IPsecの主な特長があります:
- 認証、およびそれに含まれる個人データは、プライベートネットワークを保護します。 のIPSec - the - middle攻撃を、攻撃者がネットワークにアクセスしようと、攻撃者がデータパケットの内容を変更するから男性からのプライベートなデータを保護します。
- 暗号化のため、当事者は、許可されていないと解釈することはできませんが、データパケットの実際の内容を隠す。
IPSecのパケットフィルタリング機能を提供するために使用することができます。 また、 2つのホストとの間のホスト間のトラフィックを暗号化、認証トラフィックを通過することができます。 IPSecは仮想プライベートネットワーク( VPN )を作成するために使用することができます。 IPSecのも、インターネット上のリモートオフィスやリモートアクセスクライアント間の通信を有効にするために使用することができます。
IPSecのネットワーク層でのエンドツーエンドの暗号化を提供するために運営しています。 これは基本的には元のコンピュータは、データ送信時は暗号化され、そのデータを意味します。 すべての中間システムは、パケットのペイロードとして暗号化された部分を処理します。 ルータのような中級のシステムだけで目的地には、パケット転送が終了。 中間システムは、暗号化されたデータを復号化していません。 暗号化されたデータは、目的地に到達したときのみ復号化されています。
IPSecのインターフェイスでは、 TCP / UDPのトランスポート層とインターネット層、および透過的アプリケーションに適用されます。 IPSecのユーザーにも透過的です。 これは、基本的には、 IPSecは、 TCPプロトコルの大部分のセキュリティを提供することができます/ IPプロトコルスイートのことを意味します。 ときにアプリケーションになると、すべてのアプリケーションを使用するTCP / IPのIPsecのセキュリティ機能を楽しむことができます。 セキュリティを設定していないため、各特定のTCP / IPベースのアプリケーションです。 ルールやフィルタを使用することにより、 IPSecのネットワークトラフィックを受け取ることができますし、必要なセキュリティプロトコルを選択し、使用するアルゴリズムを決定し、暗号鍵のいずれかのサービスに必要な申請が可能です。
セキュリティ機能とIPsecの機能は、次からは、プライベートネットワークとプライベートの機密データを保護するために使用することができます
- サービス拒否( DOS )の攻撃
- データそとう。
- データの破損。
- ユーザーの資格情報の窃盗
Windows Server 2003では、 IPSecのプロトコルは、認証ヘッダ( AH )を使用し、セキュリティペイロード( ESP )カプセル化プロトコルのデータセキュリティを提供するために:
- クライアントコンピュータ
- ドメインサーバー
- 企業のワークグループ
- ローカルエリアネットワーク( LAN )
- ワイドエリアネットワーク( WANs )
- リモートオフィス
IPSecのセキュリティ機能と機能が提供する以下に要約されます:
- 認証、デジタル署名の情報の送信者の身元を確認するために使用されています。 IPSecのKerberosのは、事前共有キー、または認証のためのデジタル証明書を使用することができます。
- データの整合されたハッシュアルゴリズムは、データを確保するために使用されますが改ざんされていません。 チェックサムは、パケットのデータの計算されたハッシュメッセージ認証コード( HMACは)と呼ばれる。 ときにパケットを通過中に変更されますが、計算したHMACは変更されます。 この変更は、受信側のコンピュータで検出されます。
- データのプライバシー保護、暗号化アルゴリズムは、データ伝送を確保するために活用されている解読不能です。
-
リプレイ防止;する試みは、プライベートネットワークにアクセスするには、パケットを再送するから、攻撃を防ぎます。
- 否認防止;公開鍵デジタル署名メッセージの発信元を証明するために使用されています。
- 動的rekeying ;鍵データを別のキーとの通信を保護するためのセグメントの送信時に作成することができます。
