您所在的位置:网络安全 > 安全观察 > 详细介绍微软的IPsec

详细介绍微软的IPsec

2007-12-26 09:21 John Sawyer/子明 译 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

当今企业更应该注重IPsec的能力,因为IPsec完全有能力替代小公司传统的网络访问控制技术,也可以替代大企业的网络接入保护技术。

AD:

【51CTO.com 独家翻译】2007年微软发布了具有支持IPsec的Windows Vista操作系统,与此同时Windows 2008也即将发布,我们不难看出当今企业更应该注重IPsec的能力,因为IPsec完全有能力替代小公司传统的网络访问控制技术,也可以替代大企业的网络接入保护技术。

从Windows 2000 开始,IPsec的已包含在每一个微软的Windows桌面操作系统和服务器操作系统里面,虽然Windows已经成为了主流操作系统,但是奇怪的是很多公司都不去使用Windows自带的IPsec技术,更多的IT专业管理人员只是把IPsec理解为在做VPN配置时的一个远程连接选项。

微软员工说:“大家条件反射般的认为IPsec是用于VPN的,我们要努力的打开IPsec这把锁,真正的发挥IPsec的价值”。

IPsec不但可以用到VPN上,它也可以做基本的包过滤,对目的IP地址和源IP地址进行限制,还可以控制网络端口。

IPsec能保护未经网络认证的非法主机对Windows主机之间进行的通信。这项认证是基于Kerberos ,证书,或预共享密钥,并且具有可选择性,它也可以执行加密功能,来保证端点之间的通信安全。

通过把管理终端与联合管理机器中域隔离,微软认为这是最简单的保护服务器的方法,在2004年,微软在自己的企业网络中部署IPsec,来保护超过20000个系统。

12月Ponemon研究所和deloitte&touche公司公布的一项调查发现,有85%的企业至少存在有一个安全漏洞,在过去的12个月里,有63%的企业遭受到6到20次的员工资料被泄露。

使用IPsec能有效防止未经认证的主机与正常主机的通信,从而更好的管理Windows主机。有些恶意攻击通过远程访问有缺陷的Windows主机,企图夺取管理控制权,但是这些都是无用的,因为当发现那些没有通过域认证的机器试图访问网络的时候,IPsec将自动阻断它的连接。

如果你的公司计划进行实施部署新的NAC(网络访问控制),IPsec应该是你要考虑的一个重要因素。虽然NAP(网络访问保护)能够对主机进行免疫,但是如果再配合上IPsec可以更好的保护DHCP,VPN和802.1x网络。

使用NAP和IPsec来检查发现不符合规定的Windows端点,一旦启用IPsec来处理后就只允许合法主机和NAP服务器会话。一旦端点通过正常检查,认证服务器给该主机发放一个证书,证明该主机是合法主机。通过做IPsec策略来允许合法端点和其他管理主机的通信。

为什么IPsec如此强大,却不能被广泛使用呢?问题的答案就是IPsec的历史。因为以往大家普遍认为VPN技术只能靠微软的特有技术IPsec来配置。事实上,在做之前都需要先配置Windows自带的防火墙,这就很容易造成一些冲突。

微软认识到这些问题以后,微软与实际相结合在2006年更新了针对Windows xp和2003 服务器版本的IPsec策略。在Vista和Server 2008的Windows防火墙里面都增加了IPsec配置。这是不是有些晚了呢,是不是很难扭转用户对IPsec过去的认识?只有时间来告诉我们这个答案。

基于Windows的IPsec ,也可能被微软视为中心解决方案,但是它并不能涉及扩展到到其他平台,如Linux和Mac OS x。去年5月,微软的开放源代码软件(OSS )实验室完成了IPsec在Liux和Vista之间的互操作性测试。在这项测试中,建立了Linux与Vista的端点认证,利用证书和预共享密钥进行了加密通讯。这项测试最终有可能使Linux系统与Windows主机共存于一个IPsec的域,或服务器隔离环境里面。但是到目前为止,还没有发现和MAC os系统上有类似的测试。

如果你的IT供应商还用过去的眼光看待IPsec,虽然以前曾经也关注过IPsec,但是最终还是放弃了对它的支持。现在这个技术已经提高了。IPsec就包含在Windows系统里面,并不收取任何费用。我们对服务器进行隔离,增加域安全性,防止违规主机对数据进行篡改而造成不必要的麻烦。这将是一个伟大的开始,从Vista产品到Windows 2008 服务器版和Windows xp的sp3都会全面支持IPsec。

【51CTO.COM 独家翻译,转载请注明出处及译者!】

【责任编辑:赵毅 TEL:(010)68476606】



分享到:

热点职位

更多>>

热点专题

更多>>

读书

Visual C# 2005技术内幕
本书提供了.NET框架下C#编程的详尽指南。书中详细介绍了.NET框架中的核心概念、使用GDI+编写高级用户界面、多线程程序设计、使

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院