基于Windows Server 2003上啟用IPSEC保證數(shù)據(jù)傳輸安全的分析

摘要:IPSec(IPSecurity Protcol，IP安全協(xié)議)是一組開(kāi)放標(biāo)準(zhǔn)集，它們協(xié)同地工作來(lái)確保對(duì)等設(shè)備之間的數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性以及數(shù)據(jù)認(rèn)證。這些對(duì)等實(shí)體可能是一對(duì)主機(jī)或是一對(duì)安全網(wǎng)關(guān)(路由器、防火墻、VPN集中器等等)，或者它們可能在一個(gè)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間，就像遠(yuǎn)程訪問(wèn)VPN這種情況。IPSec能夠保護(hù)對(duì)等實(shí)體之間的多個(gè)數(shù)據(jù)流，并且一個(gè)單一網(wǎng)關(guān)能夠支持不同的成對(duì)的合作伙伴之間的多條并發(fā)安全I(xiàn)PSec隧道。

關(guān)鍵詞:數(shù)據(jù)機(jī)密;數(shù)據(jù)完整;數(shù)據(jù)認(rèn)證

中圖分類號(hào):TP391文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)32-8879-02

Use IPSEC to Ensure Data Security Analysis on Windows Server 2003

GE Wei， ZHU Jing

(Network Academy of Ahead Software Vocational College， Nanchang 330041， China)

Abstract: IPSec (IPSecurity Protcol， IP security protocol) is a set of open standards， they are to work together to ensure the right data between devices such as confidentiality， data integrity and data authentication. These pairs of such entities may be a pair of hosts， or a pair of security gateways (routers， firewalls， VPN concentrators， etc.)， or they may be a host and a security gateway between the remote access VPN like this kinds of situations. Entities such as IPSec to protect the right between the multiple data streams， and a single gateway can support the different pairs of the multiple partners， concurrent IPSec tunnels safe.

key words: data confidentiality; data integrity; data authentication

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)已經(jīng)普及到社會(huì)的各個(gè)方面，現(xiàn)在人們對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴程度越來(lái)越高，無(wú)論是網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)與訪問(wèn)，還是Internet上的電子商務(wù)應(yīng)用等。但是它在提供開(kāi)放和共享資源的同時(shí)，也不可避免地存在著安全隱患，系統(tǒng)漏洞的危害無(wú)疑都是十分巨大的，如何保障機(jī)密信息在網(wǎng)絡(luò)中安全傳輸，成為人們?nèi)找骊P(guān)注的焦點(diǎn)。IPSec的提出正是為了有效地解決網(wǎng)絡(luò)安全問(wèn)題。本文內(nèi)容主要闡述的是通過(guò)配置IPSec保證數(shù)據(jù)的傳輸安全。

1 IPSec協(xié)議概述

“Internet協(xié)議安全性(IPSec)”是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密安全服務(wù)以確保在Internet協(xié)議網(wǎng)絡(luò)上進(jìn)行保密而安全的通信。

在基于IP的網(wǎng)絡(luò)中，如果沒(méi)有安全設(shè)置，公用網(wǎng)絡(luò)與專業(yè)網(wǎng)絡(luò)就很容易遭受到攻擊。IPSec有兩個(gè)基本目標(biāo):保護(hù)IP數(shù)據(jù)包安全及為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施。IPSec結(jié)合密碼保護(hù)服務(wù)、安全協(xié)議組和動(dòng)態(tài)密鑰管理三者來(lái)實(shí)現(xiàn)上述兩個(gè)目標(biāo)，不僅能為企業(yè)局域網(wǎng)與撥號(hào)用戶、域、網(wǎng)站、遠(yuǎn)程站點(diǎn)以及Extranet之間的通信提供強(qiáng)有力且靈活的保護(hù)，而且還能用來(lái)篩選特定數(shù)據(jù)流。IPSec基于一種端-對(duì)-端的安全模式。這種模式有一個(gè)基本前提假設(shè)，就是假定數(shù)據(jù)通信的傳輸媒介是不安全的，因此通信數(shù)據(jù)必須經(jīng)過(guò)加密，而掌握加解密方法的只有數(shù)據(jù)流的發(fā)送端和接收端，兩者各自負(fù)責(zé)相應(yīng)的數(shù)據(jù)加解密處理，而網(wǎng)絡(luò)中其他只負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)的路由器或主機(jī)無(wú)須支持IPSec。該特性有助于企業(yè)用戶在下列方案中成功地配置IPSec。

2 IPSec解析

為了保證數(shù)據(jù)的傳輸，在windows server 2003的網(wǎng)絡(luò)中，應(yīng)該啟用IPSec來(lái)抵御網(wǎng)絡(luò)中出現(xiàn)的攻擊。

在進(jìn)行數(shù)據(jù)交換前，先相互驗(yàn)證雙方的計(jì)算機(jī)的身份，驗(yàn)證身份之后，在這兩臺(tái)計(jì)算機(jī)之間建立一種安全協(xié)作關(guān)系，并且在進(jìn)行數(shù)據(jù)傳輸之前將數(shù)據(jù)進(jìn)行加密傳送。經(jīng)過(guò)這三個(gè)過(guò)程，可以保證網(wǎng)絡(luò)的通信安全，即使數(shù)據(jù)中途被截獲，因?yàn)榻孬@者不知道加密的密鑰也就無(wú)從了解數(shù)據(jù)的內(nèi)容。

在計(jì)算機(jī)中啟動(dòng)IP安全策略管理，出現(xiàn)如圖1所示的對(duì)話框。采用該策略，表示與這臺(tái)計(jì)算機(jī)進(jìn)行通信的計(jì)算機(jī)已經(jīng)使用了IPSec安全策略，如果對(duì)方計(jì)算機(jī)沒(méi)有采用安全策略，將不能與本機(jī)進(jìn)行通信。

右擊啟動(dòng)安全服務(wù)器配置策略，根據(jù)圖2和圖3分別設(shè)置好身份驗(yàn)證及加密算法，IPSec安全策略將被應(yīng)用于計(jì)算機(jī)安全通信中，如果網(wǎng)絡(luò)中所有的計(jì)算機(jī)都運(yùn)行windows XP、windows server 2003，則將windows server 2003的IPSec安全策略設(shè)置為安全服務(wù)器級(jí)，這樣可以保證網(wǎng)絡(luò)中所有的數(shù)據(jù)傳輸都是安全的，如網(wǎng)絡(luò)中有的計(jì)算機(jī)運(yùn)行了較低的操作系統(tǒng)，如windows NT，這些計(jì)算機(jī)不支持安全通信，可以將windows server 2003的IPSec安全策略設(shè)置為服務(wù)器級(jí)，這樣可以保證計(jì)算機(jī)間的相互通信。

3 結(jié)束語(yǔ)

TCP是面向連接的，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。

參考文獻(xiàn):

[1] 王心靈.IPSec實(shí)現(xiàn)保密數(shù)據(jù)傳輸?shù)募夹g(shù)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2006(8).

[2] 賴瓊琪.基于IPSec的網(wǎng)絡(luò)安全在校園網(wǎng)中的研究與設(shè)計(jì)[J].電腦與電信，2006(11).

[3] 邱建新.基于IPSec的VPN技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用研究[J].浙江交通職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008(1).

[4] 劉曉輝.windows server 2003組網(wǎng)教程[M].清華大學(xué)出版社，2005.