精华内容
下载资源
问答
  • 什么又是逻辑隔离以太网呢?我们该如何判断逻辑隔离与物理隔离呢?接下来就让飞畅科技的小编一起来看看吧! 什么是物理隔离: 所谓“物理隔离”是指2个或多个网络没有相互的数据交互,没有物理层/数据链路层/IP层等...

    现如今,随着以太网的广泛应用,在很多领域,比如说电力、银行、公安、部队、铁路、大型企事业单位专网有广泛物理隔离的以太网接入需求,但是什么是物理隔离以太网呢?什么又是逻辑隔离以太网呢?我们该如何判断逻辑隔离与物理隔离呢?接下来就让飞畅科技的小编一起来看看吧!

    什么是物理隔离:
    所谓“物理隔离”是指2个或多个网络没有相互的数据交互,没有物理层/数据链路层/IP层等层级上的接触。物理隔离的目的是保护各个网络的硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。比如内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。

    什么是逻辑隔离:
    逻辑隔离器也是一种不同网络间的隔离部件,被隔离的两端仍然存在物理层/数据链路层上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离,市面上的网络光端机/交换机的逻辑隔离一般过通过划VLAN(IEEE802.1Q)组的方式来实现;
     
    VLAN相当于OSI参考模型的第二层(数据链路层)的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,实现两个不同VLAN分组网络端口的隔离。

    以下为逻辑隔示意图:

    以上的图为逻辑隔离的 1 光4电光纤收发器的示意图:4个以太网通道(百兆或千兆)类似于高速公路的的4车道,进入隧道,隧道是单车道的 ,是隧道出来后又是4车道,1光4电的百兆逻辑隔离光纤收发器,其光口也为百兆,带宽是100M,所以4路百兆进来的网络数据,要在百兆光纤通道上排排对进去,出来时,再排排对,出到自己对应的车道上;所以此方案中网络数据在光纤通道中是混在一起的,根本没有隔离开来;

    以下为物理隔离示意图:

    以上的图为物理隔离的 1 光 4 电光纤收发器的示意图:4 个以太网通道(百兆或千兆)类似于 高速公路的 4车道,进到一个隧道,隧道也是 4车道的,隧道出来后又是4车道,物理隔离的,比如1光4电的百兆物理隔离光纤收发器,其光口带宽也为4*100M,所以4路百兆进来的数据,进到光纤通道,也是 4 车道,相互隔离,都在自己对应的车道上;

    物理隔离相对于逻辑隔离的优势:
    1、每个网络都是独立的通道,相互没有影响,数据没有交互;
    2、每个网络都是独立的通道带宽,进来多少带宽,在传输通道中就有多少带宽;

    好了,以上就是飞畅杭州科技为大家整理的关于逻辑隔离与物理隔离的理解与区别这个问题的相关介绍,希望你看过之后能对你有所帮助。飞畅科技专注PDH/SDH光端机、多业务电话光端机,物理隔离网络光端机,工业以太网交换机,光纤收发器,光纤猫、协议转换器,PCM语音接入,TDMoverIP、工业接口传输转换,视频光端机等传输入与接入设备的研发、生产和销售,欢迎了解更多。

    展开全文
  • 内外网隔离实现

    千次阅读 2019-05-14 16:51:52
    通过路由器或交换机实现逻辑隔离 通过第三方网络管理类软件实现逻辑隔离。 客户端访问外网原理: WAN:接外部 IP 地址用,通常指的是出口,转发来自内部 LAN 接口的 IP 数据包,这个口的 IP 是唯一的。LAN:接...

    查阅很多资料内外网隔离可以通过多种方式实现,主要有以下几种:

    • 通过安装部署物理网卡实现物理隔离

    • 通过路由器或交换机实现逻辑隔离

    • 通过第三方网络管理类软件实现逻辑隔离。

    首先我们要弄清客户端访问网络的原理

    客户端访问外网原理:

    在这里插入图片描述
    WAN:接外部 IP 地址用,通常指的是出口,转发来自内部 LAN 接口的 IP 数据包,这个口的 IP 是唯一的。LAN:接内部 IP 地址用,LAN 内部是交换机。
    A 电脑的 IP 是局域网 IP(192.168.31.11),这个 IP(192.168.31.11)是从路由器的 lan口分配的。
    当我们上百度的时候,经过路由器的 wan口,进行相应的IP、端口转化:192.168.31.11:80 -> 10.221.0.24:8080,所以,从 wan口出去的地址为:10.221.0.24:8080。

    这里写图片描述

    最后,经过运营商,运营商那边会做相应的端口映射(而且是动态端口映射),子网 IP(10.221.0.24:8080)转化为公网IP(128.0.0.1:8888),通过这个公网 IP 去访问百度服务器

    在这里插入图片描述
    同理,B 的过程也是一样。通过这样的层层端口映射,最终保证地址(IP + 端口)的唯一性。A 和 B 访问百度服务器,尽管它们的局域网 IP 是一样的,但是最终它们访问百度的地址(IP + 端口)是唯一的,所以,百度服务器回复时,原路返回时能够区分到底给谁回。

    windows下route命令,查看设置路由相关信息(IP、网管、子网掩码)

    route print打印一下网络连接情况
    route -f 清除
    route -p add mask 等命令

    不同网段的ip地址如何才能互通?

    这里就需要使用到三层设置,普通的二层交换机无法实现。
    一种是通过三层交换机进行设备,在三层交换机上设置不同的VLAN网关;
    一种是通过路由器来进行连接,在路由器上通过子接口的模式来设置。
    1.三层交换机
    不同的网关地址需要相互通信,需要在三层交换机上建立网关;
    网关均在同一个三层交换机之上,设备会默认建立路由,不同网段设备可以进行通信;
    为了电脑方便的获得地址,可以在三层交换机上建立不同网段的DHCP服务器。
    在这里插入图片描述
    2.路由器
    路由器使用的是子接口的模式,来实现不同的地址段通信;
    在不同的子接口中,设置不同的网段网关地址;
    不同的路由器,支持的子接口数量不同,但一般足够满足想要划分的子接口。
    在三层交换机和路由器中,均可以通过“show ip route”命令,来查看默认建立的路由。
    电脑端通过路由器或交换机的DHCP服务器获得IP地址;
    不同网段的设备,可以进行相互通信,此种做法常用于大型企业不同VLAN间的通信。

    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述
    待定:https://blog.csdn.net/bootleader/article/details/82026140

    转自:https://blog.csdn.net/qq_33314107/article/details/80900448

    参考:http://www.360doc.com/content/18/0830/21/58249630_782513442.shtml

    展开全文
  • 1.1 【逻辑隔离方案概述】: 其包含两种隔离,分别为: ●服务器隔离方案:: 确保服务器仅接受来自受信任的域成员或特定一组域成员的网络连接; ●域隔离方案: 用于将域成员与不受信任的连接隔离。 这两个解决方案...