- 鍵の生成、 Diffie - Hellman鍵合意アルゴリズムを2台のコンピュータの共有を有効にする暗号化キーを交換するために使用されます。
- IPパケットのフィルタリング、パケットフィルタを使用でき、特定の種類のトラフィックは、以下のいずれかの要素、またはそれらの組み合わせにIPsecの機能ブロックに基づいてフィルタリング:
どのような新しいWindows Server 2003でのIPSec
IPSecのいくつかの新機能Windows Server 2003で、一緒には、以前のWindowsオペレーティングシステムに存在するいくつかのIPSec機能を拡張機能に含まれています:
- Server 2003のは、 MMCスナップインとして実装され、新しいIPセキュリティモニタツールに含まれています。 IPセキュリティモニタツールIPSecセキュリティ監視強化を提供します。 IPセキュリティモニタツールを使用すると、次のような行政活動を行うことができます:
- カスタマイズは、 IPセキュリティモニタディスプレイ
- モニタは、ローカルコンピュータ上のIPSec情報。
- リモートコンピュータのモニタのIPSec情報。
- IPSec統計情報を表示します。
-
IPSecポリシーに関する情報を見る
- セキュリティアソシエーション情報を表示します。
- 一般的なフィルタの表示
- 特定のフィルタの表示
- 特定のIPアドレスに基づいてフィルタを検索する
- IPSecの設定は、 netshコマンドラインユーティリティを使用することができます。 netshコマンドラインユーティリティは、以前使用Ipsecpol.exeをコマンドラインユーティリティに置き換えられます。
- Windows Server 2003のセットのIPSecポリシー( RSoPは)機能は、新しい結果をサポートしています。 ポリシーの結果セット( RSoPは)計算機は、特定のユーザーやコンピュータに適用されている政策を決定するために使用することができます。 ポリシーの結果セット( RSoPは)は、ユーザーやコンピュータに適用されているドメイン内のすべてのグループポリシーの合計。 これは、すべてのフィルタと例外が含まれています。 あなたがポリシー( RSoPは)ウィザードまたはコマンドからのセットの結果を介して機能を使用することができますラインは適用されているIPSecポリシーを表示します。
- Active Directoryとの統合のIPSecセキュリティポリシーを一元管理することができます。
- 5のKerberos認証は、デフォルトの認証方法をIPSecポリシーがコンピュータの身元を確認するために使用されています。
- IPSecの後ろには、 Windows 2000用のセキュリティフレームワークに対応しています。
-
場合は、ローカルポリシーまたはActive Directoryのポリシーベースのコンピュータには、今では特定のコンピュータのための永続的なポリシーを作成するオプションが適用されないことができます。 永続的な政策の特徴は:
- 永続的な政策は、 netshコマンドラインユーティリティで設定することができます。
- 永続的な政策を常に正です。
- 永続的なポリシーをオーバーライドすることはできません。
- Windows Server 2003でのIPSecの展開は、インターネットキー交換( IKE )トラフィックのIPSecを免除されています。 以前は、リソース予約プロトコル( RSVP )トラフィックは、 Kerberosトラフィック、およびIKEトラフィックのIPSecを免除された。
- IPSecのWindows Server 2003のグループ3 2048ビットのDiffie - Hellman鍵交換のサポートが含まれています。 は、グループ3のキーいると、前のグループ2 1024ビットのDiffie - Hellman鍵交換よりも複雑強い。 しかし、逆の場合は、 Diffie - Hellman鍵交換して、グループ2 1024ビットを使用するようにしているWindows 2000およびWindows XPとの互換性が必要です。
-
