ipsec是什么_ipsec怎么用

　　IPsec：IP層協(xié)議安全結構

　　IPsec 在 IP 層提供安全服務，它使系統(tǒng)能按需選擇安全協(xié)議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。 IPsec 用來保護一條或多條主機與主機間、安全網(wǎng)關與安全網(wǎng)關間、安全網(wǎng)關與主機間的路徑。

　　IPsec 能提供的安全服務集包括訪問控制、無連接的完整性、數(shù)據(jù)源認證、拒絕重發(fā)包（部分序列完整性形式）、保密性和有限傳輸流保密性。因為這些服務均在 IP 層提供，所以任何高層協(xié)議均能使用它們，例如 TCP 、 UDP 、ICMP 、 BGP 等等。

　　這些目標是通過使用兩大傳輸安全協(xié)議，頭部認證（AH） 和封裝安全負載 （ESP），以及密鑰管理程序和協(xié)議的使用來完成的。所需的 IPsec 協(xié)議集內容及其使用的方式是由用戶、應用程序、和/或站點、組織對安全和系統(tǒng)的需求來決定。

　　當正確的實現(xiàn)、使用這些機制時，它們不應該對不使用這些安全機制保護傳輸?shù)挠脩?、主機和其他英特網(wǎng)部分產(chǎn)生負面的影響。這些機制也被設計成算法獨立的。這種模塊性允許選擇不同的算法集而不影響其他部分的實現(xiàn)。例如：如果需要，不同的用戶通訊可以采用不同的算法集。

　　定義一個標準的默認算法集可以使得全球因英特網(wǎng)更容易協(xié)同工作。這些算法輔以 IPsec 傳輸保護和密鑰管理協(xié)議的使用為系統(tǒng)和應用開發(fā)者部署高質量的因特網(wǎng)層的加密的安全技術提供了途徑。

　　IPSec 不是特殊的加密算法或認證算法，也沒有在它的數(shù)據(jù)結構中指定一種特殊的加密算法或認證算法，它只是一個開放的結構，定義在IP數(shù)據(jù)包格式中，為各種的數(shù)據(jù)加密或認證的實現(xiàn)提供了數(shù)據(jù)結構，為這些算法的實現(xiàn)提供了統(tǒng)一的體系結構，因此，不同的加密算法都可以利用IPSec定義的體系結構在網(wǎng)絡數(shù)據(jù)傳輸過程中實施

　　Vista系統(tǒng)常用英文專業(yè)詞語

　　互聯(lián)網(wǎng)協(xié)議安全（Internet Protocol Security），一個標準機制，用于在網(wǎng)絡層面上為穿越IP網(wǎng)絡的數(shù)據(jù)包提供認證，完整性，以及機密性。

　　IPsec協(xié)議工作在OSI 模型的第三層，使其在單獨使用時適于保護基于TCP或UDP的協(xié)議（如 安全套接子層（SSL）就不能保護UDP層的通信流）。這就意味著，與傳輸層或更高層的協(xié)議相比，IPsec協(xié)議必須處理可靠性和分片的問題，這同時也增加了它的復雜性和處理開銷。相對而言，SSL/TLS依靠更高層的TCP（OSI的第四層）來管理可靠性和分片。

　　Windows設置IPsec使用說明

　　1. Windows 2003的IPsec（PolicyAgent服務）和RemoteAccess服務沖突，

　　RemoteAccess服務和SharedAccess服務沖突。

　　通過修改注冊表開啟IP轉發(fā)功能，可在SharedAccess服務開啟狀態(tài)下工作，

　　這時候不需開啟RemoteAccess服務，

　　D：\》reg.exe query “HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters” /v “

　　IPEnableRouter”

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　IPEnableRouter REG_DWORD 0x1

　　D：\》

　　但是如果某一接口使用了IPsec，則必須停止SharedAccess服務，IP轉發(fā)功能才生效。

　　2. 創(chuàng)建IPsec策略的精髓是創(chuàng)建兩條IPsec篩選器，兩個篩選器都不要做鏡像，

　　一條IPSecTunnelIn，隧道終結點為對方終結點，

　　一條IPsecTunnelOut，隧道終結點為己方終結點，

　　3. Windows 2003配置調試IPsec都可以用netsh工具完成。

　　C：\WIN2K3\system32》netsh

　　netsh》ipsec dynamic

　　netsh ipsec dynamic》show config

　　IPSec 配置參數(shù)

