典型的加强安全的方式
1. 禁止访问(block)
2. 允许访问(permit)
3. 认证(authenticate)
4. 放篡改(tamperproof)
5. 加密(encrypt)
IPSec是一组协议和服务. IPSec提供了多样的针对IP层次(即网络层)的通信的安全服务. 这些安全服务包括:
- 认证 - 你说你是谁, 那究竟你是不是你说的那个谁
- 完整性 - 你告诉我的, 我告诉你的, 都是没被别人改过的原话
- 保密性 - 别人是看不懂我们所交流的内容的
IPSec由三个主要的协议组成:
- authentication header(AH) : 功能是保证数据完整性, 防止回放攻击.
- encapsulating security payload(ESP) : 保证数据完整性, 防止回放攻击, 加密.
- Internet key exchange(IKE) : 提供了密钥和协商的加密基础架构.
IPSec支持两种将原始IP包转换为受保护的IP包的模式, Transport Mode和Tunnel Mode. 下面的图片可以帮住你获得IPSec的基本认识.
相关工具
IPSec Management Snap-in
Netsh IPSec
netsh -c "advfirewall consec" show rule name=all type=dynamic
netsh -c "advfirewall firewall" show rule name=all type=dynamic
Ipseccmd.exe
Network monitor
参考资料
Chapter 13 - Internet Protocol Security and Packet Filtering