のIPSec ESPパケットネットワークアドレス変換( NAT ) 認証ヘッダー( AH ) :この1つの主要なセキュリティプロトコルIPSecによって使用されている。 AHの、データの認証とインテグリティを提供するため、独自の時のデータの整合性と認証関連の要因とされている機密保持することができますされていません。 AHの暗号化を提供していませんので、このため、データの機密性を提供することはできません。 認証ヘッダー( AH )と暗号ペイロード( ESP )は、主要なセキュリティプロトコルのIPSecで使用されています。 これらのセキュリティプロトコルと個別に、または一緒に使用することができます。
- 暗号ペイロード( ESP ) :この1つの主要なセキュリティプロトコルIPSecによって使用されている。 ESPの暗号化によって、データの整合性、データの認証、およびオプションのリプレイ防止サービスをサポートする他の機能データの機密性を確保します。 データの機密性、対称暗号化アルゴリズムの数を確保するために使われています。
- 証明機関( CA ) :これは、エンティティを生成し、デジタル証明書を検証しています。 そのCAは、クライアントの公開鍵には独自の署名が追加されます。 CAは、デジタル証明書を発行し取り消す。
- の Diffie - Hellman グループ : Diffie - Hellman鍵協定2台のコンピュータを共有秘密鍵を作成することができますが認証データとは、 IPデータグラムを暗号化します。 別のDiffie - Hellmanグループは、ここに記載されています:
- グループ1 ; 768ビットの鍵の強度を提供しています
- グループ2 ; 1024ビットの鍵の強度を提供しています
- グループ3 ; 2048ビットの鍵の強度を提供しています
-
インターネットキー交換( IKE ) : IKEプロトコルのコンピュータでは、セキュリティアソシエーション( SA )を作成するのDiffie - Hellman鍵を生成するために情報交換するために使用されています。 IKEの暗号鍵を管理し、交流のようにコンピュータのセキュリティ設定の共通セットを持つことができます。 交渉が発生するの認証方法、および暗号化アルゴリズムとハッシュアルゴリズムは、コンピュータが使用されます。
- IPSecドライバ : IPSecドライバは、以下を含む安全なネットワーク通信を有効にする操作のコードを実行する:
- IPSecのパケットを作成します
- チェックサムを生成します。
- IKEの通信を開始する
- は、 AHとESPヘッダを追加します
- データを暗号化する前に送信されます。
- ハッシュと、受信パケットのチェックサムを計算します。
- IPSecのポリシー : IPSecポリシーを定義するとき、どのようにデータを確保する必要がありますし、データのセキュリティを確保するための方法を使用するように定義しています。 IPSecポリシーの要素が多数含まれています:
- アクション。
- ルール
- フィルタ一覧
- フィルタ操作。
- IPSecポリシーエージェント :これは、サービスには、コンピュータのWindows Server 2003のIPSecポリシー情報にアクセスを実行する上で実行されています。 IPSecポリシーエージェントのいずれかのWindowsレジストリまたはActive Directory内では、 IPSecポリシー情報にアクセスします。
-
Oakley鍵決定プロトコル : 2つのアルゴリズムのDiffie - Hellman認証エンティティの交渉に合意しているのは秘密鍵が使用されます。
- セキュリティアソシエーション( SA ) : SAのデバイス間の関係はどのようにセキュリティサービスを使用すると設定を定義します。
- トリプルデータの暗号化( 3DESの) :これは強力な暗号化アルゴリズムを実行しているクライアントマシンのWindowsを使用する場合、およびWindows Server 2003コンピュータ。 3DESの56ビット暗号化用の鍵を使用しています。
IPSecの動作を理解する方法
セキュリティアソシエーション( SA )の最初の2つのコンピュータ間でデータを安全にコンピュータ間で渡すことができます前に確立する必要があります。 セキュリティアソシエーション( SA )のデバイスとの間の関係はどのようにセキュリティサービスを使用すると設定を定義します。 2台のコンピュータを安全に通信するには、 SAのための必要な情報を提供します。 インターネットセキュリティアソシエーションと鍵管理プロトコル( ISAKMPは) 、 IKEプロトコルは、 2台のコンピュータセキュリティアソシエーションを確立するために可能にする機構です。 2台のコンピュータ間では、 SAが確立されると、コンピュータのセキュリティ設定は、データを安全に活用することを交渉する。 セキュリティ上の鍵を交換され、コンピュータを安全に通信できるようにするために使用します。