    一、隔离方案

    1.1 【逻辑隔离方案概述】:

    其包含两种隔离,分别为:

    服务器隔离方案:: 确保服务器仅接受来自受信任的域成员或特定一组域成员的网络连接;

    域隔离方案: 用于将域成员与不受信任的连接隔离。

    这两个解决方案可作为整体逻辑隔离解决方案的一部分单独使用或配合使用。该解决方案的核心是,允许 IT 管理员限制“作为受信任计算机的域成员”的 TCP/IP 通信,这些受信任的计算机可以被配置为仅允许来自其他受信任计算机或者特定一组受信任计算机的传入连接; 通过使用 Active Directory® 组策略来控制网络登录权限,从而实现逻辑上隔离,还可集中管理访问控制。

    上述方案中, IPsec工作在应用层之下的网络层,它在计算机之间以端到端方式提供身份验证功能以及逐个数据包的安全性;对网络通信流进行身份验证或者进行身份验证并加密。本逻辑隔离解决方案可有效地限制了不受信任计算机访问受信任资源的能力,不受信任计算机进行的恶意软件攻击不会得逞,这是因为不允许进行连接,即使攻击者获得了有效用户名和密码。另外,受管计算机之间的所有网络通信流进行加密,通信更加安全;

    另外,所谓隔离概念在本方案中是指任何特定的受信任主机决定谁对其有网络级访问权限的能力。远程计算机必须使用 IPsec 来协商信任并确保端到端的 TCP/IP 通信流与目标计算机的安全。

    应允许仅从其他受信任资源对受信任资源(在默认情况下)进行网络级别的访问。 此外,通过对受信任环境中的特定用户和计算机使用允许或拒绝权限及 ACL 来控制网络层的访问。

    域环境中,通过限制入站网络访问,基于使用 IPsec Internet 密钥交换 (IKE) 安全协商协议的域成员计算机身份实现成功验证来----隔离远程计算机。 仅在计算机身份验证已成功验证通过并且 IPsec 安全关联 (SA) 保护所有上层协议和两台计算机之间的应用程序连接之后才涉及用户身份验证,以进行第二层的验证。但不支持对域控制器的用户登录通信流的 IPsec 保护。本解决方案仅取决于基于 IPsec IKE 域 (Kerberos) 的成功的身份验证以建立信任并由此建立 IPsec 保护的连接。

    逻辑隔离层的安全的直接目的在于通过控制网络通信确保主机的安全。 类似于基于主机的防火墙的任务。但主机防火墙是对端口提供允许和阻止服务,而 IPsec 提供允许和阻止服务并协商受信任网络访问服务。 授予访问权限之后,IPsec 可确保两台计算机之间的所有数据包的安全。

    使用 IPsec 的优势之一在于它可以为现有的应用程序提供网络通信流安全而无需更改这些应用程序,且可以配合SSL/TLS 一起使用。IPsec 可确保源和目标 IP 地址之间的通信流的安全。本隔离方案使用域成员间的 IKE 身份验证Kerberos 协议签名代替基于证书的签名。 Windows IPsec IKE 协商使用 Kerberos 协议和基于证书的身份验证建立了计算机间的相互信任。

    隔离方案中的几个概念:

    域隔离: 此术语定义将受信任计算机从不受信任计算机中分离的隔离类型。 计算机只需提供有效的凭据和使用 IKE 成功进行身份验证即可进行隔离。 此域是可通过试图确保其通信安全的两台主机间的双向信任可访问的信任路径中的任何域。

    服务器隔离: 此术语定义服务器如何限制对受信任计算机的特定组使用 IPsec 和“从网络访问此计算机”权限进行入站访问。

    隔离组: 受信任主机的逻辑分组,受信任主机共享相同的通信安全策略、主要是共享相同的入站和出站网络通信流要求。 可通过 IPsec 策略本身使用允许和阻止操作,实施隔离组的入站和出站访问控制,或通过将 IPsec 协商安全和组策略网络登录权限一起使用来实施(还可能使用其他网络配置或连接设置)。

    隔离域: 组中的成员身份与 Windows 域中的成员身份相同的隔离组。 如果域有双向受信任域,则那些域的成员是隔离域的一部分。 作为隔离组,入站和出站要求很简单:入站连接只可来自其他受信任的主机域成员。 在服务器隔离组中的服务器可能包括一些客户端是被隔离域的一部分。

    网络访问组: 用于控制对计算机的网络访问的 Windows 域安全组,方法是使用网络登录权限组策略安全设置。 这是专门为实施隔离组的入站访问要求而创建的。 每个隔离组可能都有“允许”网络访问组 (ANAG) 和“拒绝”网络访问组 (DNAG)。

    域信任: 暗示域的所有成员都信任域控制器建立身份并为该身份提供正确的组成员信息。 信任对于通过使用 IPsec 与远程计算机进行通信是必要的。 信任还意味着与其通信的用户或计算机被视为可接受并且风险可能也很低。
    免除:可理解为白名单, 不使用 IPsec(不论是否加入域)的计算机。 免除分为两种类型。 一种是使用静态 IP 地址的计算机,其地址包括在 IPsec 策略“免除列表”中以便受信任主机不将 IPsec 与这些计算机配合使用。 另一种是不使用 IPsec 策略协商安全连接的计算机。 后一种计算机可能出现在免除列表中,也可能不出现在免除列表中。 免除计算机可能符合受信任主机的要求,但不将 IPsec 保护的通信与隔离域中的其他受信任主机配合使用。

    参考官网地址:https://docs.microsoft.com/zh-cn/windows-server/security/security-and-assurance

    1.2 IPsec创建和配置

    创建IPsec 规则,其确定 了IPsec 必须对哪些类型的通信流进行检查;是允许通信流、阻止通信流还是协商安全性;如何对 IPSec 对等方进行身份验证;IPsec 规则通常是针对特定用途(例如,“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”)配置的。

    配置 IPsec 规则时,您可以配置筛选器列表,该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式(传输模式或隧道模式)。

    筛选器定义了要检查的通信流(这与防火墙规则类似)以及源和目标 IP 地址、协议和端口号;可以配置筛选器操作以允许通信流、阻止通信流或协商安全性(协商 IPsec)。 如果将筛选器操作配置为协商安全性,则还必须配置各种密钥交换安全措施(以及这些方法的优先顺序)、是否接受最初传入的无安全保护的通信流、是否允许与不支持 IPsec 的计算机进行无安全保护的通信以及是否使用完全向前保密 (PFS)。筛选器操作定义了网络通信流的安全性要求。筛选器列表仅仅是已知子网和基础结构 IP 地址的清单。

    密钥交换设置和密钥交换安全措施确定了 IPsec 协议线格式(验证头 (AH) 或封装式安全措施负载 (ESP))、加密和哈希算法、密钥生存期以及配置 Internet 密钥关联 (IKE) 主模式和 IPsec 安全关联 (SA) 所必需的其他设置。 SA 是与密钥资料相关联的安全性设置协议。 在第一次 IKE 协商阶段创建的 SA 被称为 IKE 主模式 SA(亦称为 ISAKMP 主模式 SA)。 IKE 主模式 SA 对 IKE 协商本身进行保护。 在第二次 IKE 协商阶段创建的 SA 被称为 IPsec SA(亦称为 IKE 快速模式 SA,这是因为每个 IKE 快速模式协商都为每个方向进行 IPsec SA 协商)。 IPsec SA 对应用程序通信流进行保护。

    IPsec 筛选器被插入到计算机上的 TCP/IP 网络协议堆栈的 IP 层,因此这些筛选器可以对所有入站或出站 IP 数据包进行检查(筛选),而对于最终用户应用程序和操作系统服务来说是透明的。筛选器依据 IPsec 策略中的安全性规则与相应的筛选器操作相关联。 Windows IPsec 同时支持将 IPsec 隧道模式和 IPsec 传输模式用作此规则的选项。 IPsec 隧道模式规则的配置与 IPsec 传输模式规则的配置有很大差异。与 IPsec 策略相关联的筛选规则与防火墙规则类似。 通过使用 IP 安全策略管理 Microsoft 管理控制台 (MMC) 管理单元提供的图形用户界面 (GUI),可以将 IPsec 配置为根据源与目标地址组合以及特定协议和端口来允许或阻止特定类型的通信流。

    注:Windows IPsec 并不是功能全面并基于主机的防火墙,它也不支持动态筛选功能或有状态筛选功能,

    IPsec 监视器 MMC 管理单元提供了最详细的 IPsec 筛选器顺序视图。 当 IPsec 服务处理一组 IPsec 策略规则时,筛选器被复制为两类筛选器,从而对 IKE 协商的两个阶段进行控制:

