- Kerberos – Kerberos v5常用于Windows Server 2003,是其缺省認證方式��。 Kerberos能在域內(nèi)進行安全協(xié)議認證���,使用時,它既對用戶的身份也對網(wǎng)絡(luò)服務(wù)進行驗證�����。Kerberos的優(yōu)點是可以在 用戶和服務(wù)器之間相互認證����,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認證的UNix環(huán)境系統(tǒng)之間提供認證服務(wù)����。
- 公鑰證書 (PKI) – PKI用來對非受信域的成員,非Windows客戶��,或者沒有運行Kerberos v5 認證協(xié)議的計算機進行認證����,認證證書由一個作為證書機關(guān)(CA)系統(tǒng)簽署。
- 預(yù)先共享密鑰 -在預(yù)先共享密鑰認證中�����,計算機系統(tǒng)必須認同在IPSec策略中使用的一個共享密鑰 �����,使用預(yù)先共享密鑰僅當證書和Kerberos無法配置的場合。
IPSec加密協(xié)議
IPSec提供三種主要加密方法�,你可以根據(jù)你公司的需要選擇其中一個。
- 數(shù)據(jù)加密標準 (DES 40位) – 該加密方法性能最好�����,但安全性較低�����。該 40位數(shù)據(jù)加密標準(Data Encryption Standard���,簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer���,簡稱SSL)。適用于數(shù)據(jù)安全性要求較低的場合���。
- 數(shù)據(jù)加密標準 (DES 56位) – 通過IPSec策略�,可以使用56位 DES的加密方法�����。1977年美國國家標準局公布了DES算法,它可以在通信過程中經(jīng)常生成密鑰��。該功能可防止因為一個DES密鑰被破譯而整個數(shù)據(jù)集的安全受到影響�����。但是在商業(yè)中被認為過時了�,僅用于傳統(tǒng)的應(yīng)用支持���,有專門的硬件可以破譯標準的 56位密鑰����。
- 3DES – IPSec策略可以選擇一個強大的加密算法3DES�,其安全性比DES更高。3DES也使用了56位密鑰���,但使用了三個���。結(jié)果3DES成為 168位加密算法,用于諸如美國政府這樣的高機密的環(huán)境中��。采用該策略的所有計算機將都遵守這樣的機制����。
IPSec傳輸模式
IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式�。這些模式指的是數(shù)據(jù)在網(wǎng)絡(luò)中是如何發(fā)送和加密的�。在傳輸模式下,IPSec的保護貫穿全程:從源頭到目的地��,被稱為提供終端到終端的傳輸安全性 ��。
隧道模式僅僅在隧道點或者網(wǎng)關(guān)之間加密數(shù)據(jù)���。隧道模式提供了網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸安全性�����。當數(shù)據(jù)在客戶和服務(wù)器之間傳輸時����,僅當數(shù)據(jù)到達網(wǎng)關(guān)時才得到加密���,其余路徑不受保護�。一旦到達網(wǎng)關(guān)�,就采用IPSec進行加密,等到達目的網(wǎng)關(guān)之后,數(shù)據(jù)包被解密和驗證��,之后數(shù)據(jù)發(fā)送到不受保護的目的主機��。隧道模式通常適用于數(shù)據(jù)必須離開安全的LAN或者WAN的范圍��,且在諸如互聯(lián)網(wǎng)這樣的公共網(wǎng)絡(luò)中傳輸?shù)膱龊稀?BR>
隨著iSCSI逐漸替代Fibre Channel�,安全的IP通信日益重要。IPSec提供了一個在異種環(huán)境中加密 IP傳輸?shù)姆椒ā?/P>