セキュリティアソシエーション( SA )が含まれている以下の通りです:
- アルゴリズムと鍵長は、 2台のコンピュータが使用するデータを確保するための政策合意に指示。
- セキュリティキーのデータ通信を確保するために使用します。
-
セキュリティパラメータインデックス( SPI ) 。
IPSecで、 2つの別々のSAのデータの各方向の通信を確立されている:
- SAの1つの受信トラフィックを確保。
- SAの1つの送信トラフィックを確保。
上記に加えて、各IPSecセキュリティプロトコルのための独自のSAをしています。 それゆえ、基本的にSAの2種類があります:
- ISAKMP SAは:交通の流れが2つの方向性とIPSecのコンピュータ間の接続を確立する必要があると、 ISAKMP SAを確立されている。 は、 ISAKMP SAを定義し、 2台のコンピュータ間でセキュリティパラメータを処理します。 2台のコンピュータの要素の数には、 ISAKMP SAを確立することに同意:
- 接続を認証する必要がありますを調べる。
- 使用するには、暗号化アルゴリズムを決定する。
- メッセージの整合性を検証するアルゴリズムを決定する。
後に、上記の要素は、 2台のコンピュータ間で交渉されており、マスタキーのコンピュータは、 ISAKMPに合意には、 Oakleyプロトコルを使用します。 これは、上記の要素を安全なデータ通信を有効にするために使用されるマスタキーが共有されています。
通信チャネルを確保した後、 2台のコンピュータ間、コンピュータの起動には次の要素を交渉するために設立されます:
- かどうかは、認証ヘッダー( AH ) IPSecプロトコルは、接続に使用されるべきかを調べる。
-
これは接続には、 AHプロトコルを使用する認証プロトコルを決定します。
- かどうかは、カプセル化セキュリティペイロード( ESP ) IPSecプロトコルの接続に使用されるべきかを調べる。
- これは接続のためのESPのプロトコルで使用する暗号化アルゴリズムを決定する。
- IPSec SAが:のIPSecのSAは、 IPSecトンネルとIPパケットには、関連するとの接続時に使用するセキュリティパラメータを定義します。 は、 IPSec SAが、上記の4つの要素だけで2台のコンピュータ間の交渉から派生しています。
セキュリティで保護するには、保護データと、 IPSecは、次の機能を提供するために暗号化を使用します:
- 認証:コンピュータのデータ、またはコンピュータのデータを受信者の身元の送信者の身元確認と認証を扱っています。 IPSecの送信やデータの受信機を認証するために使用できる方法があります:
- デジタル証明書:身元を認証するのが最も安全な手段を提供します。 ネットスケープは、 Entrust 、ベリサインなどの証明機関( CA ) 、およびMicrosoftは、認証の目的で使用できる証明書を提供しています。
- Kerberos認証: Kerberos v5認証プロトコルを使用しての欠点は、コンピュータのIDはポイントは、ペイロード全体を暗号化認証で暗号化されて残っている。
-
事前共有キーは、元の認証方法は、いずれも使用することができます使用する必要があります。
リプレイ防止がネットワークを介して送信され、認証データを解釈されないことができます。 認証に加えて、 IPSecの否認防止を提供することができます。 否認防止は、データの送信者は後の段階ではない、実際にはデータの送信を拒否することができます。
- データの整合性:データは、受信者の受信が改ざんされていないとデータの整合性を確保する。 のハッシュアルゴリズムとしては、ネットワークを介して渡されると、データを変更しないことを確認するために使用されています。 は、 IPSecによって使用できるハッシュアルゴリズムは:
