详细介绍微软的IPsec

作者: John Sawyer/子明 译 出处:51CTO.com　2007-12-26 09:21　   砖    好    评论  条 　进入论坛

阅读提示：当今企业更应该注重IPsec的能力，因为IPsec完全有能力替代小公司传统的网络访问控制技术，也可以替代大企业的网络接入保护技术。

【51CTO.com 独家翻译】2007年微软发布了具有支持IPsec的Windows Vista操作系统，与此同时Windows 2008也即将发布，我们不难看出当今企业更应该注重IPsec的能力，因为IPsec完全有能力替代小公司传统的网络访问控制技术，也可以替代大企业的网络接入保护技术。

从Windows 2000 开始，IPsec的已包含在每一个微软的Windows桌面操作系统和服务器操作系统里面，虽然Windows已经成为了主流操作系统，但是奇怪的是很多公司都不去使用Windows自带的IPsec技术，更多的IT专业管理人员只是把IPsec理解为在做VPN配置时的一个远程连接选项。

微软员工说：“大家条件反射般的认为IPsec是用于VPN的，我们要努力的打开IPsec这把锁，真正的发挥IPsec的价值”。

IPsec不但可以用到VPN上，它也可以做基本的包过滤，对目的IP地址和源IP地址进行限制，还可以控制网络端口。

IPsec能保护未经网络认证的非法主机对Windows主机之间进行的通信。这项认证是基于Kerberos ，证书，或预共享密钥，并且具有可选择性，它也可以执行加密功能，来保证端点之间的通信安全。

通过把管理终端与联合管理机器中域隔离，微软认为这是最简单的保护服务器的方法，在2004年，微软在自己的企业网络中部署IPsec，来保护超过20000个系统。

12月Ponemon研究所和deloitte&touche公司公布的一项调查发现，有85%的企业至少存在有一个安全漏洞，在过去的12个月里，有63%的企业遭受到6到20次的员工资料被泄露。

使用IPsec能有效防止未经认证的主机与正常主机的通信，从而更好的管理Windows主机。有些恶意攻击通过远程访问有缺陷的Windows主机，企图夺取管理控制权，但是这些都是无用的，因为当发现那些没有通过域认证的机器试图访问网络的时候，IPsec将自动阻断它的连接。

如果你的公司计划进行实施部署新的NAC（网络访问控制），IPsec应该是你要考虑的一个重要因素。虽然NAP（网络访问保护）能够对主机进行免疫，但是如果再配合上IPsec可以更好的保护DHCP，VPN和802.1x网络。

使用NAP和IPsec来检查发现不符合规定的Windows端点，一旦启用IPsec来处理后就只允许合法主机和NAP服务器会话。一旦端点通过正常检查，认证服务器给该主机发放一个证书，证明该主机是合法主机。通过做IPsec策略来允许合法端点和其他管理主机的通信。

为什么IPsec如此强大，却不能被广泛使用呢？问题的答案就是IPsec的历史。因为以往大家普遍认为VPN技术只能靠微软的特有技术IPsec来配置。事实上，在做之前都需要先配置Windows自带的防火墙，这就很容易造成一些冲突。

微软认识到这些问题以后，微软与实际相结合在2006年更新了针对Windows xp和2003 服务器版本的IPsec策略。在Vista和Server 2008的Windows防火墙里面都增加了IPsec配置。这是不是有些晚了呢，是不是很难扭转用户对IPsec过去的认识？只有时间来告诉我们这个答案。

基于Windows的IPsec ，也可能被微软视为中心解决方案，但是它并不能涉及扩展到到其他平台，如Linux和Mac OS x。去年5月，微软的开放源代码软件（OSS ）实验室完成了IPsec在Liux和Vista之间的互操作性测试。在这项测试中，建立了Linux与Vista的端点认证，利用证书和预共享密钥进行了加密通讯。这项测试最终有可能使Linux系统与Windows主机共存于一个IPsec的域，或服务器隔离环境里面。但是到目前为止，还没有发现和MAC os系统上有类似的测试。

如果你的IT供应商还用过去的眼光看待IPsec，虽然以前曾经也关注过IPsec，但是最终还是放弃了对它的支持。现在这个技术已经提高了。IPsec就包含在Windows系统里面，并不收取任何费用。我们对服务器进行隔离，增加域安全性，防止违规主机对数据进行篡改而造成不必要的麻烦。这将是一个伟大的开始，从Vista产品到Windows 2008　服务器版和Windows xp的sp3都会全面支持IPsec。

【51CTO.COM 独家翻译，转载请注明出处及译者！】