    1> IKE 主模式筛选器。 这些筛选器仅使用 IPsec 策略中定义的筛选器源地址和目标地址来控制 IKE 主模式。 专用于 IKE 主模式的筛选器每个都有与之相关的 IKE 主模式协商策略,该策略定义了:

    •使用密钥交换设置为 IPsec 策略定义的 IKE 主模式安全措施,例如 Diffie Hellman 主密钥强度和用于保护 IKE 协商本身的加密算法与完整性算法。
    •IKE 主模式生存期以及对根据同一主密钥生成的会话密钥数的限制。
    •身份验证方法。

    2> IKE 快速模式筛选器。 这些筛选器包含有关地址、协议和端口的全部筛选器信息。 IKE 快速模式对此筛选器定义进行协商,以确定在 IPsec 安全关联对内部可以对哪些通信流进行保护。 每个特定的筛选器都有相应的权值和一组安全措施,这些安全措施定义了:

    •传输模式或隧道模式下的 AH 或 ESP 封装选项。
    •加密算法与完整性算法列表。
    •IPsec 安全关联的生存期(以千字节和秒计)。
    •完全向前保密安全设置。
    注:专用于 IKE 快速模式的筛选器就是对 IPsec 驱动程序指定的要强制实施的那些筛选器。 IPsec 驱动程序按照最高权值指定的顺序来将所有入站和出站 IP 通信流与这些筛选器进行匹配。

    【IKE 协商过程】
    IPsec 策略中定义的筛选器之所以被看作“一般”筛选器,是因为它们可能已在该策略应用时被 IPsec 服务解释。 在计算机上应用(或更改)IPsec 策略时,IPsec 服务将所有的一般筛选器解释为特定的筛选器。 特定的筛选器具有内置的计算权值的算法或顺序,在选择通信流时,顺序也被称为筛选器的特定程度。 权值越大,筛选器就越特定。 所有这些特定筛选器都根据它们的权值排序。 筛选器权值是依次根据筛选器中可能定义的 IP 地址、协议和端口计算的。 这种方法确保策略中的规则顺序、每个不同筛选器列表中的筛选器顺序,不会对 IPsec 驱动程序在数据包处理期间强制实施的筛选行为产生影响。 数据包首先与最特定的筛选器进行匹配,从而最大程度地缩短根据全部筛选器处理每个数据包所需的时间。 与某个数据包相匹配的最特定筛选器所对应的筛选器操作就是对该数据包执行的唯一操作。 可以定义的最具一般性的筛选器就是与任何 IP 地址、所有协议和端口都匹配的那些筛选器。 例如,请考虑以下四个筛选器定义:

    •任何 IP 地址 <-> 任何 IP 地址,任何协议 //定义的最一般的筛选器。通常与阻止操作配合使用以实现默认行为“全部拒绝”。如果使用此筛选器来阻止全部通信流,则其余更特定的筛选器可以被看作第一个筛选器的例外情况,应该避免使用指定了“任何 IP 地址到任何 IP 地址”的筛选器。

    •任何 IP 地址 <-> 192.168.1.0/24,任何协议

    •任何 IP 地址 <-> 192.168.1.0/24,任何协议

    •任何 IP 地址 <-> 192.168.1.10/24,任何 TCP 源端口,目标端口为 25

    上述筛选器匹配工作流程:

    如果使用 TCP 端口 25 从任何 IP 地址到 192.168.1.10 的入站通信流以及从端口 25 发出的相应出站响应,全部四个筛选器都匹配。 由于第四个筛选器指定了目标 IP 地址、协议和端口号,所以它最为特定。 如果 IPsec 驱动程序强制实施全部这四个筛选器,则发往 TCP 端口 25 的入站数据包将只与第四个筛选器(也就是最特定的筛选器)匹配。 如果远程系统使用除端口 25 以外的其他端口来向 192.168.1.10 发送 TCP 通信流,则此通信流与第三个筛选器匹配。 最后,如果通信流被发送到 192.168.1.0 子网中除 192.168.1.10 以外的任何 IP 地址,则第二个筛选器对于该通信流来说就是最特定的筛选器。

    一般来讲,策略包含的筛选器越多,对数据包处理性能的影响就越大。 这方面的性能影响通常表现为吞吐量下降、非页面缓冲池内核内存及 CPU 负载提高;因此,在进行规划时,应该考虑对 IPsec 策略设计进行性能测试。 除了在吞吐量非常高的计算机上,几百个筛选器的影响是不大可能被注意到的。
    IPsec 策略可以使用大量的筛选器。 使用了通用数据包分类器 (GPC) 驱动程序对具有“从 <IP 地址> 到 <IP 地址>”格式的筛选器(协议和端口不限)进行优化,因而查找速度极快。 GPC 几乎可以处理任意数目的这些筛选器,而吞吐量不会降低。 因此,倘若有足够的非分页内核内存来容纳整个筛选器列表,就可以很容易地支持使用“我的 IP 地址到 <特定免除 IP 地址>”格式的大型免除列表。 GPC 无法优化源和目标不具有特定 IP 地址的筛选器,这意味着“任何 IP 地址 <-> 特定 IP 地址(或子网)”筛选器将要求执行顺序搜索。

    当允许或拒绝发往特定端口或协议的通信流时,可能最适合使用“我的 IP 地址”。 例如,在 Woodgrove Bank 的 IPsec 策略设计中,使用了“我的 IP 地址”筛选器创建了一个更特定的筛选器,该筛选器允许在所有计算机之间使用明文收发 Internet 控制消息协议 (ICMP) 通信流。

    IKE 协商过程
    设计 IKE 协议的目的是为了帮助在每台计算机之间安全地建立信任关系、协商安全性选项以及动态生成共享的、加密密钥资料。 为了确保能够成功并且安全地进行通信,IKE 执行两阶段的操作:第一阶段(主模式)协商和第二阶段(快速模式)协商。 在每个阶段,通过使用两台计算机在安全协商期间认可的加密算法和身份验证算法,使机密性和身份验证得到保障。

    IKE 主模式 SA 和 IPsec SA

    每次使用 IPsec 来帮助保护通信流安全时,就会建立一个 IKE 主模式 SA 和两个 IPsec SA。 在示例方案中,为了在 A与 B之间进行受 IPSec 保护的通信,建立了下列 SA:

    A站[IP1] <-------- IKE main mode SA [IP1, IP2] -----> [IP2] B站

    A站 [IP1] ---------- IPsec SA [SPI=x] ------------------> [IP2] B站

    A站 [IP1] ---------- IPsec SA [SPI=x] ------------------> [IP2] B站

    主模式协商:在主模式协商期间,两台计算机建立安全并且经过验证的通道。 首先,对下列 IPsec 策略参数进行协商:加密算法(DES 或 3DES)、完整性算法(MD5 或 SHA1)、用于基本密钥资料的 Diffie-Hellman 组,及身份验证方法(Kerberos V5 协议、公钥证书或预共享密钥)。 在对 IPsec 策略参数进行协商后,公用值的 Diffie-Hellman 交换就完成了。 Diffie-Hellman 算法用来生成计算机之间的共享密钥、对称密钥和加密密钥。 Diffie-Hellman 交换完成后,每台计算机上的 IKE 服务都生成用于帮助保护身份验证的主密钥。 配合协商算法和协商方法,主密钥用来验证身份。 然后,通信的发起方将潜在的 SA 提供给响应方。 响应方发送接受该内容的回复或者其他回复。 成功的 IKE 主模式协商将得到主模式 SA。

