IPSec 协议:
IPsec是跨平台的一项增强系统安全的策略软件,兼容性很强,既可以运行于windows上,也可以运行与 UNIX(Linux)上。IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
引用Ipsec原因:
1、一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。
2、 另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。

IPSec 的应用方式:
1、 端到端(end-end):主机到主机的安全通信
2、 端到路由(end-router):主机到路由设备之间的安全通信
3、 路由到路由(router-router):路由设备之间的安全通信,通常用于在两个网络之间建立虚拟专用网
windows 下的IPSec策略使用:
一、默认三种策略: 服务器(请求安全) 客户端(仅响应) 安全服务器(需要安全)
1、服务器(请求安全):主动地请求使用IPSec。当其他计算机要与你的计算机通信时,或者你的计算机要跟其他计算机通信时,你的计算机都会请求对方使用IPSec,若对方不支持IPSec,也可以接受没有IPSec的方式通信。
2、 客户端(仅响应):被动的使用IPSec,也就是只有其他计算机要求与你的计算机利用IPSec来通信时,你的计算机才会使用IPSec。
3、 安全服务器(需要安全):主动要求必须使用IPSec。其他计算机与你的计算机,或者你的计算机与其他计算机通信时,都必须使用IPSec,若对方不支持,则双方无法通信。
二、自定义策略主要包括三部分:IP 筛选器列表、筛选器操作、身份认证方法
1、IP筛选器列表(IP Filter List)
定义双方的IP地址,通信协议及端口
2、筛选器操作
许可--- 表示双方通信不需要IPSec
阻止--- 表示拒绝双方通信
协商安全--- 双方协商出一种安全通信的方法。
3、身份认证方法
用来选择在IKE执行密钥交换动作时,双方用来验证对方身份的方法总共支持3种验证方法:
1、Kerberos 这是默认的验证方法。必须支持Kerberos V5的计算机才可以使用这种验证方法,例如,Windows 2000/XP/2003,而且这些计算机必须是同一个域或者是受信任域内的成员,基于域环境。
2、证书。采用此种验证方法的计算机必须向受信任的CA(certification authority,证书颁发机构)申请X.509 Version 3的证书。Windows 2000/XP/2003都支持证书方法验证。
3、预共享密钥。采用此方法双方必须设置一个相同的字符串

通过以下实验学习IPSec协议:
1、通过IPSec的Kerberos认证,客户端协商ping通服务器
 2、IPSec的共享密钥认证,加强Windows2003远程桌面服务器
3、IPSec的CA证书认证,加强Windows2003远程桌面服务器
4、IPSec的共享密钥认证,加强Windows2003 ×××服务器