计算机教程实用IP安全技术.pdfVIP

下载 第10章 实用IP安全技术 对保护I P数据报的安全而言，I P S e c是一个强健的、可扩展的机制。 I P S e c提供无国界的安 全保护 —数据的机密性、数据完整性、数据源身份验证、反通信分析保护以及抗重播保护 —因此，对获安全保护的I P协议没有什么要求。同样地，对通过 I P顶层传送的任何一种通信 来说，它都是理想的—基本上是对任何一种通信。 通过在I P层提供安全保护， I P S e c允许任何一个应用充分利用其机能。安全保护在堆栈上 的某处进行，而不是在要求安全保护的各应用中。因此，身份验证和访问控制在堆栈上的通 信聚合点上进行。把这一点和基于套接字的安全保护进行对比是很重要的—比如S S L—其 中，每个希望安全保护的应用都必须被修改。采用 I P S e c ，你可只修改自己的堆栈和可进行安 全保护的所有应用。 不同应用模式—通道模式和传送模式—允许在任何地方配置 I P S e c ，只要有I P堆栈存 在就可以，允许保护任何类型的、通过 I P传输的通信。对提供端到端安全保护来说，传送模 式是相当理想的，而通道模式非常适合用于提供传送过程中的通信保护。 把具有 I P S e c 的硬件放在网络中的不同地方—路由器、防火墙、主机，和线缆中的块 “密匣”一样—实行不同的安全配置。端到端安全可通过在主机上配置具有 I P S e c 的堆栈这一 方式获得。虚拟专用网络（V P N ）可通过具有I P S e c能力的路由器（正在保护子网之间的通信） 构建。把基于主机和基于路由器的 I P S e c解决方法结合在一起，便可获得漫游 road warrior之类 的解决方案。 由于I P S e c保护的数据报是 I P数据报本身，因此， I P S e c可连续或递归应用，认可 h u b - a n d - s p o k e配置，或通过一个I P S e c保护的V P N ，经通道传输而来的端到端的I P S e c保护的数据包。 10.1 端到端安全 I P S e c 存在于一个主机或终端系统时 —不是本来就在堆栈中，就是作为堆栈中的块实 施方案存在—I P包的安全保护可从数据源一直到数据被接收。这一点丝毫不夸张。获得端 到端安全保护后，每个离开或进入一个主机的数据包都可得到安全保护。除此以外，在一 个主机上配置 I P S e c 也是可能的，这样，不受 I P S e c 保护的数据包将被丢弃。其结果是一个 “盒子”，它在网络中是不可见的—任何一个常见的端口扫描网络管理应用都不会报告网络 上会存在这样一个设备 —但是，倘若利用它来共享 S A ，则会认可主机或服务器可提供的 全套安全服务。 依靠策略选择符，一对独立的 S A可保护两个端点之间的通信安全 —t e l n e t 、S M T P 、 We b等等—或者说，一对独有的 S A可分别保护各数据流的安全。无论哪一种情况，通信都 不会以无安全保护的状态出现在线上。 一般说来，由于通信的端点同时也是 I P S e c端点，所以，端到端安全是在传送模式下，利 用I P S e c来完成的。但是通道模式可利用额外 I P头的新增头来提供端到端安全保护。两种模式 都完全合法。 104计计第三部分分配 置 问题 下载 ｜ 受保护 ｜ 图10-1 通过网络的端到端安全保护 端到端安全保护可能存在这样一个缺点：在应用端到端机密性时，对这种应用来说，它们 要求“侦查”或修改传输过程中的数据包，可能会失败。各种各样的“服务质量（ Q o S ）”解 决方案、通信整形、防火墙保护和通信监视均不能决定准备传输哪一种数据包—它只是一个 E S P包而已—而且还会因此而无法判断下一个动作。 除此以外，“网址解析（N AT ）”也会失 败，因为它试图对一个实行安全保护的数据包进行修改。事实上，可把 N AT想作是设计I P S e c 时想防止的一种“攻击”。由于N AT非常普遍，I E T F一直在研究它，以便两者可同时使用。对 大多数网络主管来说，重新着手于整个网络或启用安全保护不是他们想进行的选择！ 10.2 虚拟专用网络