IPSec基础---IPSec策略

　　在Windows 2000中，IPSec策略包括一系列规则（规则规定哪些数据流可以接受，哪些数据流不能接受）和过滤器（过滤器规定数据流的源和目标地址），以便提供一定程度的安全级别。在Windows 2000 的IPSec实现中，既有多种预置策略可供用户选择，也可以让用户根据企业安全需求自行创建策略。IPSec策略的实施有两种基本方法，一是在本地计算机上指定策略，二是使用Windows 2000 "组策略"对象，由其来实施策略。IPSec策略可适用于单机、域、路由器、网站或各种自定义组织单元等多种场合。

　　一、规则

　　规则规定IPSec策略何时以及如何保护IP通信。根据IP数据流的类型、源和目的地址，规则应该具有触发和控制安全通信的能力。每一条规则包含一张IP过滤器列表和与之相匹配的安全设置，这些安全设置有：1）过滤器动作 2）认证方法 3）IP隧道设置 4）连接类型。

　　一个IPSec策略包含一至多条规则，这些规则可以同时处于激活状态。例如，用户为某网站路由器指定安全策略，但对经过该路由器的Intranet和Internet通信有不同的安全要求，那么，这个策略就可以包含多条规则，分别对应于Intranet和Internet的不同场景。IPSec实现中针对各种基于客户机和服务器的通信提供了许多预置规则，用户可根据实际需求使用或修改。

　　二、过滤器和过滤器动作

　　规则具有根据IP数据流的类型以及源和目的地址为通信触发安全协商的能力，这一过程也称为IP包过滤。应用包过滤技术，可以精确地定义哪些IP数据流需要受保护，哪些数据流需要被拦截，哪些则可以绕过IPSec应用（即无须受保护）。

　　一个过滤器由以下几个参数决定：IP包的源和目的地址；包所使用的传输协议类型；TCP和UDP协议的源和目的端口号。一个过滤器对应于一种特定类型的数据流。 过滤器动作为需要受保护的IP通信设置安全需求，这些安全需求包括安全算法，安全协议和使用的密钥属性等等。

　　除了为需要受保护的IP通信设置过滤器动作外，还可以将过滤器动作配置成：

　　·绕过策略，即某些IP通信可以绕过IPSec，不受其安全保护。这类通信主要有以下三种情况：1）远程主机无法启用IPSec，2）非敏感数据流无须受保护，3）数据流本身自带安全措施（例如使用Kerberos v5、SSL或 PPTP协议）。
　　·拦截策略，用于拦截来自特定地址的通信。

　　三、连接类型

　　每一条规则都需要指明连接类型，用以规定IPSec策略的适用范围：如拨号适配器或网卡等。规则的连接属性决定该规则将应用于单种连接还是多种连接。例如，用户可以指明某条安全需求特别高的规则，只应用于拨号连接，而不应用于LAN连接。

　　四、认证

　　一条规则可以指定多种认证方法。IPSec支持的认证方法主要有：

　　·Kerberos v5：Windows 2000的缺省认证协议。该认证方法适用于任何运行Kerberos v5协议的客户机（无论该客户机是否基于Windows）。
　　·公钥证书认证：该认证方法适用于Internet访问、远程访问、基于L2TP的通信或不运行Kerberos v5协议的主机，要求至少配置一个受信赖的认证中心CA。 Windows 2000的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的认证系统相兼容，但不推荐使用预置共享密钥认证，因为该认证方法不受IPSec策略保护，为避免使用预置共享密钥认证可能带来的风险，一般建议使用Kerberos v5认证或公钥证书认证。