Microsoft专用安全网络访问虚拟专用网络和内联网安全性.doc
《Microsoft专用安全网络访问虚拟专用网络和内联网安全性.doc》由会员分享,可在线阅读,更多相关《Microsoft专用安全网络访问虚拟专用网络和内联网安全性.doc(16页珍藏版)》请在三一文库上搜索。
1、 操作系统 Microsoft 专用安全网络访问: 虚拟专用网络和内联网安全性 白皮书白皮书 摘要摘要 Microsoft Windows操作系统包括了保护专用和公共网络间通讯的技术。 Microsoft 目前的产品提供了许多工具,这些工具在链路层和传输层提供安全性 的服务,它们同样为电子邮件提供应用层的安全性。链路层安全性对远程访问通 讯的传输和对分支网络连接的传输都进行数据加密。传输层安全性则允许保护基 于 TCP 的协议,包括 World Wide Web 通讯。另外,Windows 2000 将通过 Internet Protocol (网间协议,简称 IP) 安全,或者叫 IPSec
2、,提供端到端的网络 层安全性服务。IPSec 允许受保护的服务在内部网络中使用。 此白皮书主要集中于链路层和端到端连接方案的安全性。它解释了微软公司为何 致力于支持 Point-to-Point Tunneling Protocol (点到点隧道协议,简称 PPTP), Layer 2 Tunneling Protocol (第二层隧道协议,简称 L2TP),和 IPSec 协议以便 满足不同消费者的需求。此白皮书还详细介绍了微软公司在 Windows 操作系统 上实现这些协议的计划。 1999 Microsoft Corporation. 保留所有权利 这份文档中的内容反应了目前微软公司关于
3、所讨论 问题的观点。由于Microsoft将会根据市场的变化 做出反应,此份文档不能够被认为是Microsoft做 出的承诺,并且对以下提到的信息在发布以后的准 确性不负任何责任。 白皮书仅用于交换信息。Microsoft在此份文档中在此份文档中 没有作出任何直接表述的或暗示的保证。没有作出任何直接表述的或暗示的保证。 Microsoft, Active Directory, MSN, Windows, 和 Windows NT都是Microsft公司在美国和/或者其他 国家的注册商标或者商标。文中提到其他产品或公 司名称都属于各自的公司所有的商标。 Microsoft Corporation
4、 One Microsoft Way Redmond, WA 98052-6399 USA 0599 简介简介1 用于保护网络通讯的协议用于保护网络通讯的协议.3 IPSec 的设计目标和总览3 L2TP 设计目标和总览3 PPTP 设计目标和总览4 微软公司对 IPSEC、L2TP/IPSEC 和 PPTP 协议的立场.6 IPSec6 L2TP/IPSec6 PPTP6 微软公司对 IPSEC、L2TP 和 PPTP 的支持8 IPSec8 L2TP9 PPTP9 远程访问策略管理远程访问策略管理9 客户机管理客户机管理9 对于安全网络通讯的平台支持对于安全网络通讯的平台支持.11 进一步
5、的信息12 目录 Windows 2000 白皮书 1 对于规模各异的各种企业来说, 网络安全的重要性在日益增加。不论是否需要保护在 远程访问进程、分支网络、或者因特网中传输的信息,解决这种形式的安全问题都是 必需的。一般来说,安全性并不是一个单一的产品或者技术,它是多种技术和 管理 策略的一个集成,管理策略提供了一个保护措施,这种措施在可应用的范围和可接受 的风险之间进行了均衡。微软公司非常严肃认真地对待安全性的问题,并积极主动开 展多项工作,以便为消费者提供轻松制定并管理安全策略的技术和工具。 安全服务包括机密性、完整性保护、认证、授权和回放保护。在这些工具中,是网络 加密服务帮助减小了在
6、公共或者专用网络中传输敏感信息的风险。微软公司同样非常 关心用户的总成本,并致力于提供标准的解决方案以便在 Windows 平台上能提供最 大的通讯互操作性和灵活性。 保护网络安全有三种主要的模型,微软公司支持其中的每一种: 今天,许多应用程序驻留在计算机上,以便用于通过公共或者专门网络进行的访 问,它们通过 HTTPS、SOCKS、或者 SSL 等传输层安全性传输层安全性技术提供保护。由 SSL/TLS 提供的传输层安全性是指为了使用这些安全服务而专门改写的基于 TCP 的应用程序,微软公司通过它的产品广泛地支持 SSL/TLS。然而 SSL/TLS 的应用并不很适合集中管理的模式,因为这些
7、服务常常以逐页使用的方式工作。 SOCKS 是一个已认证了的防火墙穿越协议,它提供可扩展的认证,以及对连入 和连出的会话的颗粒化认证。尽管微软公司不支持 SOCKS V,但是 SOCKS V 仍然可以在支持 TCP 和 UDP 的协议中使用, 而且可以应用于集中的管理。由 此,SSL/TLS 和 SOCKS 技术相互补充,可以一起来使用,在虚拟专用网络内 和外部网上提供传输层安全性。 许多公司使用专用或可靠的网络基本设施,包括内部和外部有线设备和广域网, 这样通过虚拟或物理的安全性提供一定的专用性。然而,这些网络并不能防备疏 忽大意产生的危险,也不能在信息通过网络时防止外面的人浏览。由于绝大多