- メッセージダイジェスト( MD5 ) ;を一方向ハッシュは、 128の結果は、整合性のチェックに使用されているビットハッシュ。
- セキュアハッシュアルゴリズム1 ( SHA1の) ;を160ビットの秘密鍵は、 160ビットのメッセージは、 MD5ダイジェストを生成するよりも高度なセキュリティを提供しています。
- データの機密性:ネットワーク上で送信される前に、 IPSecのデータを暗号化アルゴリズムを適用することでデータの機密性を確保します。 場合は、データを傍受され、暗号化は、侵入者は、データを解釈することができないようにします。 データの機密性を確保するため、以下のいずれかのIPSec暗号化アルゴリズムを使用することができます:
- データ暗号化標準(デ) 、デフォルトの暗号化アルゴリズムは、 Windows Server 2003での56ビットの暗号化を使用していました。
-
トリプル12月( 3DESの)データを1つのキーを押すと、別の鍵で復号化し、暗号化され、再度、別の鍵で暗号化されます。
- 40ビットDES ;が最も安全な暗号化アルゴリズム。
IPSecのモードを理解する
のIPSecは、次のいずれのモードで動作することができます:
- トンネルモード : IPSecトンネルモードのWANとVPN接続のセキュリティを提供するためには、接続媒体として、インターネットを使用することができます。 トンネルモードでは、 IPSecのは、 IPヘッダとIPペイロードを暗号化します。 トンネルでは、データのパケットにカプセル化され、追加のパケットの中に含まれています。 新しいパケットをネットワーク経由で送信されます。
トンネルモードは通常、以下の構成を使用されています:
- サーバーのサーバーに
- サーバーのゲートウェイに
- ゲートウェイゲートウェイに
コミュニケーションのがトンネルモードでは、 IPSecのモードは次のように定義されているが発生すると、プロセスの詳細です:
- データは、プライベートネットワーク上のコンピュータから保護されていないIPデータグラムを使用して送信されます。
- ときにパケットがルーターに到着すると、ルータは、 IPSecセキュリティプロトコルを使用してパケットをカプセル化します。
- 接続のもう一方の端にあるルータは、ルータにパケットを転送します。
- このルーターは、パケットの整合性をチェック。
- そのパケットを復号化されています。
-
パケットのデータは保護されていないIPデータグラムに追加され、先のコンピュータには、プライベートネットワーク上に送信されます。
- トランスポートモード :この操作はIPSecでは、 IPペイロードは、 AHプロトコルまたはESPで使用されるプロトコルで、暗号化され、デフォルトのモードです。 トランスポートモードで使用されて最後には、ネットワーク上の2台のコンピュータ間通信のセキュリティ。
IPSecコンポーネント
1次の2つのコンポーネントがインストール時に配備されているのIPSec :
- IPSecポリシーエージェント:これは、サービスには、コンピュータのWindows Server 2003のIPSecポリシー情報にアクセスを実行する上で実行されています。 IPSecポリシーエージェントのいずれかのWindowsレジストリまたはActive Directory内では、 IPSecポリシー情報にアクセスします。 は、 IPSecポリシーエージェントを提供する主要な機能は次のとおりです:
- IPSecポリシーエージェントは、 IPSecドライバに情報を渡します。
- は、ローカルWindowsレジストリからのIPSecポリシーエージェントIPSecポリシー情報にアクセスするときにコンピュータがドメインに属していません。
- は、 Active DirectoryからのIPSecポリシーエージェントIPSecポリシー情報にアクセスするときにコンピュータがドメインのメンバです。
- IPSecポリシーエージェントIPSecポリシーの設定の変更をスキャンします。
- IPSecドライバ: IPSecドライバは、以下を含む安全なネットワーク通信を有効にする操作のコードを実行する:
- IPSecのパケットを作成します
- チェックサムを生成します。
- IKEの通信を開始する
-
は、 AHとESPヘッダを追加します
- データを暗号化する前に送信されます。