    快速模式协商在快速模式协商期间,建立一对 IPsec SA 来帮助保护应用通信流,此通信流可以包括通过 TCP、用户数据报协议 (UDP) 以及其他协议发送的数据包。 首先,对下列策略参数进行协商:IPsec 协议线格式AH 或 ESP)、用于确保完整性和进行身份验证的哈希算法(MD5 或 SHA1)以及在要求进行加密时要使用的加密算法(DES 或 3DES)。 在此期间,达成一个有关在所建立的 IPsec SA 对中传送的 IP 数据包类型的公共协议。 IPsec 策略参数协商完毕后,就会刷新或交换会话密钥材料(每种算法的加密密钥和密钥生存期,分别以Kb和秒计)。

    每个 IPsec SA 都由安全参数指数 (SPI) 标识,后者将被插入到所发送的每个数据包的 IPsec 标头中。 一个 SPI 标识入站 IPsec SA,另一个 SPI 标识出站 IPsec SA。

    上述案例中,A站 与 B站之间的 IKE 主模式 SA 是双向的。 两台计算机都可以通过使用 IKE 主模式 SA 提供的保护来启动快速模式协商。 IPsec SA 不依赖于上层协议的状态。 例如,建立和结束 TCP 连接时,IPsec SA 的工作不会中断,并且 IPsec SA 可以在 TCP 连接结束前到期。 在现有 IPsec SA 对的生存期过期前,IKE 将尝试使用快速模式协商建立两个新的 IPsec SA 对来进行重新协商,从而帮助防止连接中断。 虽然此过程通常被称为重新生成 IPsec SA 密钥,将实际上建立了两个新的 IPsec SA。IKE 主模式 SA 的到期与 IPsec SA 对无关。 如果需要新的 IPsec SA 对,则将根据需要自动重新协商 IKE 主模式 SA(在主模式 SA 过期后)

    AH
    AH 为整个数据包提供数据来源身份验证、数据完整性以及反重放保护。 AH 未提供数据保密功能,这意味着它不对数据进行加密。 该数据可以被读取但不能被修改,从而防止了电子欺骗。完整性和身份验证是通过在 IP 标头与 TCP 数据之间放置 AH 标头提供的。

    ESP
    ESP 提供了数据来源身份验证、数据完整性、反重放保护以及仅用于 IP 有效负载的保密选项。 在传输模式下,ESP 未通过加密校验和来保护整个数据包。 未对 IP 标头进行保护。ESP 标头被放置在 TCP 数据之前,ESP 尾端和 ESP 身份验证尾端被放置在 TCP 数据之后。
    IKE 身份验证
    IKE 在计算机之间使用相互身份验证以建立受信任通信, 两个通信端点必须有至少一种公共的身份验证方法,否则通信将会失败。在 IKE 协商期间,IKE 发起方为响应方提供身份验证方法列表。 响应方使用发起方的源 IP 地址来确定 IKE 协商由哪个筛选器控制。响应方进行回复,将双方同意的身份验证方法通知发起方。身份验证成功,并且主模式协商成功完成,主模式 SA 将在 8 小时内有效。 如果 8 小时结束时仍在传输数据,则将自动重新协商主模式 SA。 IPsec 策略规则使筛选器中的每个 IP 地址与一个身份验证方法列表相关联,以便 IKE 可以确定与每个 IP 地址配合使用的身份验证方法列表。
    Kerberos V5 身份验证协议
    域或受信任域中的任何计算机都可以使用这种身份验证方法。使用 Kerberos 身份验证方法时,在主模式协商期间,每个 IPSec 对等方都以未加密格式将其计算机标识发送给另一对等方。攻击者可以发送 IKE 数据包来使相应的 IPSec 对等方暴露其计算机标识和域成员资格。 因此,为了确保与 Internet 连接的计算机的安全,建议您使用证书身份验证。Psec 筛选不对 Kerberos 协议通信流进行处理。要对 Kerberos 协议通信流进行 IPsec 筛选处理,您必须修改注册表,然后添加适当的 IPsec 筛选器以确保此通信流的安全。

    IPSec 策略即在 IP 层上处理网络通信流的一组安全规则。 安全规则包含与允许、阻止或协商操作关联的数据包筛选器。 当需要协商时,可使用 IPsec 策略中的身份验证和安全措施与对等计算机协商。

    【相关术语】

    •永久 IPsec 策略: 在 Windows XP 和 Windows Server 2003 中引入的一种 IPsec 策略,可允许永久应用 IPsec 策略设置。 永久策略首次应用于启动 IPsec 服务,因此它会覆盖本地或域 IPsec 策略中的设置。

    •IKE 协商: 启动网络连接以确定使用 IPsec 的计算机是否会允许连接的过程。

    •安全关联 (SA): 两台主机对如何使用定义此协商的 IPsec 和各种参数进行通信而达成的协议。

    主模式 SA: 在发起方和响应方计算机之间进行 IKE 协商时首先建立这些 SA。

    快速模式 SA:在为主机间的通信的每个会话建立主模式 SA 之后协商这些 SA。

    •回退到使用明文 如果响应方未回复 IKE,则此选项允许 IKE 发起方传输普通的 TCP/IP 通信流(非 IKE 或 IPsec)。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“允许和不支持 IPSec 的计算机进行不安全的通讯”的选项。

    •入站通过: 此选项允许支持 IPsec 的计算机接收来自远程计算机的普通 TCP/IP(非 IKE 或 IPsec)入站数据包。 上层协议通常以出站数据包回应,然后启动 IKE 返回到远程计算机上。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“接受不安全的通讯,但总是用 IPSec 响应”的选项。
    注。 如果已启用“入站通过”,但未启用响应方的“回退到使用明文”,则响应方无法与不支持 IPsec 的发起方成功通信。

    域策略

    GPO: 创建的组策略设置包含在组策略对象 (GPO) 中。 通过将 GPO 与所选择的 Active Directory 系统容器(站点、域和组织单位 (OU))关联,可将 GPO 的策略设置应用于那些 Active Directory 容器中的用户和计算机。 使用组策略对象编辑器创建单个 GPO ,使用组策略管理控制台以管理整个企业中的 GPO。域策略即集中存储在 Active Directory 中的策略。

    1)更改分配给隔离组的 IPsec 策略

    点击GPO,依次展开“计算机配置”、“Windows 设置”和“安全设置”,然后单击“IP 安全策略,在 Active Directory(域名)”,在右窗格中右键单击“<IPsec 策略名称>”,然后单击“指派”,确保已指派 <IPsec 策略名称>,然后关闭“组策略编辑器”和“组策略管理控制台”。
    在这里插入图片描述
    2)更改现有规则的筛选器列表
    筛选器列表中的筛选器顺序不影响 IPsec 驱动程序处理数据包的顺序。 IPsec 策略的所有规则中的所有筛选器列表列出的筛选器都使用权重的内部算法来排序。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在“管理 IP 筛选器表和操作”窗口中的“管理 IP 筛选器列表”选项卡上,单击“免除”筛选器列表,然后单击“编辑”,取沟“使用添加向导”复选框。
    在这里插入图片描述
    在这里插入图片描述
    在“IP 筛选器列表”对话框中,单击“添加”,在“源地址”下拉框中,单击“任何 IP 地址”,在“目标地址”下拉框中,单击“一个特定的 IP 地址”,在“IP 地址”文本框中,键入此特定的 IP 地址,确保选中了“镜像”复选框,在“描述”选项卡上,键入筛选器项的适当说明,单击“确定”,然后再次单击“确定”。
    在这里插入图片描述
    如果一组计算机有一个自定义 IPsec 策略,则更改分配给当前规则的筛选器操作比生成一个新的 IPsec 策略更有意义。

    3)更改现有规则的身份验证方法

    IPsec 策略中的默认身份验证方法使用 Kerberos V5 协议。 随着时间的推移,可能有必要更改与现有规则关联的身份验证方法。 例如,可部署公钥基础结构 (PKI) 以便使用证书对计算机进行身份验证

