IPSec應用方案設計
以下內容摘自業界唯一一本真正從全域性視角介紹網路安全系統設計的圖書——《網路工程師必讀——網路安全系統設計》一書。目前該書在卓越網上僅需要70折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360
8.10 IPSec應用方案設計
IPSec是一個可以在許多情形下用來幫助提高網路通訊安全的通用安全技術。但無論如何,你得在複雜的IPSec策略配置基礎上平衡考慮安全性需求。另外,由於一些適當標準的缺乏,IPSec對一些型別的連線並不支援。本部分討論建議或不建議使用IPSec的情形,以及選擇IPSec所需的一些特定考慮。下列特殊IPSec考慮有助於簡化IPSec策略管理。
8.10.1 IPSec安全通訊方案的主要應用
以下是對於Windows Server 2003家族IPSec實現的推薦方案。
推薦將Windows Server 2003家族IPSec的實現用於以下情況:
1. 包篩選
IPSec為終端系統提供受限的防火牆功能。您還可以使用帶有“Internet連線防火牆”、“Windows防火牆”和“路由和遠端訪問”的IPSec來允許或阻止入站或出站通訊。
IPSec可以通過主機包篩選為終端系統提供有限的防火牆功能。你可以配置基於源和目的地址(包括通訊協議型別和埠號)的IPSec策略去允許,或者阻止特定非廣播包通訊。例如,你可以按圖8-58所示,在連線內/外部網路路由器上限制僅指定地址和埠的IP資料包可以通過。你可以通過使用IPSec包篩選功能來精確控制通訊雙方允許通訊的型別來加強網路通訊安全保護能力。
![clip_image002[4]](http://winda.blog.51cto.com/attachment/201005/15/55153_1273930606Nl7O.jpg "IPSec應用方案設計")
圖8-58 IPSec包篩選功能的典型應用示例
示例中,我們可以建立以下IPSec包篩選策略:
n 內部網路域管理員可以分配基於活動目錄的IPSec策略去阻止所有來自外部網路的通訊。外部網路管理員可以指派一個基於活動目錄的IPSec策略來阻止所有到內部網路的通訊。
n 內部網路中執行SQL伺服器(SQL Server)的管理員可以建立專門的一個基於活動目錄的IPSec允許到外部網路中的Web應用伺服器的結構化查詢協議通訊。
n 外部網路中的Web伺服器管理員可以建立專門的一個基於活動目錄的IPSec策略允許到內部網路的SQL伺服器的通訊。
n 外部網路中的Web伺服器(Web Application Server)管理員可以建立專門的一個基於活動目錄的IPSec策略阻止所有來自網際網路上採用TCP協議80埠的HTTP或者HTTPS Web訪問。這就是當防火牆萬一出現崩潰或者遭受攻擊時另外的安全保障。
n 外部網路域管理員可以阻止所有到管理控制檯計算機(Management Computer)的通訊,但是允許到外部網路的通訊。
你也可以使用IPSec的IP包篩選功能,或者路由器的基本NAT和防火,以及遠端訪問服務來允許或阻止流入,或者流出通訊,或者使用帶有Windows系統自帶的Windows防火牆,提供提供狀態包篩選。無論如何,為了確保進行正確的IPSec安全關聯的網際網路金鑰交換(IKE)管理,你必須配置Windows防火牆去允許UDP 500和4500埠的通訊,因為這是IKE訊息傳遞所必需的。
2. 保護特定路徑上主機對主機的通訊的安全
您可以使用IPSec為伺服器或其它靜態IP地址或子地址之間的通訊提供共同的身份認證和加密保護。IPSec可以在非廣播的源IP地址到非廣播的目的IP地址之間建立信任和安全通訊,這也就是通常所說的點對點全通訊。例如,你可以在Web伺服器和位於不同站點的資料庫伺服器,或者域控制器之間建立安全通訊。如圖8-59所示,僅需要傳送和接收的計算機雙方配置IPSec策略。客戶端和伺服器端計算機獨立處理自己端的安全,而假設通過中間裝置進行的通訊是不安全的。
![clip_image004[4]](http://winda.blog.51cto.com/attachment/201005/15/55153_1273930611miF3.jpg "IPSec應用方案設計")
圖8-59 客戶端與伺服器端之間的IPSec安全通訊
3. 兩個分離林之間域控制器的安全通訊