8、数 入侵突破都发生在一个公司的网络内部,因此我们需要特别的技术来防止信息被 盗窃或者攻击。 端到端网络安全性端到端网络安全性 由安全技术和协议组成,这些技术和协议对通讯进行透明的 保护。要获得此安全性,细致的网络规划和配置是必需的。这些工具一般通过管 理策略来管理,以便在不涉及应用程序和终端用户的情况下,在通过网络进行传 输时能够对通讯进行很好的保护。 根据虚拟专用网络(VPN)主要的分类,所有三种模型都在工业标准中被讨论了。尽 管每个模型都在一定程度上提供了专用网络的功能,这个泛泛的定义还是很让人迷惑。 因此,微软公司采用了对于该名称的一个更严格的定义,并使用“VPN”指通过公共 或不可靠的
9、网络基础结构来提供安全性。 它包括: 保护从客户机到网关的远程访问,这些访问或者通过因特网,或者在专用网络内 部,或者通过外联的(Outsourced)网络。 保护网关到网关的连接,这些连接或者通过因特网,或者通过专用或外联的网络。 另外,依靠第一个实现在专用网络中保护端到端通讯的操作系统集成的解决方案,微 软公司成为了该行业的领先者。Windows 2000 利用 Active Directory(活动目录) 目录服务和 IPSec(网间协议安全性)的集成来传递基于安全管理的中央控制策略。 简介简介 Windows 2000 白皮书 2 此文讨论了微软公司对于 VPN 和端到端模型网络安全性
10、的看法和方向。它描述了主 要网络协议之间的重要的不同之处,讨论了微软公司和这些协议间的关系,并解释微 软公司在其操作系统中如何支持这些协议。 Windows 2000 白皮书 3 在过去的几年中,出现了许多协议,它们可以被分类到 VPN 协议和通讯加密协议两 种。这些协议包括: Internet Protocol Security (IPSec) 一个体系结构、协议和相关的网间密 钥交换(IKE)协议,由 IETF RFCs 2401-2409 描述。 Layer 2 Forwarding (第二层转接,简称 L2F) 由 Cisco 系统提出。 Layer 2 Tunneling Proto
11、col (第二层隧道协议,简称 L2TP) PPTP 和 L2F 的一个结合,它由 IETF 的标准过程进化而来。 Point-to-Point Tunneling Protocol (点到点隧道协议,简称 PPTP) 由 PPTP 行业论坛创建(包括 US Robotics(现在是 3Com)、3Com/Primary Access、Ascend、 Microsoft、和 ECI Telematics)。 尽管许多人认为 IPSec、L2TP、和 PPTP 是极具竞争力的技术,但是这些协议只能 提供适用于不同用途的不同功能。要很好地理解这个问题,考虑一下这些协议的设计 目标和技术差别是很有用
12、的。 IPSec 的设计目标和总览 IPSec 为网间协议通讯提供完整性保护、认证和(可选的 )专用性和回放保护服务: IPSec 数据包有两种类型: IP 协议 50 叫做 Encapsulating Security Payload (负载的安全性封装,简称 ESP)格式,它提供专用性、认证和完整性。 IP 协议 51 叫做 Authentication Header (认证头,简称 AH)格式,它只描述数据 包的完整性和认证,但是没有专用性。 IPSec 可以在两种模式中使用:传输模式,它确保一个现有的 IP 数据包从数据源到 目的地正确地传输;隧道模式,它将一个现有的 IP 数据包放入
13、一个新的 IP 数据包中, 这个新的 IP 数据包以 IPSec 格式被送到一个隧道的端点。传输模式和隧道模式都可 以被封装在 ESP 或者 AH 头中。 IPSec 传输模式被设计用来为两个通讯系统间端到端的 IP 通讯提供安全性保障,例 如保护一个 TCP 连接或者一个 UDP 数据报文。IPSec 隧道协议主要为网络中继点、 路由器或者网关而设计,它主要保护在一个 IPSec 隧道内的其他 IP 通讯,这个隧道 通过一个公共的,或者不可靠的 IP 网络(例如互联网)将一个专用网络和另一个专 用网络相连接。在两种情况下,通过 Internet Key Exchange(网络密钥交换,简称