    虽然可选择的每个身份验证方法需要的信息都不同,但添加身份验证方法的常规步骤都是相似的。 例如,要使用预共享密钥,则必须确定此密钥;要使用证书,则必须了解证书颁发机构 (CA)。 要将新身份验证选项添加到现有 IPsec 规则中,可参考下列步骤:

    在这里插入图片描述
    在“IP 安全规则”列表中,单击“<规则名称>”,然后单击“编辑”,在“身份验证方法”选项卡上,单击“添加”,单击要选择的新身份验证选项旁边的按钮,然后按需要配置所有选项。
    在这里插入图片描述
    在“身份验证方法首选顺序”列表中,使用“上移”和“下移”按钮创建身份验证方法的优先顺序。
    在这里插入图片描述

    服务器和域隔离组件

    1)受信任主机:

    受信任主机是 IT 组织可以对其管理以满足最低安全要求的计算机。 通常,只要计算机正在运行安全和受管理的操作系统、防病毒软件以及当前应用程序和操作系统更新时,就可实现这种受信任状态。 确定计算机受信任之后,本解决方案的下一个组件就是通过身份验证确认计算机的状态。 有关确定状态的详细信息,请参阅第 3 章“确定 IT 基础结构的当前状态”。

    注:IPsec 本身无法确定计算机是否符合特定的主机标准。 需要监视技术来确定计算机的基准配置并报告该配置的任何更改。

    主机身份验证

    主机身份验证机制确定试图启动会话的计算机是否具有有效的身份验证凭据,例如来自 Kerberos 票证的凭据、证书或可能是预共享密钥。 当前有两种技术可提供这种基于 Windows 的计算机上的身份验证机制。 以下各节对这两种技术进行了解释。

    802.1X 协议

    802.1X 是一种验证用户和设备以便授权它们通过链接层网络端口连接的标准协议,如 802.11 无线链接或 802.3 以太网端口。 这允许控制用户体验(如计费等目的)、控制授权和其他功能。 此协议需要一台或多台专用服务器(例如,远程身份验证拨入用户服务 [RADIUS])及支持此协议的网络基础结构。 802.1X 旨在提供客户端与无线访问点之间的无线通信流的 802.11 有线对等保密 (WEP) 加密的网络访问和加密密钥的控制。 设备被授予网络访问权限之后,通常就可与其余的内部网络进行开放式连接。 数据在无线访问点上被解密之后,以普通 TCP/IP 明文格式被发送至目标端,并可能由各种应用层机制确保安全。

    Woodgrove 安全要求从内部网络上的不受信任计算机中保护所有受信任主机。 虽然 802.1X 可强制实施只是受信任的计算机才被允许通过无线和某些有线链接访问,但用于大多数内部 802.1X 以太网端口的交换机不支持 802.1X 身份验证。 要更新每一个物理 LAN 访问墙上端口和全球所有的建筑物需要巨大的硬件购买和安装成本。 因此,Woodgrove 已决定使用 802.1X 用于无线安全,但不用于硬线以太网端口。

    另一个 Woodgrove 安全要求是对受信任客户端和加密服务器之间的通信流进行端到端加密。 802.1X 还无法为有线连接提供加密,只能对无线连接加密。 即使加密了无线连接,将无线访问点解密后的数据包发送至内部 LAN 后也不能保护数据。 因此,802.1X 无法满足端到端加密要求。

    虽然 802.1X 不符合所有 Woodgrove 的安全要求,但它仍可用于无线安全。 Microsoft 建议使用 802.1X 确保无线网络的安全并尽可能地为有线网络提供访问控制。 有关如何使用 802.1X 的详细信息,请参阅 Microsoft 网站上的“Wi-Fi”页面,网址为 http://www.microsoft.com/wifi。

    IPSec

    IPsec 是 Internet 协议的 IETF 标准安全协议。 它提供一般的、基于策略的 IP 层安全机制,此安全机制特别适合提供逐个主机身份验证。 IPsec 策略被定义为具有控制主机上的入站和出站 IP 通信流的安全规则和设置。 通过使用组策略对象将策略分配给域成员可在 Active Directory 中集中管理策略。 IPsec 提供在主机间建立安全通信的能力。 IPsec 使用 Internet 密钥交换 (IKE) 协商协议来协商两个主机间的选项如何使用 IPsec 进行安全通信。 两台主机对如何使用定义此协商的 IPsec 和各种参数进行通信而达成的协议称为“安全关联”或 SA。 IKE 协商建立一个主模式 SA(也称为 ISAKMP SA)和一对快速模式 SA(称为 IPsec SA,一个用于入站通信流,另一个用于出站通信流)。 要建立主模式 SA,IKE 要求进行相互身份验证。 Windows IKE 可使用以下三种方法之一:

    • Kerberos V5 身份验证协议

    • 使用相应的公共和私有 Rivest、Shamir 和 Adleman (RSA) 密钥对的 X.509 数字证书

    • 预共享密钥(密语,不完全是密码)

    不部署 IPsec 最常见的原因是误认为它需要通常很难部署的公钥基础结构 (PKI) 证书。 为了不需要 PKI,Microsoft 将 Windows 2000 域身份验证 (Kerberos) 集成在 IKE 协商协议中。

    Windows IKE 协商可被配置为允许与不回应 IKE 协商请求的计算机通信。 此功能被称为“回退到使用明文”并且在部署 IPsec 期间很有必要。 只在受信任主机发出连接请求时才允许受信任主机与不受信任计算机和设备进行会话的常规操作很有用。 IPsec 使用术语“软安全关联”来描述使用验证标头 (AH) 或封装式安全措施负载 (ESP) 格式 IPsec 都无法保护的通信。 IPsec 记录与包含目标 IP 地址的安全日志成功审核的通信并监视通信流的活动。 当空闲一段时间(默认为 5 分钟)后通信流停止时,建立新的出站连接时要求重新尝试协商安全。

    官方解释:IPsec 规则确定了 IPsec 必须对哪类通信流进行检查;是允许通信流、阻止通信流还是协商安全性;如何对 IPSec 对等方进行身份验证;以及其他设置。配置 IPsec 规则时,我们可以配置筛选器列表,该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式(传输模式或隧道模式)。 IPsec 规则通常是针对特定用途(例如,“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”)配置的。一个IPSec安全策略IP筛选器筛选器操作两部分构成,其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注,筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略,一般需要新建IP筛选器和筛选器操作。例如:阻止局域网中IP为“192.168.0.251”的机器访问本机,配置如下
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    创建所需的规则,然后把这些创建的规则应用到上述策略上;右键点击“IP安全策略,在本地计算机”,在菜单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页,
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    切换到“管理筛选器操作”标签页,新建一个阻止操作:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    将所创建的规则应用到第一步的“IPSec安全策略”上,先右击“阻止251机器与我通信”IP安全策略规则。单击“属性”:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    IPsec 不支持出站通信流的状态筛选,不管是 AH 或 ESP 安全关联内的通信流,还是涉及软 SA 的明文通信流。 因此,当您对服务器和域隔离使用此处介绍的 IPsec 策略设计时,受信任主机可接收从不受信任计算机到通过软 SA 的任何打开的端口的入站连接。 这是一个易受攻击的漏洞。 但按照设计,它也支持协商打开的端口接收入站连接的某些协议。 使用基于主机的防火墙产品(如 Windows 防火墙)除了可添加 IPsec 保护,还可添加出站连接的状态筛选。 由 IPsec AH 或 ESP 保护的未加密的网络通信流不认为是明文格式,因为它针对哄骗和修改提供身份验证和保护。