　　---------------

　　IPSecDiagnostics ： 0 ---對應系統(tǒng)日志

　　IKElogging ： 0 ---對應oakley.log

　　StrongCRLCheck ： 1

　　IPSecloginterval ： 3600

　　IPSecexempt ： 3

　　啟動模式 ： 許可

　　啟動模式免除 ：

　　協(xié)議 源端口 目標端口 方向

　　--------- --------- --------- ---------

　　UDP 0 68 入站

　　netsh ipsec dynamic》

　　3.1. 打開IKE的Logging（已過時）

　?。跦KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley］

　　“EnableLogging”=dword:00000001

　　然后重新啟動機器，在C：\WINDOWS\Debug目錄下發(fā)現(xiàn)oakley.log。

　　ikelogging和 strongcrlcheck將被立即激活；所有其它屬性將在下次重啟動后生效。

　　3.2. 設置到對方內網(wǎng)的路由

　　3.3. 運行secpol.msc配置IPsec

　　3.4. 運用netsh察看ipsec

　　netsh ipsec dynamic》show mmpolicy all

　　IKE MM 策略名稱 ： 6

　　IKE 軟 SA 生存時間 ： 86400 秒

　　Encryption Integrity DH Lifetime （Kb:secs） QM Limit Per MM

　　---------- --------- ---- ------------------ ---------------

　　3DES MD5 2 0:86400 0

　　netsh ipsec dynamic》show qmpolicy all

　　QM 協(xié)商策略名稱 ： test

　　安全方法 生存時間 （Kb:secs） PFS DH 組

　　------------------------- --------------------- ------------

　　ESP［3DES，MD5］ 1048576:3600 主模式已派生

　　netsh ipsec dynamic》show mmfilter all

　　主模式篩選器： 普通

　　-------------------------------------------------------------------------------

　　篩選器名稱 ： 15

　　連接類型 ： 所有

　　源地址 ： 《我的 IP 地址》 （255.255.255.255）

　　目標地址 ： 10.47.159.251 （255.255.255.255）

　　身份驗證方法 ：

　　預共享密鑰

　　安全方法 ： 1

　　3DES/MD5/DH2/86400/QMlimit=0

　　------------------------------------------

　　-------------------------------------

　　篩選器名稱 ： 14

　　連接類型 ： LAN

　　源地址 ： 《我的 IP 地址》 （255.255.255.255）

　　目標地址 ： 10.47.159.66 （255.255.255.255）

　　身份驗證方法 ：

　　預共享密鑰

　　安全方法 ： 1

　　3DES/MD5/DH2/86400/QMlimit=0

　　2 普通篩選器

　　netsh ipsec dynamic》show qmfilter all

　　快速模式篩選器（隧道）： 普通

　　-------------------------------------------------------------------------------

　　篩選器名稱 ： 14

　　連接類型 ： LAN

　　源地址 ： 192.168.22.0 （255.255.255.0 ）

　　目標地址 ： 172.16.159.0 （255.255.255.0 ）

　　隧道源 ： 《任何 IP 地址》

　　隧道目標 ： 10.47.159.66

　　協(xié)議 ： ANY 源端口： 0 目標端口： 0

　　已鏡像 ： 否

　　快速模式策略 ： test

　　入站操作 ： 協(xié)商

　　出站操作 ： 協(xié)商

　　-------------------------------------------------------------------------------

　　篩選器名稱 ： 15

　　連接類型 ： 所有

　　源地址 ： 172.16.159.0 （255.255.255.0 ）

　　目標地址 ： 192.168.22.0 （255.255.255.0 ）

　　隧道源 ： 《任何 IP 地址》

　　隧道目標 ： 10.47.159.251

　　協(xié)議 ： ANY 源端口： 0 目標端口： 0

　　已鏡像 ： 否

　　快速模式策略 ： test

　　入站操作 ： 協(xié)商

　　出站操作 ： 協(xié)商

　　2 普通篩選器

　　netsh ipsec dynamic》