圖8-60中顯示了在兩個林了的域控制器是受對方防火牆的通訊控制。除此之外,使用IPSec增強在兩個分離林中的域控制器之間的所通訊安全。你也可以使用IPSec保護在同一個域中的兩個域控制器,以及父域與子域間的通訊。
![clip_image006[4]](http://winda.blog.51cto.com/attachment/201005/15/55153_1273930613a1t2.jpg "IPSec應用方案設計")
圖8-60 不同林域控制器之間的安全保護
4. 通過ISA安全NAT進行的端到端安全通訊
Windows Server 2003支援IPSec NAT穿越(NAT-T)。IPSec NAT-T允許通過IPSec安全通訊,也可以通過NAT穿越。例如,你可以使用Ipsec傳輸模式在執行ISA伺服器和NAT服務的計算機之間提供安全的主機到主機通訊,而在兩主機間無需進行包篩選。IPSec傳輸模式通常用來保護主機間的通訊,以及位於同一個區域網,或者通過廣域網連線的區域網間的通訊安全。圖8-61中,一臺計算機是執行Windows Server 2003系統和提供NAT功能的ISA伺服器。在伺服器A上的IPSec策略是僅允許與IP地址為伺服器B進行安全通訊,同時在伺服器B上的IPSec策略是配置允許與外部地址的ISA伺服器進行安全通訊。
![clip_image008[4]](http://winda.blog.51cto.com/attachment/201005/15/55153_1273930614qDXV.jpg "IPSec應用方案設計")
圖8-61 通過ISA安全NAT使用IPSec NAT-T的安全通訊
5. 安全伺服器
你可以為所有客戶端計算機到伺服器的訪問請求IPSec保護。圖8-62顯示了在傳輸模式中的線上商務應用伺服器的安全保護。
![clip_image010[4]](http://winda.blog.51cto.com/attachment/201005/15/55153_1273930616ICgl.jpg "IPSec應用方案設計")
圖8-62 安全伺服器的IPSec應用
在這種應用情形中,內部網路的所有應用伺服器必須與執行Windows 2000或Windows XP Professional系統的客戶端,WINS伺服器、DNS伺服器、DHCP伺服器、域控制器、非微軟資料備份伺服器進行通訊。因為客戶端與應用伺服器之間的通訊包含機密資訊,伺服器應當只允許與域中其他成員進行會話,所以客戶端計算機使用者是本公司員工,想要訪問應用伺服器以檢視他們的薪水資訊。網路管理員使用需要ESP加密的IPSec策略,僅允許域活動目錄中信任的計算機進行會話。
其他允許的通訊包括:
n 在WINS、DNS、DHCP和應用伺服器之間的通訊是允許的,因為WINS、DNS、DHCP伺服器必須為最廣泛的客戶端作業系統提供服務,而有些客戶端系統可能不支援IPSec。
n 域控制器與應用伺服器之間的通訊是允許的,因為使用IPSec保護這兩者的通訊安全是不建議的。
n 非微軟資料備份伺服器和應用伺服器之間是允許的,因為非微軟資料備份伺服器不支援IPSec。
6. 為遠端訪問和站點到站點VPN連線中使用L2TP /IPSec
你可以在所有VPN環境中應用L2TP /IPSec,而並不需要為IPSec策略做任何配置和部署。在L2TP和IPSec兩者之間的共同點就是在遠端訪問客戶端和公司網路之間通過網際網路的安全通訊,以及在分支機構之間的安全通訊。
【注意】Windows IPSec支援IPSec的傳輸模式和隧道模式兩種。儘管VPN通常是指隧道方式,但在L2TP/IPSec VPN連線中使用的是IPSec傳輸模式,IPSec隧道模式最主要應用在保護站點到站點的網路通訊安全,如通過網際網路的站點到站點網路通訊。
n 在遠端訪問VPN連線中使用L2TP/IPSec
在通過網際網路的遠端訪問客戶端和公司網路之間的通訊通常建議採用安全通訊方式。例如客戶端可能是一個經常在外的採購商,或者員工是在家裡工作的。在圖8-63中,遠端閘道器是為公司內部網路(Intranet)邊緣提供安全保護的伺服器;遠端客戶端是一個經常在外,而又需要經常訪問內部網路資源的使用者;ISP為客戶端訪問網際網路提供途經;ISP提供的L2TP/IPSec服務是用來構建VPN隧道,幫助保護資料通過網際網路的。