- ハッシュを計算すると、受信パケットのチェックサム
IPSecのプロトコルを理解する
前述のように、主なIPSecセキュリティプロトコルは、認証ヘッダ( AH )は、暗号ペイロード( ESP )プロトコルです。 そこのISAKMP 、 IKEのような他のIPSecプロトコルであり、オークリーには、 Diffie - Hellmanアルゴリズムを使用しています。
認証ヘッダー( AH )プロトコル
は、 AHプロトコルデータを確保するには、次のセキュリティサービスを提供しています:
は、 AHプロトコルは、ネットワークを介して移動するよう修正されていないデータを保証します。 また、データの送信者からの発信を実現します。
これは、データをIPパケットに含まれる暗号化されないプロトコルは、 AHはデータの機密性を提供するものではありません。 これは基本的には、場合には、 AHプロトコル自体が使用されます。侵入されたデータをキャプチャすることはできませんので、データを読むことができるということです。 もかかわらず、データを変更することができないと思います。 場合にもデータの機密性を確保する必要がありますは、 AHプロトコルの組み合わせでは、 ESPプロトコルを使用することができます。
これは、 AHプロトコルを使用すると発生時の通信プロセスをここに表示されます:
- 1台のコンピュータを別のコンピュータにデータを送信する。
-
は、 IPヘッダ、 AHヘッダと、データ自体のデータの整合性を確保するために署名されています。
- は、 AHヘッダは、 IPヘッダやIPの間に挿入されている認証とインテグリティを提供するためにペイロード。
の役割をそれぞれのフィールドで行うとAHヘッダ内のフィールドを、一緒にここに記載されています:
- 次ヘッダ 、 IPプロトコル番号は、この後、 AHヘッダが存在するからIPペイロードのタイプを指定するために使用します。
- 長さは 、 AHヘッダの長さを示しています。
- セキュリティパラメータインデックス( SPI ) 、以下の組み合わせを通じて、コミュニケーションのための適切なセキュリティアソシエーションを示します:
- IPSecセキュリティプロトコル。
- 宛先IPアドレス
- シーケンス番号 ; IPSecの反リプレイのコミュニケーションのための保護を提供するために使用されます。 1でのシーケンス番号を開始し、その後の1によって、各パケットにインクリメントされています。 セキュリティアソシエーションは、同じシーケンス番号がパケットは破棄されます。
- 認証データの整合性チェック値( ICVの)は、送信側のコンピュータでデータの整合性と認証を提供するために計算を保持します。 受信側のコンピュータでは、 AHヘッダは、 IPペイロード、およびIPヘッダーの上にICVの計算して、 2つのICVの値を比較します。
暗号ペイロード( ESP )プロトコル
ESPのプロトコルデータを確保するには、次のセキュリティサービスを提供しています:
は、 AHプロトコルとESPのプロトコル間の主な違いは、 ESPのプロトコルの暗号化でデータの機密性のあるすべてのセキュリティサービスは、 AHプロトコルによって提供、一緒に提供されています。 独自のESP 、および使用することができますが、一緒には、 AHプロトコルを使用することができます。 トランスポートモードでは、 ESPのプロトコルのみを標識とIPペイロードを保護します。 は、 IPヘッダーで保護されていません。 場合は、 ESPのプロトコルは、 AHプロトコルと一緒にして、パケット全体に署名されています。
ESPの挿入は、基本的には、 IPデータグラムのペイロードを囲むは、 ESPヘッダとESPトレーラー、 。 ESPのトレーラーのポイントには、 ESPヘッダの後、すべてのデータは、 ESPのトレーラーは、実際の暗号化されます。
の役割をそれぞれのフィールドで行うとのESPヘッダ内のフィールドを、一緒にここに記載されています:
- セキュリティパラメータインデックス( SPI ) 、以下の組み合わせを通じて、コミュニケーションのための適切なセキュリティアソシエーションを示します:
- IPSecセキュリティプロトコル。
- 宛先IPアドレス
-
