IPSEC安全策略- 直至网规- 51CTO技术博客企业库|免费b2b网站

IPSEC安全策略

策略位于安全检查规范的{zg}一级，是决定系统的安全要素。安全策略定义了系统中哪些行为是允许的，哪些是不允许的。按ISO安全参考模型，安全策略建立在授权行为这一概念之上。按授权的性质，可区分两种不同的策略，即基于规则的策略和基于身份的策略。基于规则的安全策略是根据系统的一般属性建立的一组规则，授权通常依赖于信息与资源的敏感属性，它们通常是强制性的。基于身份的策略是建立在特定的个别属性之上的授权准则，其目的是过滤对特定数据或资源的访问和使用。

策略是通过柔性语言表达的，而机器只能识别形式语言。例如：人的想法可能是：对我的所有访问要进行身份验证。而机器的定义则可能是对目的地为202.96.4.1的通信要通过HMACSHA进行身份验证。一般而言，不存在一个映射方式将柔性语言表达式无损地映射到形式语言表达式中。所以，从基本流程上来说，IPsec安全策略管理要提供一个人机界面，安全管理员以尽可能自然的方式输入非形式化的安全策略表达式。安全策略通常以安全策略数据库的形式表现出来，库中的每条记录对应一个安全策略。

网络安全是非常复杂的，要保护的网络的规模越大，描述如何保障安全的策略就越复杂。如果一个网络管理员必须逐一访问每一个网络实体，并且依照系统安全策略对网络实体进行手工配置，几乎是不可能的，因此，有必要集中地管理安全策略。IPsec系统所使用的策略库一般保存在一个策略服务器中，该服务器为域中的所有节点（主机和路由器）的维护策略库，各节点可将策略库拷贝到本地，也可使用轻型目录访问协议（LDAP）动态获取策略。

安全关联（Security Association，SA）是两个应用IPsec实体（主机、路由器）间的一个单向逻辑连接，决定保护什么、如何保护以及谁来保护通信数据。它规定了用来保护数据包安全的IPsec协议、转换方式、密钥以及密钥的有效存在时间等等。SA是单向的，要么对数据包进行“进入”保护，要么进行“外出”保护。 SA用一个三元组（安全参数索引SPI、目的IP地址、安全协议）{wy}标识。

2． SA的作用