    由于 IPsec 以安全形式封装普通 IP 数据包,因此在遍历网络时数据包不再显示为传输控制协议 (TCP) 和用户数据报协议 (UDP) 数据包。 试图在 Woodgrove Bank 内部部署 IPsec 可确定大多数网络管理工具都假定应用程序可被其 TCP 或 UDP 端口号轻松识别(例如,电子邮件通信流的端口 25 和 Web 通信流的端口 80)。 使用 IPsec 时,通信流变得不透明,并且路由器和网络入侵检测系统无法辨别正在使用哪个应用程序或哪个应用程序检查数据包中的数据。 这一因素产生了一个网络管理问题,因为它降低了当前用于通信流监视、安全筛选、加强公平队列和服务质量分类的工具的值。

    遗憾的是,有关通信流可见性的假定不完全准确,并且很快就会过时,即使没有 IPsec 的时候也是如此。 端口号和应用程序之间的关系越来越弱。 例如,可在任意端口号上运行 Web 服务器并且在站点的 URL 中记录此端口号。 通过在备用端口号上运行邮件服务器也可省去一些 Internet 服务提供商 (ISP) 的电子邮件筛选工作。 许多对等 (P2P) 应用程序可灵活使用端口;即它们使用随意挑选的端口号来试图避免检测。 基于远程过程调用 (RPC) 服务的应用程序也可灵活使用端口,因为 RPC 服务在各种服务的受限范围内(1024 以上)可随意挑选端口。

    频繁使用 Web 服务很可能会加大通信标识问题,因为这些服务的通信流使用端口 80 或端口 443 在 HTTP 或 HTTPS 的顶部运行。 然后客户端和服务器使用 HTTP URL 来标识通信流。 移至 Web 服务体系结构的所有应用程序将显示为传输到路由器的单个无差别的数据流,因为这些 Web 服务的通信流将在一个端口或少量端口上运行,而不是每个应用程序或服务在其自己的离散端口号上运行。 对 HTTPS 连接和 RPC 加密使用 SSL 和 TLS 降低作为防御攻击的基于网络的检查的值。 由于网络管理应用程序仍然可以分析数据包的地址并且对于所有其他不是 IPsec 保护的通信流仍具有可见性,因此 Woodgrove 确定某些网络管理功能的丢失不足以影响此项目的规划。 此外,某些网络管理工具供应商愿意修改他们的工具以便检查内部无加密形式的 IPsec 数据包。

    大多数基于主机的应用程序不需要修改便可与 IPsec 一起正常使用以确保 IP 地址间的所有通信流的安全。 由于在其他网络服务上存在网络攻击的风险,因此本解决方案不尝试仅对特定应用程序或协议使用 IPsec。 如果应用程序与 IPsec 无法一起正常工作,则管理员可选择允许此通信流不受基于服务器使用的 IP 地址的 IPsec 的保护。 建议不允许应用程序使用已知端口,因为这样做会产生一个静态入站漏洞供攻击者建立与任何打开的端口的入站连接,从而达不到隔离目的。 使用动态分配的端口的应用程序必须受 IPsec 的保护。 使用多播和广播 IP 地址的应用程序与服务器和域隔离的 IPsec 设计配合使用时可能会出现问题。 Windows IPsec 支持允许所有多播和广播通信流的功能,但对于某些类型不支持。 如果出现应用程序的兼容性问题,则应与供应商一起研究确定是否(或何时)可提供修复程序或升级以解决此问题。 如果应用程序无法升级或用兼容的应用程序替换,则必须使用此应用程序的计算机可能无法参与隔离域或组。

    除其身份验证功能外,IPsec 还可为主机通信提供两个其他有用的服务:确保地址完整性和加密网络通信流。


    确保地址完整性。 IPsec 可使用 AH 为每个数据包提供数据和地址完整性。 Windows AH 使用 Windows IPsec 驱动程序中的密钥哈希机制。 使用 AH 可避免发生重放攻击,并通过确认每个接收到的数据包在成功接收到之前从发送时间起未经过修改提供强完整性。 AH 在通过执行网络地址转换 (NAT) 的设备时无法正常工作,因为 NAT 替代了 IP 标头中的源地址,从而违背了 AH 提供的安全。


    加密网络通信流。 IPsec 可确保数据完整性和机密性,方法是使用 IP 协议的封装式安全措施负载 (ESP) 选项进行加密。 虽然 ESP 不提供地址完整性(除非与 AH 配合使用),但使用 UDP 封装可使它成功遍历 NAT 设备。 如果利用使用 NAT 的设备对内部网络分段,则 ESP 是合理的选择,因为 ESP 不会强制加密数据包。 Windows IPsec 支持确定将 ESP 与空加密 (ESP/null) 配合使用的 RFC 2410。 ESP/null 允许数据的真实性、完整性和反重放不需要加密。 Windows Server 2003 网络监视器能够分析公开普通 TCP/IP 上层协议的未加密的 ESP。 如果使用 ESP 加密,则只在计算机使用首先解密传入数据包的 IPsec 硬件加速网卡时才可能监视数据包。

    注:使用加密的 ESP 或使用空加密的 ESP 提供与身份验证的强 IPsec 对等关系,就象 AH 一样。 它还提供重放保护并可正确遍历 NAT 设备。 基于这些原因,Woodgrove 决定不实施 AH,而只将 ESP/null 和 ESP 与其公司网络上的加密配合使用。

    IPsec 的工作模式有两种 — 隧道模式或传输模式:


    IPsec 传输模式。 IPsec 传输模式是确保端到端主机间的通信流的安全而建议使用的方法。 IPsec 驱动程序仅在原始 IP 标头后插入 IPsec 标头。 原始 IP 标头已保留下来,并且其余的数据包经 AH 或 ESP 加密处理也保存下来。 IPsec 筛选器控制什么通信流被 IPsec 阻止、允许或封装。 IPsec 筛选器指定源和目标 IP 地址(或子网)、协议(如 ICMP 或 TCP)及源和目标端口。 这样,筛选器就可非常准确地应用于一台计算机或可应用于所有可能的目标地址和协议。 传输模式旨在通过自动更新使用“我的 IP 地址”配置的筛选器来适应动态 IP 地址,比较 IPsec 隧道模式,其开销更低且总体上更易于使用。 因此,IKE 协商传输模式是授权入站 IPsec 保护的连接的有效方式。 使用 IPsec 传输模式的问题包括:


    初始延迟。 IKE 启动和完成整个成功协商需要 1 到 2 秒的初始延迟。 继续通信时,IKE 尝试刷新自动保护通信的密钥。


    为筛选器预定义的优先级顺序。 IPsec 策略筛选器可重叠,因此预定义了一个优先级顺序,最特殊的筛选器排在首位。 这要求通信双方都有一组兼容的 IPsec 传输模式筛选器用于 IKE 协商。 例如,本解决方案对协商 IPsec 安全的“所有通信流”使用较普通的筛选器,同时使用较特殊的筛选器以便允许仅 ICMP 通信流,而不是使用 IPsec 确保此通信流的安全。


    计算费用。 IPsec ESP 传输模式加密很费计算机资源。 加密文件副本时,CPU 利用率可高达百分之八十到百分之百。 Windows 2000、Windows XP 和 Windows Server 2003 都配有网卡接口可加速硬件中的 IPsec 加密操作。


    IPsec 隧道模式。 IPsec 隧道模式通常用于 VPN 网关的静态 IP 地址间的网关对网关 VPN 隧道。 因此,隧道模式创建了带有 IPsec 标头的新 IP 标头。 带有原始 IP 标头的原始数据包被完全封装为组成一个隧道数据包。 对于服务器和域隔离方案,隧道模式可用于确保从静态 IP 服务器到支持 IPsec 的路由器的通信流的安全。 这在目标主机不支持 IPsec 时很有必要。 Woodgrove 没有需要隧道模式的方案。

