您好,欢迎访问三七文档
当前位置:首页 > 电子/通信 > 综合/其它 > 第十二章使用IPSEC和证书保护网络通信
网络基本架构的实现和管理——WindowsServer2003网络基本架构的实现和管理第1章了解TCP/IP协议组第2章在多子网网络中分配IP地址第3章使用路由和远程访问配置路由第4章配置客户端IP地址第5章使用DHCP分配IP地址第6章管理和监视DHCP第7章解析名称第8章使用DNS解析主机名第9章管理和监视域名系统第10章安装和配置WindowsInternet名称服务第11章找出一般连接性问题第12章使用IPSec和证书保护网络通信第13章配置网络访问第14章管理并监视网络访问第12章使用IPSec和证书保护网络通信实现IPSec用证书实现IPSec监视IPSecIPSecIPSec保护通信的方法IPSec安全策略IPSec策略协同工作原理平衡安全性和性能的指导方针在计算机上指派IPSec策略或取消其指派的方法课堂练习实现IPSec实现IPSec12.1实现IPSec网络攻击的常见类型窃听数据修改标识伪造(IP地址伪造)基于密码的攻击“拒绝服务”攻击中间人攻击泄露密钥攻击探测器攻击应用程序层攻击12.1.1IPSec预防攻击IPSec(InternetProtocolsecurity,Internet协议安全性)可以大大减少或者防止下列攻击:探测器(缺少保密性)数据修改欺骗基于密码的以及应用程序层的攻击中间人攻击“拒绝服务”攻击12.1.1IPSec多媒体IPsec在网络基础架构中的作用该演示描述了如何通过使用IPSec来确保IP网络中专用通信的安全性完成多媒体后,可以:解释IPSec描述IPSec的工作原理描述IPSec策略的工作原理IPSecIPSec的作用:IPSec是工业标准,在IP数据包层检验、验证身份和加密数据。IPSec提供数据在网络传输时的安全性在通信前和通信时进行双重验证IP通信量编码的机密性通过丢弃修改的通信量保证IP通信量的完整性阻止重播攻击12.1.1IPSecIPSec保护通信的方法TCP层IPSec驱动程序TCP层IPSec驱动程序加密的IP数据包3安全关联协商(ISAKMP)2IPSec策略IPSec策略1ActiveDirectory12.1.2IPSec保护通信的方法IPSec驱动程序IP数据报IPSec驱动程序安全的数据报网络IPSec筛选器列表检查是否匹配12.1.3IPSec安全策略IPSec安全策略IPSec通过规则和策略实现网络通信量的安全性规则的组成:筛选器筛选器操作验证方法12.1.3IPSec安全策略筛选器IPSec安全策略12.1.3IPSec安全策略IPSec安全策略筛选器操作:允许通信(允许)阻止通信(阻止)协商IPSec(协商安全)12.1.3IPSec安全策略IPSec安全策略筛选器操作12.1.3IPSec安全策略IPSec安全策略身份验证方法:KerberosV5协议:适用于由Windows2000或者WindowsServer2003域或者受信任的ActiveDirectory域进行身份验证的计算机证书:需要证书授权中心预共享密钥:预共享的密钥以明文方式存储,因此安全性较差12.1.3IPSec安全策略IPSec安全策略验证方法12.1.3IPSec安全策略IPSec在计算机间的安全通信配置使用IPSec的传输模式在系统间推荐使用IPSec策略支持Windows2000、WindowsXP和WindowsServer2003提供“端到端”的安全传输模式是默认的IPSec模式计算机之间的通信安全WindowsXPWindowsServer200312.1.3IPSec安全策略IPSec在网络间的安全通信配置使用IPSec的隧道模式在Internet通信中推荐使用IPSec策略支持主要的遗留程序支持“点到点”的安全在两个路由器上指派隧道终结点基于Windows2003的服务器/路由器基于Windows2003的服务器/路由器网络间的安全通信路由器