扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
从Windows 2000 开始,IPsec的已包含在每一个微软的Windows桌面操作系统和服务器操作系统里面,虽然Windows已经成为了主流操作系统,但是奇怪的是很多公司都不去使用Windows自带的IPsec技术,更多的IT专业管理人员只是把IPsec理解为在做VPN配置时的一个远程连接选项。
微软员工说:“大家条件反射般的认为IPsec是用于VPN的,我们要努力的打开IPsec这把锁,真正的发挥IPsec的价值”。
IPsec不但可以用到VPN上,它也可以做基本的包过滤,对目的IP地址和源IP地址进行限制,还可以控制网络端口。
IPsec能保护未经网络认证的非法主机对Windows主机之间进行的通信。这项认证是基于Kerberos ,证书,或预共享密钥,并且具有可选择性,它也可以执行加密功能,来保证端点之间的通信安全。
通过把管理终端与联合管理机器中域隔离,微软认为这是最简单的保护服务器的方法,在2004年,微软在自己的企业网络中部署IPsec,来保护超过20000个系统。
12月Ponemon研究所和deloitte&touche公司公布的一项调查发现,有85%的企业至少存在有一个安全漏洞,在过去的12个月里,有63%的企业遭受到6到20次的员工资料被泄露。
使用IPsec能有效防止未经认证的主机与正常主机的通信,从而更好的管理Windows主机。有些恶意攻击通过远程访问有缺陷的Windows主机,企图夺取管理控制权,但是这些都是无用的,因为当发现那些没有通过域认证的机器试图访问网络的时候,IPsec将自动阻断它的连接。
如果你的公司计划进行实施部署新的NAC(网络访问控制),IPsec应该是你要考虑的一个重要因素。虽然NAP(网络访问保护)能够对主机进行免疫,但是如果再配合上IPsec可以更好的保护DHCP,VPN和802.1x网络。
使用NAP和IPsec来检查发现不符合规定的Windows端点,一旦启用IPsec来处理后就只允许合法主机和NAP服务器会话。一旦端点通过正常检查,认证服务器给该主机发放一个证书,证明该主机是合法主机。通过做IPsec策略来允许合法端点和其他管理主机的通信。
为什么IPsec如此强大,却不能被广泛使用呢?问题的答案就是IPsec的历史。因为以往大家普遍认为VPN技术只能靠微软的特有技术IPsec来配置。事实上,在做之前都需要先配置Windows自带的防火墙,这就很容易造成一些冲突。
微软认识到这些问题以后,微软与实际相结合在2006年更新了针对Windows xp和2003 服务器版本的IPsec策略。在Vista和Server 2008的Windows防火墙里面都增加了IPsec配置。这是不是有些晚了呢,是不是很难扭转用户对IPsec过去的认识?只有时间来告诉我们这个答案。
基于Windows的IPsec ,也可能被微软视为中心解决方案,但是它并不能涉及扩展到到其他平台,如Linux和Mac OS x。去年5月,微软的开放源代码软件(OSS )实验室完成了IPsec在Liux和Vista之间的互操作性测试。在这项测试中,建立了Linux与Vista的端点认证,利用证书和预共享密钥进行了加密通讯。这项测试最终有可能使Linux系统与Windows主机共存于一个IPsec的域,或服务器隔离环境里面。但是到目前为止,还没有发现和MAC os系统上有类似的测试。
如果你的IT供应商还用过去的眼光看待IPsec,虽然以前曾经也关注过IPsec,但是最终还是放弃了对它的支持。现在这个技术已经提高了。IPsec就包含在Windows系统里面,并不收取任何费用。我们对服务器进行隔离,增加域安全性,防止违规主机对数据进行篡改而造成不必要的麻烦。这将是一个伟大的开始,从Vista产品到Windows 2008 服务器版和Windows xp的sp3都会全面支持IPsec。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者