ipsec（安全IP）5

[82649] 主题： ipsec（安全IP）5


作者： qmzh.	标题： ipsec（安全IP）5[转载]
昵称： qmzh.	来自： 202.112..
经验值： 0	发贴时间： 2003年08月07日 00:09:53
等级：新手上路	长度： 2079字

	发信人：qmzh@smth.org (一个人的战争)，信区：cn.bbs.comp.security 标题：ipsec（安全IP）5 发信站：BBS 水木清华站转信站：LeafOK!news.zixia.net!maily.cic.tsinghua.edu.cn!SMTH 安全策略数据库 Ipsec 策略由“安全策略数据库（Security Policy Database ，SPD ）”加以维护。在SP D 这个数据库中，每个条目都定义了要保护的是什么通信、怎样保护它以及和谁共享这种保护。对于进入或离开IP 堆栈的每个包，都必须检索SPD 数据库，调查可能的安全应用。对一个SPD条目来说，它可能定义了下述几种行为：丢弃、绕过以及应用。其中，“丢弃”表示不让这个包进入或外出；“绕过”表示不对一个外出的包应用安全服务，也不指望一个进入的包进行了保密处理；而“应用”是指对外出的包应用安全服务，同时要求进入的包已应用了安全服务。对那些定义了“应用”行为的SPD 条目，它们均会指向一个或一套SA ，表示要将其应用于数据包。 Ipsec 通信到Ipsec 策略的映射关系是由“选择符（Selector）”来建立的。选择符标识通信的一部分组件，它既可以是一个粗略的定义，也可以是一个非常细致的定义。Ipsec 选择符包括：目标IP 地址源IP 地址、名字、上层协议、源和目标端口以及一个数据敏感级（假如也为数据流的安全提供了一个Ipsec 系统）。这些选择符的值可能是特定的条目、一个范围或者是一个“不透明”。在策略规范中，选择符之所以可能出现“不透明”的情况，是由于在那个时刻，相关的信息也许不能提供给系统。举个例子来说，假定一个安全网关同另一个安全网关建立了Ipsec 通道，它可指定在该通道内传输的（部分）数据是网关背后的两个主机之间的Ipsec 通信。在这种情况下，两个网关都不能访问上层协议或端口，因为它们均被终端主机进行了加密。“不透明”亦可作为一个通配符使用，表明选择符可为任意值。假定某个SPD 条目将行为定义为“应用”，但并不指向SADB 数据库内已有的任何一个SA ，那么在进行任何实际的通信之前，首先必须创建那些SA 。如果这个规则用于自外入内的“ 进入（Inbound）”通信，而且SA 尚不存在，则按照Ipsec 基本架构的规定，数据包必须丢弃。假如该规则用于自内向外的“外出（Outbound）”通信，则通过Internet 密钥交换，便可 -- ※ 来源:．武汉白云黄鹤站WWW bbs.whnet.edu.cn. [FROM: 202.110.136.194] -- [m[1;35m※ 来源:·BBS 水木清华站 smth.org·[FROM: 61.174.143.225][m .
	========== * * * * * ==========


		Top