シーケンス番号 ; IPSecの反リプレイのコミュニケーションのための保護を提供するために使用されます。 1でのシーケンス番号を開始し、その後の1によって、各パケットにインクリメントされています。 セキュリティアソシエーションは、同じシーケンス番号がパケットは破棄されます。
の役割をそれぞれのフィールドで行うとのESPのトレーラー内のフィールドを、一緒にここに記載されています:
- パディング 、暗号化アルゴリズムでは、バイトの境界線が存在していることを確認するために必要。
- パディング長 、長さは、パディングフィールドで使用されたパディング(バイト)を示しています。
- 次ヘッダ 、 IPプロトコルを介しIPペイロードのタイプを指定するために使用されるIDです。
- 認証データの整合性チェック値( ICVの)は、送信側のコンピュータでデータの整合性と認証を提供するために計算を保持します。 受信側のコンピュータでは、 AHヘッダは、 IPペイロード、およびIPヘッダーの上にICVの計算して、 2つのICVの値を比較します。
、およびセキュリティポリシーのIPSecセキュリティフィルタ、セキュリティの方法を理解する
セキュリティは基本的には、特定のネットワークアドレスに一致するセキュリティプロトコルをフィルタリングします。 IPSecフィルタの不正なトラフィックをフィルタするために使用することができます。 このフィルタは、次の情報が含まれています:
- ソースと宛先のIPアドレス
- プロトコルを使用
- ソースと宛先のポート
各IPアドレスは、ネットワークとホストの部分番号部分IDが含まれています。 を次のようによれば、セキュリティフィルタを使用して、トラフィックをフィルタリングすることができます:
- を通過するトラフィックを許可
- 交通を確保する
- トラフィックをブロックする
セキュリティフィルタは、フィルタリストにグループ化することができます。 このフィルタは、フィルタリストに含めることができる数に制限はありません。 IPSecポリシーかどうかは、 IPパケット内のセキュリティルールを使用する必要があります確かめるにIPフィルタを使用しています。
また、 IPSecポリシーに一致するトラフィックでは、 IPフィルタ処理をする方法を指定するためのセキュリティメソッドを使用することができます。 セキュリティメソッドもフィルタ操作と呼ばれます。 以下のいずれかのイベントのフィルタ操作の結果:
- ドロップストラフィック
- できる交通
- セキュリティをネゴシエートします。
お客様のネットワークのセキュリティを適用するには、 IPSecポリシーを使用しています。 は、 IPSecポリシーを定義するとき、どのようにデータを確保する必要があります。 また、 IPSecポリシーを使用するときに、ネットワーク内のさまざまなレベルでのデータのセキュリティを確保する方法を決定します。 IPSecポリシーを構成するさまざまな種類のトラフィックのように、個々の政策の影響を受けることができます。
IPSecポリシーをネットワーク内には、次のレベルで適用することができます:
- Active Directoryドメイン
- Active Directoryサイト
-
Active Directoryの組織単位
- コンピュータ
- アプリケーション
でIPSecポリシーの異なるコンポーネントをここに記載されています:
- IPフィルタ 、受信トラフィックと送信トラフィックを確保する必要があるタイプには、 IPSecドライバに通知します。
- IPフィルタ一覧 ;のためのネットワークトラフィックの特定の設定を分離するグループに1つのリストに複数のIPフィルタが使用されます。
- フィルタ操作方法は、 IPSecドライバトラフィックを確保する必要がありますを定義するために使用されます。
- セキュリティメソッド ;セキュリティの種類とアルゴリズムは、鍵交換と認証に使用されるプロセスを指します。
- 接続タイプ :は、 IPSecポリシーへの影響を接続のタイプを識別します。
- トンネルを設定し、トンネルのエンドポイントのIPアドレス/ ルールを 、以下のコンポーネントの特定の方法でトラフィックを確保するための特定のサブセットをグループ化:
- IPフィルタ
- フィルタ操作。
- セキュリティ方式
- 接続タイプ
- トンネルを設定します。
ブックマークを理解するのIPSec
最新のブログの投稿