Windows 2000 中使用 IPSec 的 IP 通讯加密概述

本文的发布号曾为 CHS231585
本文已归档。它按“原样”提供,并且不再更新。
概要
Windows Internet 协议安全 (IPSec) 用于加密在两台计算机间传输的数据,以防止有人在网络上查看数据时对其进行修改和破译。IPSec 是防御内部、专用网络和外部攻击的关键防线。尽管大多数网络安全策略重点防范来自组织网络以外的攻击,但大量的敏感信息都可能是通过内部攻击破译网络数据而丢失的。多数数据在网络间传输时是未经保护的,因此员工、支持人员或访问者都可能进入您的网络并复制数据以备日后分析。他们还可能对其他计算机发动网络级别的攻击。防火墙对这种内部威胁毫无防护,因此使用 IPSec 可大大提高公司数据的安全性。

“IP 安全”是一种安全服务,它使管理员能够监控通信、检查地址并将各种安全方法应用到 IP 数据包中,无论这些数据是由何种程序生成的。

IPSec 使用 IP 筛选来检查所有 IP 数据包的地址、端口和传输协议。包含在本地或组策略中的规则会根据编址和协议信息,告知“IP 安全”是忽略还是保护特定数据包。
更多信息
“IP 安全”主要有以下六个组件用于提供上述安全通讯级别:
  • “IP 安全”(IPSec) 驱动程序,负责监控、筛选和保护通信。
  • Internet 安全关联密钥管理协议 (ISAKMP/Oakley) 密钥交换和管理服务,负责查看主机间的安全协商并为安全算法提供密钥。
  • 策略代理,负责查找策略并将其传递给 IPSec 驱动程序和 ISAKMP。
  • 从这些策略中派生出的“IP 安全”策略和安全关联,定义两台主机用于通讯的安全环境。
  • 安全关联 API,负责在 IPSec 驱动程序、ISAKMP 和策略代理间提供接口。
  • 管理工具,负责创建策略、监控“IP 安全”统计并记录“IP 安全”事件。
“IP 安全”使用这六个组件的过程如下:
  • 一个 IP 数据包与作为“IP 安全”策略一部分的 IP 筛选器相匹配。
  • “IP 安全”策略可以有多种可选的安全方法。IPSec 驱动程序需要知道使用哪种方法来保护数据包。IPSec 驱动程序请求 ISAKMP 协商安全方法和安全密钥。
  • ISAKMP 协商一种安全方法后,将其随安全密钥一同发送给 IPSec 驱动程序。
  • 该方法和密钥即成为 IPSec 安全关联 (SA)。IPSec 驱动程序将此 SA 存储在其数据库中。
  • 两台通讯主机都需要保护(或不保护)IP 通信,因此都需要知道并存储 SA。
IPSec 驱动程序将 IP 安全方法应用到 IP 数据包中。有两种安全方法可以使用(可以单独使用,也可以结合使用)。这两种方法是:
  • 通过加密散列 (HMAC) 实现的数据和地址完整性

    -和/或-
  • 通过加密实现的数据完整性和机密性
要加密在线路中传输的数据包,要求在相关的两台计算机间建立安全关联。管理员必须首先定义两台计算机互信任的方式,然后指定计算机保护其通信的方式。此配置包含在管理员创建并应用于本地计算机的 IPSec 策略中,也可以使用 Active Directory 中的组策略。
属性

文章 ID:231585 - 上次审阅时间:10/21/2013 22:09:32 - 修订版本: 3.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • kbnosurvey kbarchive kbinfo kbenv KB231585
反馈