![clip_image012[4]](http://winda.blog.51cto.com/attachment/201005/15/55153_1273930618iFzZ.jpg "IPSec應用方案設計")
圖8-63 客戶端遠端訪問L2TP/IPSec VPN示例
n 在站點到站點VPN連線中使用L2TP/IPSec
一個大的公司通常有多個需要相互通訊的站點。例如,在上海和廣州兩地的分公司。在這種情形下,L2TP/IPSec就可以為站點之間的VPN連線,幫助保護站點間的資料通訊安全。在圖8-64中,執行Windows Server 2003系統的路由器(通訊雙方邊緣都有一個這樣的路由器)提供了邊緣安全服務。路由器上連線的是租用專線、撥號或者其他型別網際網路接入線路。L2TP/IPSec VPN隧道僅在路由器之間執行,保護通過網際網路的資料通訊。
圖8-64 站點到站點L2TP/IPSec VPN示例
n 非微軟閘道器的站點到站點IPSec隧道
如果閘道器,或者終端系統不支援L2TP/IPSec,或者PPTP(Point-to-Point Tunneling Protocol,點對點隧道協議)的站點到站點VPN連線,你可以以隧道模式來使用IPSec。這樣,傳送到閘道器的資料的整個IP資料包都將重新進行封裝,形成一個由IPSec協議保護的新的IP資料包。圖8-65是一個站點到站點IPSec隧道應用示例。
圖8-65 在站點間建立閘道器到閘道器的IPSec隧道示例
在這個示例中,通訊是在供應商站點(Site A)客戶計算機和公司總部站點(Site B)FTP伺服器之間進行。供應商使用非微軟的IPSec閘道器,而公司總部是使用執行Windows Server 2003系統的伺服器作為閘道器的。IPSec隧道是在非微軟閘道器和執行Windows Server 2003系統的閘道器之間,提供安全通訊。
【注意】Windows Server 2003作業系統的原始發行版中不包括Windows防火牆。“Internet連線防火牆”只包括在Windows Server 2003 Standard Edition和Windows Server 2003 Enterprise Edition的原始發行版中。
本文轉自王達部落格51CTO部落格,原文連結http://blog.51cto.com/winda/316199如需轉載請自行聯絡原作者
茶鄉浪子
相關文章
- IPSec VPN安全應用系統
- Java程式設計——伺服器設計方案之應用限流Java程式設計伺服器
- 使用者需求+設計原則+正確應用 =設計方案
- 從應用角度審查網路設計方案
- 貨拉拉應用多分組架構設計方案分享架構
- IPsec在企業網中的應用!(vpn)
- iOS應用架構談(3):網路層設計方案iOS應用架構
- Hive:應用設計Hive
- 畢業設計應用
- PDM應用模組設計
- 設計複合應用程式:元件設計元件
- 設計複合應用程式:設計模式設計模式
- javascript設計模式與應用JavaScript設計模式
- 設計模式應用舉例設計模式
- 瑞芯微RK3288平臺人臉識別方案應用設計
- Kubernetes 叢集和應用監控方案的設計與實踐
- 智慧斷路器應用方案之5G基站建設方案
- App應用加固方案APP
- framebuffer應用程式設計實踐程式設計
- [譯] 設計大型 JavaScript 應用程式JavaScript
- 應用架構圖的設計應用架構
- API介面:原理、設計與應用API
- Java 超程式設計及其應用Java程式設計
- React應用架構設計指南React應用架構
- 求助:關於應用設計模式設計模式
- 對設計模式應用的疑惑設計模式
- ADO程式設計應用 (轉)程式設計
- 智慧斷路器應用方案之智慧路燈杆應用方案
- 北方某高校校園電力能耗監控系統的設計與應用方案
- Linkedlist的應用場景:設計佇列、設計棧佇列
- 八、【spring】web應用安全設計SpringWeb
- 遊戲設計裡的那些色彩應用遊戲設計
- 設計模式 | 策略模式及典型應用設計模式
- Web應用的快取設計模式Web快取設計模式
- spring AOP 程式設計式應用Spring程式設計
- React 應用設計之道 - curry 化妙用React
- 移動應用中的流設計
- 中國移動應用設計趨勢