IPsec：IP層協議安全結構

　　IPsec 在 IP 層提供安全服務，它使系統能按需選擇安全協議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。 IPsec 用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。

　　IPsec 能提供的安全服務集包括訪問控制、無連接的完整性、數據源認證、拒絕重發包（部分序列完整性形式）、保密性和有限傳輸流保密性。因為這些服務均在 IP 層提供，所以任何高層協議均能使用它們，例如 TCP 、 UDP 、ICMP 、 BGP 等等。

　　這些目標是通過使用兩大傳輸安全協議，頭部認證（AH） 和封裝安全負載 （ESP），以及密鑰管理程序和協議的使用來完成的。所需的 IPsec 協議集內容及其使用的方式是由用戶、應用程序、和/或站點、組織對安全和系統的需求來決定。

　　當正確的實現、使用這些機制時，它們不應該對不使用這些安全機制保護傳輸的用戶、主機和其他英特網部分產生負面的影響。這些機制也被設計成算法獨立的。這種模塊性允許選擇不同的算法集而不影響其他部分的實現。例如：如果需要，不同的用戶通訊可以采用不同的算法集。

　　定義一個標準的默認算法集可以使得全球因英特網更容易協同工作。這些算法輔以 IPsec 傳輸保護和密鑰管理協議的使用為系統和應用開發者部署高質量的因特網層的加密的安全技術提供了途徑。

　　IPSec 不是特殊的加密算法或認證算法，也沒有在它的數據結構中指定一種特殊的加密算法或認證算法，它只是一個開放的結構，定義在IP數據包格式中，為各種的數據加密或認證的實現提供了數據結構，為這些算法的實現提供了統一的體系結構，因此，不同的加密算法都可以利用IPSec定義的體系結構在網絡數據傳輸過程中實施

　　Vista系統常用英文專業詞語

　　互聯網協議安全（Internet Protocol Security），一個標準機制，用于在網絡層面上為穿越IP網絡的數據包提供認證，完整性，以及機密性。

　　IPsec協議工作在OSI 模型的第三層，使其在單獨使用時適于保護基于TCP或UDP的協議（如 安全套接子層（SSL）就不能保護UDP層的通信流）。這就意味著，與傳輸層或更高層的協議相比，IPsec協議必須處理可靠性和分片的問題，這同時也增加了它的復雜性和處理開銷。相對而言，SSL/TLS依靠更高層的TCP（OSI的第四層）來管理可靠性和分片。

　　Windows設置IPsec使用說明

　　1. Windows 2003的IPsec（PolicyAgent服務）和RemoteAccess服務沖突，

　　RemoteAccess服務和SharedAccess服務沖突。

　　通過修改注冊表開啟IP轉發功能，可在SharedAccess服務開啟狀態下工作，

　　這時候不需開啟RemoteAccess服務，

　　D：\》reg.exe query “HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters” /v “

　　IPEnableRouter”

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　IPEnableRouter REG_DWORD 0x1

　　D：\》

　　但是如果某一接口使用了IPsec，則必須停止SharedAccess服務，IP轉發功能才生效。

　　2. 創建IPsec策略的精髓是創建兩條IPsec篩選器，兩個篩選器都不要做鏡像，

　　一條IPSecTunnelIn，隧道終結點為對方終結點，

　　一條IPsecTunnelOut，隧道終結點為己方終結點，

　　3. Windows 2003配置調試IPsec都可以用netsh工具完成。

　　C：\WIN2K3\system32》netsh

　　netsh》ipsec dynamic

　　netsh ipsec dynamic》show config

　　IPSec 配置參數

　　---------------

　　IPSecDiagnostics ： 0 ---對應系統日志

　　IKElogging ： 0 ---對應oakley.log

　　StrongCRLCheck ： 1

　　IPSecloginterval ： 3600

　　IPSecexempt ： 3

　　啟動模式 ： 許可

　　啟動模式免除 ：

　　協議 源端口 目標端口 方向

　　--------- --------- --------- ---------

　　UDP 0 68 入站

　　netsh ipsec dynamic》

　　3.1. 打開IKE的Logging（已過時）

　　［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley］

　　“EnableLogging”=dword:00000001

　　然后重新啟動機器，在C：\WINDOWS\Debug目錄下發現oakley.log。

　　ikelogging和 strongcrlcheck將被立即激活；所有其它屬性將在下次重啟動后生效。

　　3.2. 設置到對方內網的路由

　　3.3. 運行secpol.msc配置IPsec

　　3.4. 運用netsh察看ipsec

　　netsh ipsec dynamic》show mmpolicy all

　　IKE MM 策略名稱 ： 6

　　IKE 軟 SA 生存時間 ： 86400 秒

　　Encryption Integrity DH Lifetime （Kb:secs） QM Limit Per MM

　　---------- --------- ---- ------------------ ---------------

　　3DES MD5 2 0:86400 0

　　netsh ipsec dynamic》show qmpolicy all

　　QM 協商策略名稱 ： test

　　安全方法 生存時間 （Kb:secs） PFS DH 組

　　------------------------- --------------------- ------------

　　ESP［3DES，MD5］ 1048576:3600 主模式已派生

　　netsh ipsec dynamic》show mmfilter all

　　主模式篩選器： 普通

　　-------------------------------------------------------------------------------

　　篩選器名稱 ： 15

　　連接類型 ： 所有

　　源地址 ： 《我的 IP 地址》 （255.255.255.255）

　　目標地址 ： 10.47.159.251 （255.255.255.255）

　　身份驗證方法 ：

　　預共享密鑰

　　安全方法 ： 1

　　3DES/MD5/DH2/86400/QMlimit=0

　　------------------------------------------

　　-------------------------------------

　　篩選器名稱 ： 14

　　連接類型 ： LAN

　　源地址 ： 《我的 IP 地址》 （255.255.255.255）

　　目標地址 ： 10.47.159.66 （255.255.255.255）

　　身份驗證方法 ：

　　預共享密鑰

　　安全方法 ： 1

　　3DES/MD5/DH2/86400/QMlimit=0

　　2 普通篩選器

　　netsh ipsec dynamic》show qmfilter all

　　快速模式篩選器（隧道）： 普通

　　-------------------------------------------------------------------------------

　　篩選器名稱 ： 14

　　連接類型 ： LAN

　　源地址 ： 192.168.22.0 （255.255.255.0 ）

　　目標地址 ： 172.16.159.0 （255.255.255.0 ）

　　隧道源 ： 《任何 IP 地址》

　　隧道目標 ： 10.47.159.66

　　協議 ： ANY 源端口： 0 目標端口： 0

　　已鏡像 ： 否

　　快速模式策略 ： test

　　入站操作 ： 協商

　　出站操作 ： 協商

　　-------------------------------------------------------------------------------

　　篩選器名稱 ： 15

　　連接類型 ： 所有

　　源地址 ： 172.16.159.0 （255.255.255.0 ）

　　目標地址 ： 192.168.22.0 （255.255.255.0 ）

　　隧道源 ： 《任何 IP 地址》

　　隧道目標 ： 10.47.159.251

　　協議 ： ANY 源端口： 0 目標端口： 0

　　已鏡像 ： 否

　　快速模式策略 ： test

　　入站操作 ： 協商

　　出站操作 ： 協商

　　2 普通篩選器

　　netsh ipsec dynamic》