14、IEK)就在两台计算机之间形成了一个复杂的安全协定,一般使用 PKI 来认证双方的真 实可靠性。 IETF RFC IPSec 隧道协议的技术规范不包括适用于远程访问 VPN 客户机的机制, 省却的功能包括用户认证选项或者客户机 IP 地址配置。要将 IPSec 隧道模式应用于 远程访问,一些供应商选择用专用的方法来扩展协议以解决这些问题。尽管这些扩展 中的一部分写成了互联网草案的文档,它们仍然缺乏标准的形式,并且通常不能相互 操作。由此导致消费者必须仔细考虑这些技术的实现是否支持多供应商的互操作性。 L2TP 设计目标和总览 L2TP 是一项成熟的被广泛使用的 IETF 标准协议。L2TP
15、封装了 Point-to-Point Protocol (PPP)帧,以便通过 IP、X.25 帧中继,或者异步传输模式(ATM)网络传 用于保护网络通讯的协议用于保护网络通讯的协议 Windows 2000 白皮书 4 输。当配置为使用 IP 进行传输时,L2TP 可以作为一个在互联网上的 VPN 隧道协议 使用。IP 上传输的 L2TP 使用 UDP 的 1701 端口,并且包括了一系列维护隧道的 L2TP 控制消息。L2TP 同样使用 UDP 来发送 L2TP 封装的 PPP 帧作为隧道数据。 被封装的 PPP 帧可以被加密或者被压缩。当 L2TP 隧道作为 IP 数据包出现时,它们 使
16、用 IPSec 传输模式完成高度集成、回放、认证和专用保护等功能,从而充分利用了 标准 IPSec 的安全性。L2TP 是专门为客户机连接到网络访问服务器而设计的,它也 同样适用于网关到网关的连接。通过使用 PPP,L2TP 协议获得了 IPX 和 Appletalk 等多种协议的支持。PPP 还提供了一个可扩展的用户认证选择,包括 CHAP、MS- CHAP、MS-CHAPv2 和 Extensible Authentication Protocol(可扩展认证协议,简称 EAP),EAP 支持令牌卡和智能卡认证机制。利用 IPSec 良好的而且满足互操作的安 全性,L2TP/IPSec 提
17、供了精确定义并且可以互操作的隧道操作。这是保护远程访问 和网关到网关访问的一个非常好的解决方案。 PPTP 设计目标和总览 设计 PPTP 是用于客户机到网关或者两个网关之间的认证和加密通讯,它不需要一个 公用密钥的基础结构,只使用一个用户帐号和密码。它最早在 1996 年发布,比 IPSec 和 L2TP 要早两年。它的设计目标是简单化、多协议支持和能够跨越大范围的 IP 网络。Point-to-Point Tunneling Protocol (点到点隧道协议,简称 PPTP)使用一个 TCP 连接来维护隧道,使用 Generic Routing Encapsulation (通用路由封装
18、,简称 GRE) 封装的 PPP 帧来通过隧道传输数据。封装的 PPP 帧的有效负载可以被加密和/ 或压缩。PPP 的使用提供了处理认证、加密和 IP 地址分配服务的能力。 表一概述了这三种安全协议之间的一些关键的技术差别。 Windows 2000 白皮书 5 表一、网络安全协议的差别 功能功能描述描述PPTP/ PPP L2TP/ PPP L2TP/ IPSec IPSec Xport IPSec Tunnel 用户认证可以认证正在创建通讯连接的用户。是是是WIP1WIP 计算机认证认证通讯中涉及到的计算机。是 2 是是是是 支持 NAT 可以通过网络地址翻译器来隐藏通讯的一个或 两个端点
19、。 是是不是不是不是 多协议支持定义了一个传输 IP 和非 IP 数据的标准方法。是是是不是WIP 动态隧道 IP 地址分配定义了一个标准的方法来为通过隧道的通讯部 分处理 IP 地址,这是很重要的一点,因为这 样就可以使返回的数据包通过同样的路径返回, 而不是通过非隧道或者不可靠的路径,它还省 掉了静态、人工的终端系统配置。 是是是N/AWIP 加密可以加密它传输的数据。是是是是是 使用 PKI可以使用 PKI 来完成加密和/或认证。是是是是是 数据包认证提供一个认证方法以保证数据包的内容在传输 过程中没有被改变过。 不是不是是是是 多址广播支持不但支持 IP 的单点传输,而且支持 IP 的
20、多址 广播。 是是是不是是 1.现在还不能提供支持,但由 IETF IPSec 工作组负责的开发正在进行(work in progress,WIP)。 2当作为客户机 VPN 连接使用时,它认证用户,而不是计算机。当作为网关到网 关连接使用时,计算机被分配一个用户帐号并被认证。 Windows 2000 白皮书 6 IPSec 通过精心设计,IPSec 传输模式对于在公司网络内部实现端到端认证和加密非常理想。 微软公司在 IETF 内部与其它公司通力合作,并同重要的网络供应商紧密协作,以保 证支持这种方案的 IPSec 技术细节标准能够满足互操作性。 在大多数客户机到网关的 VPN 方案中,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Microsoft 专用 安全 网络 访问 虚拟 联网 安全性
链接地址:https://www.31doc.com/p-2510630.html