Internet协议安全(IPSec)循序渐进指南(7)-searchread

Internet协议安全(IPSec)循序渐进指南(7)-searchread

ID:46611808

大小:67.50 KB

页数:3页

时间:2019-11-26

Internet协议安全(IPSec)循序渐进指南(7)-searchread_第1页
Internet协议安全(IPSec)循序渐进指南(7)-searchread_第2页
Internet协议安全(IPSec)循序渐进指南(7)-searchread_第3页
资源描述:

《Internet协议安全(IPSec)循序渐进指南(7)-searchread》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Internet协议安全(IPSec)循序渐进指南(七)启用由IKE进行的CRL检查1.在开始菜单上,单击运行,并输入regedt32。单击确定。这就启动了“注册表编辑器”。2.浏览到本地机器上的HKEY_LOCAL_MACHINE。3.浏览到下面的位置:SystemCurrentControlSetServicesPolicyAgent4.双击PolicyAgento5.在编辑菜单单击添加项。图7在注册表中添加项6.输入项名称(区分大小写):Oakleyo7.让类别保胖空白,然后单击确定。8.选择新项Onklcy。9.在编辑菜单上,单击添加数值。10.

2、输入值名称(区分大小写):StrongCrlChecko11.选择数据类型:REG_DWORD并单击确定。输入一个值1或2,根据您想启用的操作而眾:。使用1,只有在CRL检查返回结果说明证书已被吊销时,才表示证书验证失败(CRL检查的正常形式)。o使用2,在出现任何CRL检查错误时,均表示证书验证失败。这是最严格的形式,当CRL分发点在网络上必须可达到时使用,但决不能说它从未颁发过证卩或不会提供任何其它错误。实际上,只有当CRL处理可以肯定地断定证书没有被吊销时,证书才能通过这种级别的检查。12.单击十六进制作为基数。单击确处。13.从注册表编辑器退出。14.

3、在Windows200()命令提示符下,键入netstoppolicyagent,然后键入netstartpolicyagent以重新启动与IPSec相关的服务。备注如果您的系统被配置为用于L2TP/lPScc的VPN服务器,则必须重新启动Windows2000o要禁用CRL检查,只须删除Oakley项下的StrongCRLChcck值,然后按需要重新启动服务或Windows2000。了解IKE协商(高级用户)木节是为那些想更详细地了解IKE协商操作细节的读者而编写的。无须完成木指南中的步骤就刊以阅读木节。Windows2000Server和Professio

4、nal两个版木的联机帮助中提供IPSec、IKE和其它方血的详细解释。(虽然使用了不同的冃录,但在Professional版和Server版屮提供的帮助内容是相同的。只须启动IPSec策略管理管理单元并选择帮助即可)。IKE的失败和成功以及失败的原因,都在“安全”事件口志中审核。启用审核的步骤在本指南的开始已经给出。如果服务器在使用内置策略服务器(请求安全设置)(或者使用任何口泄义策略,只要策略屮包含使用内置筛选器操作请求安全设置(可选)的规则),那么对于不响应IKE川请的目标计算机,IKE协商可能回到明文。这由审核事件跟踪以查找所谓的“软安全关联”。这作为安

5、全列的值为v无〉的形式出现在“IPSec监视器”中。如果服务器在使用“安全服务器”,并放弃尝试到达从该H标计算机屮没有IKE响应的冃标计算机,安全口志中的失败审核事件将显示原因是对等客户没有响应。您可以在服务器上使用服务器(请求安全设置)策略和审核口志,发现和跟踪服务器在正常的运行中与其通信的日标计算机。因此您可以更好地理解如何建立自定义策略,以保护正确的日标的安全,同时允许其它维护和基础结构通信不受阻碍地以无保护措施进行。IKE主要模式(阶段1)1KE协商的初始的长的形式(主要模式或阶段1)执行身份验证,并在计算机之间建立IKE安全关联(SA),该过程涉及产

6、生主密钥材料。结果被称为“IKE安全关联”。IKE主耍模式受系统的IPSec策略规则的控制,只使用规则中的筛选器的源地址和H标地址。一旦成功,默认策略中的默认设置(参见策略的帘规选项卡中的密钥交换)将使IKESA持续8个小时。如果在8小时结束时数拯仍被传输,那么将自动重新协商主要模式安全关联。IKE主要模式安全关联在IPSec监视器工具中是不可见的。但是,可由本地管理员使用netdiag.exe/test:ipsec/v命令行来显示。Netdiag.exe是—个支持匚具,位丁•Windows2000Professional和ServerCD的Support文

7、件夹中。IKE快速模式(阶段2)IKE协商的较短版木(快速模式)在主要模式Z后发牛,根据策略的规则屮的数据包筛选器的源地址和冃标地址(如果存在的话,还有协议和端口)部分,建立IPSec全关联以保护特定通信的安全。IPSecSA协商涉及选择算法,产生会话密钥和确定在数据包中使用的安全参数索引(SPI)号码。建立两个IPSec安全关联,每一个安全关联都带有其自己的SPI(数据包中的标签),一个用于入站通信,一个用于出站通信。IPSec监视器只显示一个IPSec安全关联-出诂安全关联。在入站SA上空闲五分钟之后,两个IPSecSA都被清除,使出站SA从IPSec监视

8、器显示中消失。如果再发送要求IPSec

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。