|
|
发信人:qmzh@smth.org (一个人的战争),信区:cn.bbs.comp.security
标 题:ipsec(安全IP)5
发信站:BBS 水木清华站
转信站:LeafOK!news.zixia.net!maily.cic.tsinghua.edu.cn!SMTH
安全策略数据库
Ipsec 策略由“安全策略数据库(Security Policy Database ,SPD
)”加以维护
。
在SP
D 这个数据库中,每个条目都定义了要保护的是什么通信、怎样保护它以
及和谁共享这
种保
护。对于进入或离开IP 堆栈的每个包,都必须检索SPD 数据库,调查可能
的安全应用。
对
一
个SPD条目来说,它可能定义了下述几种行为:丢弃、绕过以及应用。其中
,“丢弃”表
示
不
让这个包进入或外出;“绕过”表示不对一个外出的包应用安全服务,也
不指望一个进
入的
包进行了保密处理;而“应用”是指对外出的包应用安全服务,同时要求
进入的包已应
用了
安全服务。对那些定义了“应用”行为的SPD 条目,它们均会指向一个或
一套SA ,表示
要
将
其应用于数据包。
Ipsec 通信到Ipsec 策略的映射关系是由“选择符(Selector)”来
建立的。选择
符标
识通
信的一部分组件,它既可以是一个粗略的定义,也可以是一个非常细致的
定义。Ipsec
选择
符包括:目标IP 地址源IP 地址、名字、上层协议、源和目标端口以及一
个数据敏感级
(假
如也为数据流的安全提供了一个Ipsec 系统)。这些选择符的值可能是特
定的条目、一
个范
围或者是一个“不透明”。在策略规范中,选择符之所以可能出现“不透
明”的情况,
是由
于在那个时刻,相关的信息也许不能提供给系统。举个例子来说,假定一
个安全网关同
另一
个安全网关建立了Ipsec 通道,它可指定在该通道内传输的(部分)数据
是网关背后的
两个
主机之间的Ipsec 通信。在这种情况下,两个网关都不能访问上层协议或
端口,因为它
们均
被终端主机进行了加密。“不透明”亦可作为一个通配符使用,表明选择
符可为任意值
。假
定某个SPD 条目将行为定义为“应用”,但并不指向SADB 数据库内已有的
任何一个SA
,那
么在进行任何实际的通信之前,首先必须创建那些SA 。如果这个规则用于
自外入内的“
进
入
(Inbound)”通信,而且SA 尚不存在,则按照Ipsec 基本架构的规定,
数据包必须丢
弃。
假如该规则用于自内向外的“外出(Outbound)”通信,则通过Internet
密钥交换,便
可
--
※ 来源:.武汉白云黄鹤站WWW bbs.whnet.edu.cn. [FROM: 202.110.136
.194]
--
�[m�[1;35m※ 来源:·BBS 水木清华站 smth.org·[FROM: 61.174.143.2
25]�[m
.
|
|