    有关 IPsec 中的传输模式和隧道模式的技术详细资料的更多信息,请参阅 Windows Server 2003 部署工具包“Deploying Network Services”部分中的“Deploying IPsec”一章的“Determining Your IPSec Needs”一节,网址为 www.microsoft.com/resources/documentation/
    WindowsServ/2003/all/deployguide/
    en-us/dnsbj_ips_wclw.asp。

    主机授权
    主机确定接收到的通信是来自可验证源之后,需确定是否允许访问源计算机和用户。 此步骤很重要,因为设备能够进行验证的事实并不保证也允许它访问给定的主机。

    Microsoft 推荐的方法是使用标准 Windows 组限制用户和计算机访问设计中其他计算机上的资源。 此方法通过使用被访问主机上的本地策略的用户权限分配上的权限,为网络和应用程序级别的计算机帐户和用户帐户建立新的授权层。 使用“从网络访问此计算机”(允许)和“拒绝从网络访问这台计算机”(拒绝)用户权限分配,可限制计算机和用户访问资源,即使它们共享公共 IPsec 策略参数并且登录的用户有权访问此资源。 这个额外级别的控制对于本解决方案描述的隔离方法是至关重要的。

    Active Directory 的组功能通过这样的方式来组织计算机和用户:允许以可管理和可扩展的方式分配所需的授权级别。 为了帮助区分为从那些标准共享访问权限中获取主机访问权限而特别创建的组,本指南使用术语“网络访问组”。

    用户和主机授权过程

    1.用户尝试访问部门级服务器上的共享。 登录到客户端计算机上的用户尝试访问逻辑隔离解决方案中的受信任主机上的共享。 此操作导致客户端计算机试图使用文件共享协议(通常是使用 TCP 目标端口 445 的服务器消息块协议)连接到受信任主机上。 客户端将 IPsec 策略作为本解决方案的一部分分配。 出站 TCP 连接请求引发到服务器的 IKE 协商。 客户端 IKE 包含验证服务器的 Kerberos 票证。

    2.IKE 主模式协商。 服务器接收到来自客户端计算机的初始 IKE 通信请求之后验证 Kerberos 票证。 在身份验证过程中,IKE 检查客户端计算机是否具有所需的主机访问权限,如在组策略中的“允许”或“拒绝”用户权限中分配的权限。 如果客户端计算机具有所需的用户权限分配,则 IKE 协商完成,并且建立 IPsec 主模式 SA。

    3.IPsec 安全模式协商。 IKE 主模式 SA 协商完成后,通过使用两台主机都接受的 IPsec SA 的安全措施检查 IPsec 策略的安全措施以协商连接。

    4.为用户检查用户主机访问权限。 建立 IPsec 保护的通信之后,SMB 协议使用客户端用户帐户进行验证。 在服务器上检查用户帐户是否具有所需的主机访问权限,如在组策略中的“允许”和“拒绝”用户权限中为受信任主机分配的权限。如果用户帐户具有所需的用户权限分配,则过程完成,并且创建用户登录令牌。 此过程完成后,逻辑隔离解决方案即结束了安全检查。

    5.检查共享和文件访问权限。 最后,服务器检查标准 Windows 共享和文件访问权限以确保用户是具有访问用户请求访问的数据所需的权限的组的成员。
    使用网络访问组可在本解决方案中实现极高级别的控制。

    以下方案提供了逻辑隔离解决方案中的步骤如何操作的一个实例:

    开会时,承包商将她的移动计算机插入会议室中的网络连接点以便将一些数据复制到员工的 HR 服务器上的共享中。 HR 部门的成员 Donna 为承包商提供 HR 服务器上的共享路径。 因为承包商的计算机不是已知或受信任主机,IT 部门无法管理此计算机,并且移动计算机上的安全措施级别也未知。 所以这些文件可能包含会感染内部计算机的恶意软件。 承包商的计算机试图连接到 HR 服务器时,计算机在过程中的步骤 2 上出现问题。 计算机无法协商 IKE 主模式 SA,因为移动计算机无法提供所需的 Kerberos 票证以允许检查计算机的凭据;它不是受信任域的一部分。 包含 HR 服务器的隔离组的 IPsec 策略要求不允许该服务器与不使用 IPsec 的主机通信,这样来自这台不受信任计算机的所有通信尝试会被阻止。 总之,逻辑隔离解决方案帮助保护 IT 基础结构免遭不受信任和无人管理计算机的威胁,即使那些计算机可以对内部网络进行物理访问。

    此示例解释了如何在逐个主机基础上实现隔离。 本解决方案的另一个重要要求是以较低的管理成本实现隔离。 可通过对用户分组使用的相同的方式对计算机分组,然后在每台计算机的本地策略中对那些组分配“允许”或“拒绝”用户权限分配。 但如果不使用组策略和 Active Directory 的集中管理功能并且未充分理解所需的通信路径,则很难管理此方法,也无法很好地扩展此方法。 此外,此方法本身不能提供强身份验证或加密数据的能力。 当这些主机访问权限与 IPsec 配合使用并且主机被组织到隔离组中时,就很容易理解各分组间的关系并轻松定义通信路径(在已明确记录要求之后)。 有关隔离组的设计和框架的详细信息,

    服务器和域隔离是关于限制计算机如何相互通信及限制试图发起通信的设备。 这些限制或边界用于通过描述设备受信任级别来限制通信。 通过使用 IPsec 策略在主机周围设置身份验证、授权及网络位置等边界是缓解许多威胁的有效方式。 虽然 IPsec 是不完全安全的策略,但它在整个安全策略中提供了一层额外的防御。

    方案实施

    设计和规划隔离组

    实现方式:使用 IPsec 与组策略隔离服务器和域;

    方案:该解决方案使用 Active Directory® 目录服务域中的计算机身份组合、IPsec 策略来验证此身份,使用 Microsoft® Windows® 的安全策略来定义和实施隔离组。使用隔离组的概念,在内部网络中以一种对于应用程序是透明的安全方式来管理网络通信量。 该功能可显著降低以网络为载体的感染和攻击所带来的损害的威胁。IPsec可与其他安全设置组合,以构建详细的、可管理的、可伸缩的服务器和域隔离解决方案。

    ……未完待续
    借鉴:https://blog.csdn.net/freexploit/article/details/548639,感谢技术分享。

    展开全文
  • IP地址

    2021-03-20 21:19:16
    以一种逻辑的方式隔离广播,真正起到定位作用的是MAC; 运行于网络层,独立处理数据包,尽力而为传输,无数据恢复功能;(类似于UDP) 在一个网络中,主机必须拥有相同的网络号才能通信。 计算机系统,只要遵守IP...

    IP地址

    • 互联网协议地址,或称网际协议地址,标记服务器,掉别哦了服务器的具体地址
    • 以一种逻辑的方式隔离广播,真正起到定位作用的是MAC;
    • 运行于网络层,独立处理数据包,尽力而为传输,无数据恢复功能;(类似于UDP)
    • 在一个网络中,主机必须拥有相同的网络号才能通信。
    • 计算机系统,只要遵守IP协议就可以与因特网互连互通
    • IP地址编码方式
      • 每个IP地址包括两个标识码(ID),即网络ID和主机ID。
      • 同一个物理网络上的所有主机都使用同一个网络ID,网络上的一个主机(包括网络上工作站,服务器和路由器等)有一个主机ID与其对应。
      • Internet委员会定义了5种IP地址类型以适合不同容量的网络,即A类~E类。A、B、C3类(如下表格)由InternetNIC在全球范围内统一分配,D、E类为特殊地址。
    展开全文
  • 资源隔离问题