路由器12.1.3IPSec安全策略选择IPSec加密方案选择身份验证加密方案:身份验证加密SHAMD5数据包加密56位DES40位DES3DES12.1.3IPSec安全策略IPSec安全策略默认策略包括:客户端(只响应)服务器(请求安全)安全服务器(需要安全)12.1.3IPSec安全策略IPSec策略协同工作原理未指派策略客户端(只响应)服务器(请求安全)安全服务器(需要安全)未指派策略没有IPSec没有IPSec没有IPSec没有通信客户端(只响应)没有IPSec没有IPSecIPSecIPSec服务器(请求安全)没有IPSecIPSecIPSecIPSec安全服务器(需要安全)没有通信IPSecIPSecIPSec12.1.4IPSec策略协同工作原理平衡安全性和性能的指导方针找到正确的平衡要求:评估风险并为本组织确定正确的安全级别标识重要的信息决定在现有组织中实现策略的最佳方式确保管理和技术的要求到位根据用户的需要,为所有用户提供对适当资源的安全而有效的访问12.1.5平衡安全性和性能的指导方针推荐的IPSec方案数据包筛选保护特定的主机对主机的通信安全保护客户端到服务器的通信安全VPN连接中使用L2TP/IPSec隧道以隧道模式为网关到网关的隧道使用IPSec12.1.6在计算机上指派IPSec策略或取消其指派的方法不推荐的IPSec方案保护域成员和域控制器之间的通信安全因为IPSec策略配置和管理的复杂性保护网络中所有通信的安全因为IPSec无法实现多播和广播通信的安全12.1.6在计算机上指派IPSec策略或取消其指派的方法在计算机上指派IPSec策略或取消其指派的方法演示:添加IP安全管理控制台,指派或者不指派IPSec本地策略指派或者不指派基于ActiveDirectory组策略的IPSec策略12.1.6在计算机上指派IPSec策略或取消其指派的方法课堂练习实现IPSec目的:指派IPSec策略12.1.7课堂练习实现IPSec第12章使用IPSec和证书保护网络通信实现IPSec用证书实现IPSec监视IPSec用证书实现IPSec证书证书的常见用法在IPSec中使用证书来保护网络通信的原因配置IPSec以使用证书的方法课堂练习用证书实现IPSec12.2用证书实现IPSec证书X.509证书,有时也称为数字证书,是一种电子凭据,它通常用于身份验证,也常用来保护在Internet、外部网和内部网等开放性网络中进行的信息交换证书:将公钥的值绑定到持有对应私钥的实体通过证书颁发机构颁发的数字签名确认给出证书的个人、计算机或者服务的身份包括关于颁发者和主题的详细信息12.2.1证书证书的常见用法Internet验证文件加密系统安全E-Mail软件代码签名智能卡登录数字签名IP安全12.2.2证书的常见用法在IPSec中使用证书来保护网络通信的原因配置IPSec使用证书:允许企业之间通过信任相同的CA机构进行通信通过Kerberos协议和预共享密钥实现更高级别的安全性允许不支持ActiveDirectory结构或者不支持Kerberos协议的客户端实现安全性IP安全12.2.3在IPSec中使用证书来保护网络通信的原因多媒体演示证书注册演示的目的:高度概述证书注册完成多媒体后,能够:解释证书注册描述证书注册的工作原理配置IPSec以使用证书的方法演示:配置IPSec使用证书12.2.4配置IPSec以使用证书的方法课堂练习用证书实现IPSec目的:用证书实现IPSec12.2.5课堂练习用证书实现IPSec第12章使用IPSec和证书保护网络通信实现IPSec用证书实现IPSec监视IPSec监视IPSecIP安全监视器监视IPSec策略的指导方针停止和启动IPSec服务的方法查看IPSec策略的详细信息的方法课堂练习监视IPSec12.3监视IPSecIP安全监视器通过IP安全监视器查看IPSec策略的详细信息:活动IPSec策略的详细信息名称描述上次修改的日期存储路径组织单元和组策略名称主模式统计信息Internet密钥交换快速模式统计信息关于IPSec驱动程序的信息12.3.1IP安全监视器监视IPSec策略的指导方针帮助找出通信问题的方法:停止计算机里的IPSec策略代理,然后使用Ping命令验证计算机之间的通信重新启动IPSec策略代理服务并使用IPSec监视器来确认计算机间已建立了安全关联。