IPSec远程访问VPN的平安策略探究(2)

3.1 IPSec VPN中的策略管理
在一个IPSec中，IPSec功能的正确性完全依据平安策略的正确制定和配置。传统的方法是通过手工配置IPSec策略，这种方式在大型的分布式网络中存在效率低、易出错等新问题。而一个易出错的策略将可能导致通讯的阻塞和严重的平安隐患。而且，既使每个平安域策略的制订是正确的，也可能会在不同的平安域中，由于策略之间的交互，出现在局部范围内平安策略的多样性，从而造成端到端间通讯的严重新问题。
根据以上协议建立起来的基于IPSec的VPN，当主机使用动态地址接入，发起VPN连接时。主机将使用协商好的SA处理的数据包发送到网关。网关接收到数据包后，使用相应的SA处理数据包，而后进行载荷校验。这时，在载荷校验过程中，会因为没有将新协商而建立起来的SA的数据项和SPD连接在一起，而造成不能通过载荷校验。而且，当网关需要给主机发送数据时，并不能在SPD中通过使用目的地址检索到相应的平安策略。因为，主机是动态地址，每次发送时使用的地址都有可能变化。假如发生这样的状况，那么由传输层交给IPSec模块的数据包将会被丢弃。也就是说，网关将不能通过VPN隧道向主机发送数据。这个新问题显然是由于SPD数据的更新新问题所引起的。因此，必须构建一个平安策略系统来系统地管理和验证各种IPSec策略。
3.2 远程访问模型中策略系统的构想
构建一个策略系统，需要解决策略的定义、存取、管理、交换、验证、发现机制等新问题以及系统自身的平安性新问题。其中策略的表示和策略在动态交换中的平安性新问题是系统的核心新问题。目前RFC尚未制定有关策略系统的标准，因此还没有成熟的实现方案。
现在较为流行的方案是摘要：策略系统由四个部分组成——平安策略仓库、策略服务器、平安网关、策略客户端。其中平安策略仓库（Repository）用于存储策略信息，能对系统中的策略进行汇总。它可以是目录服务器或数据库服务器，除了储存管理员已经编辑好的策略信息，还可以存储其它的网络信息和系统参数。策略决策点（Policy Decision Point，PDP）通常也被称为策略服务器，是整个系统的决策中心。它负责存取策略仓库中的策略，并根据策略信息做出决策，然后将相应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突，从而采取应对办法。策略执行点（Policy Enforcement Point，PEP）是接受策略管理的网络实体，通常也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备，负责执行由策略决策点分配来的策略。同时它还向策略决策点发送信息，使策略决策点知道网络的变化以及策略的执行情况。服务器利用LDAP（轻量级目录访问协议）和数据库交互，平安网关通过COPS（普通开放式策略服务协议）和服务器交互，策略服务器之间以及服务器和客户端之间通过SPP（平安策略协议）进行通讯。
而在远程访问的模式下，只有公司总部一端设置了平安网关和策略服务器。所以可以把前面提到的方案进行改进，应用到远程访问模型中。
因此，可以将平安策略仓库放置在策略服务器上，而策略服务器和平安网关相连。平安策略仓库中存储了一些永久信息，策略服务器可以依据这些信息做出相关的策略决定。平安策略仓库最好采用LDAP这一类的标准目录机制来进行策略存。策略服务器负责使用策略决议方法来完成策略制订。
把平安网关和远程访问主机作为策略客户端。当策略客户端启动的时候，需要自动访问策略服务器，读取有关自己的平安策略。此外，当策略服务器改变了某些平安策略时，就需要通知相关的策略客户端访问策略服务器来更新策略。策略客户端必须实行本地保存策略，这是因为它必须知道哪些数据包实施了平安保护，哪些没有。假如策略没有进行本地保存，内核的各个数据包就会找不到这个策略，内核就必须调用策略客户端（这个客户机必须依次和存储中心联系）和密钥管理协议。另外，还要更新内核策略。这样，就会导致最初几个数据包出现令人难以接受的延迟。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说计算机IPSec远程访问VPN的平安策略探究(2)在线全文阅读。