Проектирование доменов и развертывание Active Directory


Достоинства безопасности IP - часть 3


IPSec может защищать пути между компьютерами, между шлюзами защиты или между шлюзами защиты и компьютерами. Услуги, доступные и требуемые для трафика, настраиваются с использованием политики IPSec. Политика IPSec может быть настроена локально на отдельном компьютере. или может быть назначена через механизмы групповой политики Windows 2000 в Active Directory. Политика IPSec определяет, как компьютеры доверяют друг другу. Самое простое — полагаться на применение доменов доверия Windows 2000, основанных на протоколе Kerberos. Для того чтобы доверять компьютерам в том же самом или в другом доверенном домене Windows 2000, задается предопределенная политика IPSec.

Каждая датаграмма на уровне протокола IP сравнивается

с

набором фильтров, предоставляемых политикой безопасности, которая поддерживается администратором для компьютера, пользователя, организационной единицы (OU) или всего домена. С любой датаграммой службы IP могут выполнить одно из трех действий:

  • Передать на обработку службам IPSec

    • Передать ее без изменений

      • Игнорировать ее

        Установка IPSec включает описание характеристик трафика для фильтрации (IP-адрес источника/адресата, протокол, порт и т. д.) и определение того, какие механизмы требуется применить для трафика, соответствующего фильтру (фильтрам). Например, в очень простом случае два автономных компьютера могут быть сконфигурированы для использования IPSec между ними в одном и том же домене Windows 2000 и активизации политики

        "закрытости"

        (lockdown). Если два компьютера — не элементы одного и того же или доверенного домена, то доверие должно быть сконфигурировано с использованием пароля или ключа pre-shared в режиме "закрытый":

        • Установка фильтра, который определяет весь трафик между двумя компьютерами.

          • Выбор метода опознавания (выбор ключа pre-shared или ввод пароля).

            • Выбор политики переговоров (в режиме "закрытый", при этом весь трафик, соответствующий фильтру (фильтрам), должен использовать IPSec).




              Начало  Назад  Вперед