确保IPSec有效通过IP安全策略管理器验证策略已指派给计算机通过IP安全策略管理器回顾策略,并且确保它们之间是兼容的重启IP安全监视器确保所有更新已应用12.3.2监视IPSec策略的指导方针停止和启动IPSec服务的方法演示:通过Windows界面停止和启动IPSec服务通过命令提示符停止和启动IPSec服务12.3.3停止和启动IPSec服务的方法查看IPSec策略的详细信息的方法演示:通过IPSec安全监视器查看IPSec活动策略的详细信息通过IPSec安全监视器查看IPSec活动策略主模式的安全关联12.3.4查看IPSec策略的详细信息的方法课堂练习监视IPSec目的:监视IPSec12.3.5课堂练习监视IPSec实验保护网络通信目的:实现网络通信量的安全性回顾学习完本章后,将能够:了解IPSec的概念和管理配置能够为IPSec配置证书随堂练习1看下图:随堂练习1(续)你是公司的网络管理员,公司的网络包含一个活动目录域ShiXun.com。所有的服务器使用的操作系统为WindowsServer2003,所有的客户端计算机运行的是WindowsXPProfessional。所有的计算机都是域的成员。SecureServer(RequireSecurity)IPSec安全策略分配至一个名为ShiXun2的文件服务器。用户反映说无法访问ShiXun2的共享文件,用户在IPSec策略执行以前是可以访问ShiXun2的共享文件的。你需要确保域中的所有的客户端计算机都可以访问ShiXun2的共享文件。你必须确保客户端和ShiXun2的所有的通信都是加密的。随堂练习2你是公司的网络管理员,公司的网络包含一个单独的活动目录域ShiXun.com。在执行网络监听的过程中,你发现存储在ShiXun8中的机密文件在传输的过程中没有被加密。你必须确保ShiXun8中的机密文件在存储或在网络传输的时候一直是加密的,你应该怎么做?(两个答案)随堂练习2(续)A.允许ShiXun8的机密文件脱机使用,在需要访问机密文件的用户的电脑中选中加密脱机文件为安全数据的复选框B.在ShiXun8和需要访问机密文件的用户的客户计算机之间使用IPSec加密方法C.在ShiXun8和需要访问机密文件的用户的客户计算机之间使用ServerMessageBlock(SMB)D.在ShiXun8上关闭所有的LMandNTLMauthenticationE.利用IIS来发布机密文件,在IIS服务器上开启SSL,使用Web文件夹的方式打开文件随堂练习3你是一个活动目录域的管理员,所有的服务器使用的操作系统为WindowsServer2003,所有的客户端计算机使用的操作系统为WindowsXPProfessional,所有的计算机都在域中。公司有一个主办公室和一个分办公室。在公司的一个分办公室中,有一个网络管理员John利用远程桌面将SecureServer(RequireSecurity)IPSec策略分配置一个域控制器DC2。John反映说他无法远程桌面连接至DC2在一个分办公室的一台客户端计算机上,你运行了pingdc2命令接收到了一个信息,你对DC2没有物理访问权限。随堂练习3(续)你希望对所有的用户重置对DC2的资源的权限。你需要远程的改变所有的设置。你需要怎么做?(两个答案)A.利用服务控制台连接至DC2并且终止IPSecServices服务B.利用IPSecurityMonitor连接至DC2C.运行netstopipsecs
本文标题:第十二章使用IPSEC和证书保护网络通信
链接地址:https://www.777doc.com/doc-319847 .html