网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
命令行下也玩IPSec在
网络应用越来越广泛的今天,一个重要的问题就是有关计算机通信的安全性问题。作为
网络系统管理员,一项基本职责就是保证数据在
网络传输中,不能被未经授权的人访问、查看或修改,在这中间,同时要保证数据能加密传输。怎样做到这一点呢?
Win2k
网络中,我们可以通过IPSec来保护
网络的安全。IPSec的全称是Internet Protocol Security,翻译成中文就是Internet协议安全。它的作用主要有两个:一个是保护 IP 数据包的内容,另外一点就是通过数据包筛选并实施受信任通讯来防御
网络攻击。这对于我们当有一些重要的数据在传输的过程中需要加以保护或者防止监听来说无疑是一个好消息。
由于是在IP层进行对数据的对称加密,封装的是整个的IP数据包,所以不需要为 TCP/IP 协议组中的每个协议设置单独的安全性,因为应用程序使用 TCP/IP 来将数据传递到 IP 协议层,并在这里进行保护。相应的IPSec配置相对复杂,但是对于应用程序来说是透明的,因此不要求应用程序必须支持。
Win2k
操作系统都支持IPSec,Win2k以前的版本,如Win 98与Win NT不支持IPSec。在Win 2k的
网络中,不管是局域网、广域网,都可以使用IPSec来保证
网络的安全。我们以前见到的文章都是讨论在图形界面下配置IPSec的,因为步骤比较多,所以很容易出错,并且效率不是怎么的高,那么我们是否可以在命令行下配置IPSec呢?答案是肯定的,今天我们就来讲讲如何在命令行下配置IPSec。
一:基础知识
在开始文章前有必要先了解一些基础的知识,以便更好的阅读下面的文章。
1、IPSec的工作的过程:
两台计算机在通讯的时候,如果已经设置好IPSec的策略,主机在通讯的时候会检查这个策略,策略在应用到主机的时候会有一个协商的过程,这个过程通过Security Association来实现。协商后根据Policy的配置,两台计算机之间建立一个加密的连接,数据进行加密传输。驱动程序将解密的数据包传输给TCP/IP的驱动程序,然后传输给接收端的应用程序。
2、IPSec的工作方式:
⑴传送模式:保护两个主机之间的通讯,是默认的IPSec模式。传送模式只支持Win2k操作系统,提供P2P(点对点)的安全性。
⑵隧道模式:封装、发送和拆封过程称之为“隧道”。一般实现方法是在两个路由器上完成的。在路由器两端配置使用IPSec,保护两个路由器之间的通讯。主要用于广域网上,不提供各个
网络内部的安全性。
3、IPSec的身份验证方法:
⑴ Kerberos V5:这个是默认的身份验证方法,如果是在一个域中的成员,又是Kerberos V5协议的客户机,选择这一项。比如一个域中的Win2k的计算机。
⑵证书:需要共同配置信任的CA。
⑶预共享密钥:双方在设置策略的时候使用一段共同协商好的密钥。
以上三种方法都可以作为身份验证的方法,一般在日常工作当中,如果是域中的Win2k的计算机之间就采用Kerberos的认证方式。其他情况下一般可以采用第三种方式,双方协商一段密钥。
4、IPSec的加密模式:
⑴身份验证加密技术:包括SNA和MD5
⑵数据包加密技术:包括40-bit DES、56-bit DES
⑶ 3DES:最安全的加密方法,相应的也会消耗更多的系统资源。
其他的关于IPSec的一些知识大家可以借助搜索引擎来实现,这里就不再展开了。
二:微软的礼物
在命令行下配置IPSec,我们需要借助第三方的软件IPSecPol来实现(可以在光盘里找到),它是我们可爱的微软的免费提供的支持工具。
为什么我们要用IPSecPol这个工具呢?如果我们需要有大量的IP安全策略需要配置的话,一般的图形界面模式即费时又费力,而使用IPSecPol之后,我们可以利用
脚本来实现,并且结合批处理,只要用户输入几个参数就可以在短短的时间内完成庞大的工作。更重要的是,它可以实时配置策略,喜欢命令行下工作的你是否也开始对它感兴趣了?
我们先来看看它的参数,如下所示:
ipsecpol [\\computername] [-?] [-f FilterList] [-n NegotiationPolicyList] [-t TunnelAddress] [-a AuthMethodList] [-u] [-soft] [{-dialup
关键词:命令行下也玩IPSec