (1)不激活HOST A、HOST B的IPSec进行测试。
1)确保不激活HOST A、HOST B的IPSec。
2)在HOST A执行命令PING 192.168.0.2,注意观察屏幕提示。
3)在HOST B执行命令PING 192.168.0.1,注意观察屏幕提示。
(2)激活一方的IPSec进行测试 1)在HOST A新建立的IP安全策略上单击鼠标右键并选择"指派", 激活该IP安全策略。
2)在HOST A执行命令PING 192.168.0.2,注意观察屏幕提示。
3)在HOST B执行命令PING 192.168.0.1,注意观察屏幕提示。
(3)激活双方的IPSec进行测试 1)在HOST A执行命令PING 192.168.0.2 -t ,注意观察屏幕提示。
2)在HOST B新建立的IP安全策略上单击鼠标右键并选择"指派", 激活该IP安全策略。
3)观察HOST A、HOST B间的安全协商过程。