    2021-01-10 07:12:31
    <div><p>负荷均衡机制中有自定义的资源隔离机制,主要是强制某些任务运行在指定的机器上,那么: 1.在不设置cgroup的情况下,是否可以指定多个TOPO运行在特定的机器上,如: ...
  • 目前,以IETF为代表的各类国际标准化组织和企业进行了大量的技术研究...根据具体实现方式的不同,隔离又可以分为物理隔离和逻辑隔离。所谓物理隔离也就是专网专用,通过构建电信业务的专用承载网络来确保电信业务安全。
  • vivado IP核知识点学习

    2020-11-25 16:30:07
    OOC是Vivado开发套件提供的一项技术,该综合模式本质上是一种自底向上(bottom-up)的综合方法,该方法可用于IP、IPI(IP Integrator)的Block Design以及选择将HDL对象(即用户逻辑)当作一个隔离模块运行 完成自底...
  • 安全技术4:arpARP(Address Resolution Protocol,地址解析协议)是获取物理地址的...RARP(逆向ARP)经常在无盘工作站上使用,以获得它的逻辑IP地址。安全技术5:端口隔离端口隔离是为了实现报文之间的隔离,可以将不...
  • VPC是虚拟私有云,通过逻辑方式进行网络隔离,提供安全、隔离的网络环境。 弹性IP 弹性公网IP是可以提供互联网上合法的静态IP地址的服务,VPC的的吞吐量由弹性公网IP带宽决定。 NAT网关 NAT网关能够为VPC内的...
  • 上节提到如果user1使用192.168.0.0/24的自定义网段,而user2也同样使用192.168.0.0/24这个网段,那这两个网段是不是会IP冲突,或者会互相影响呢?所以为了使不同租户间及和管理网段间网络相互隔离,我们可以进行网络...
  • 从网络攻击看网络隔离的OSI模型

    千次阅读 2004-10-29 15:15:00
    从网络攻击看网络隔离的OSI模型谈网络隔离,首先要谈网络存在什么安全风险。什么是风险?扫描、攻击、入侵、木马等都是风险。要全面地描述所有的网络攻击很困难,可能有上千种,但完全可以对网络攻击进行总结和归纳...
  • 反复比较两处代码,并未发现任何可能引起不同逻辑之处,debug近一天无果。 后来在前辈的帮助下,发现系统将从公司一中间件——配置中心拉取一些获取日志所需的数据,而在预发环境中配置应用线上环境的ip,是无法...
  • IP数据网络基础1

    2019-05-24 09:09:00
    其次,路由器协议至少向上实现到网络层 再次,路由器必须具有储存,转发,寻径功能路由(寻径):路由表建立、刷新 ,交换:在网络之间转发分组数据 , 隔离广播,指定访问规则 , 异种网络互连 , ...
  • VLAN与Trunk 一、广播 广播域:可以收听到同一个广播得节点结合构成一个广播域 广播的危害:当广播域越来越大,每个pc单位时间内收到的广播量就越大!...逻辑的分割广播域 降低广播量 如图: 2.3 VL
  • IP技术 -- 1 虚拟系统VS

    2020-02-07 00:12:40
    MDS包括两种,虚拟系统VS(Virtual System)和逻辑系统LS(Logical System) 随着网络的发展,带来了三个问题 1. 单台设备资源利用率低,物理设备采购投资成本逐渐攀升 2. 业务集中部署带来了集约化的便利,却使得...
  • 从网络攻击看网络隔离的OSI模型谈网络隔离,首先要谈网络存在什么安全风险。什么是风险?扫描、攻击、入侵、木马等都是风险。要全面地描述所有的网络攻击很困难,可能有上千种,但完全可以对网络攻击进行总结和归纳...
  • IP通信基础第十一周

    2019-10-05 01:18:13
    路由器的核心作用是实现网络互连、数据转发:首先,路由器多个三层接口(物理接口、逻辑接口、子接口)连接到不同网络上且路由器的物理接口较少(2-4个);其次,路由器至少向上实现到网络层;再次,路由器必须具有...
  • 温故: 昨天我主要给大家分享了互联网的互联设备,不知道大家还有没有...数据链路层的互联设备有网桥和交换机,它们可以讲一个局域网隔离成多个网段,这样的好处是如果其中的一个网段除了问题,那么另外的网段可以保住
  • 路由器的核心作用是实现网络互连、数据转发:首先,路由器多个三层接口(物理接口、逻辑接口、子接口)连接到不同网络上且路由器的物理接口较少(2-4个);其次,路由器至少向上实现到网络层;再次,路由器必须具有...
  • 广播域:同一网段中所有设备组成的集合,这些设备侦听该网段中发送的所有广播,广播域也可能是一个逻辑的网段。路由器用来分割广播域 使用网桥和交换机时,可以将网络分段,化WLAN,但时不能隔离广播和组播分组。...
  • ip地址=网络地址+主机地址,当然了这里的“+”不是数学上的加减; 广播地址,是主机标识段,全部为1的“网络地址”,专门用于同时向网络中所有工作站进行发送的一个地址。; 网络地址,是互联网上的节点在网络中...
  • 集线器:工作在物理层,简单...网桥:工作在数据链路层,隔离碰撞域,不隔离广播域,存储转发,每个接口连接一个网段。透明网桥即插即用,为避免都圈子使用生成树算法。源路由网桥不透明,但可选择最佳路由。 交换机
  • Azure vNet

    2019-02-20 10:01:07
    VNet是Azure云中逻辑隔离的虚拟网络。它包含两个含义: Azure的用户可以在VNet中创建自己的各种资源,感觉想自己的数据中心中一样; 在一个VNet中创建的资源和其它VNet创建的资源相互隔离,是Azure云中网络多租户的...
  • VPC网络梳理

    万次阅读 多人点赞 2018-05-09 13:15:53
    VPC(Virtual Private Cloud)是公有云上自定义的逻辑隔离网络空间,是一块可我们自定义的网络空间,与我们在数据中心运行的传统网络相似,托管在VPC内的是我们在私有云上的服务资源,如云主机、负载均衡、云数据库...
  • 经典网络:公有云上所有用户共享公共网络资源池,用户之间未做逻辑隔离。用户的内网IP由系统统一分配,相同的内网IP无法分配给不同用户。 VPC:是在公有云上为用户建立一块逻辑隔离的虚拟网络空间。在VPC内,用户...
  • 逻辑隔离:相同交换机,通过逻辑手段,在交换机中增加属性配置; VPN是基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑彻底隔离 能力:1.用户可以自定义网络拓扑,包括选择自由IP地址范围、划分网段、配置...
  • 城域网MPLS ×××的几种实现方法 一、MPLS ×××技术的...MPLS ×××技术可将IP网络分解为逻辑上隔离的网络,这种逻辑隔离的网络的应用可以千变万化:企业单独互连、政府办事部门单独互连、提供新业务—如为IP...
  • 有关安全的说明

    2008-09-08 09:49:14
    硬件隔离和逻辑隔离:硬盘网络隔离卡、vlan技术、接入网络的备份、HSRP一组虚IP进行负载均衡和接入线路备份。 netscreen防火墙的使用。netteye硬件防火墙的配置。 IP绑定技术和mac绑定,控制IP地址。 网络病毒...
  • 是一块您在腾讯云上自定义的逻辑隔离网络空间,您可以为 云服务器、云数据库 等资源构建逻辑隔离的、用户自定义配置的网络空间,以提升用户云上资源的安全性,并满足不同的应用场景需求。 核心组成部分 私有网络...
  • 2:相同楼层物理相连,但逻辑隔离 3:主机可以动态获取IP地址 4:不同VLAN间可以进行通信 5:主机最终访问www.esafenet.com弹出"Test By Peterpan"字样 配置sw1: VLAN: sw1(config)#vlan 10 sw1(config-vlan...

空空如也

空空如也

1 2 3 4 5 ... 10
收藏数 200
精华内容 80
关键字:

ip逻辑隔离