使用心得:
我在设置网络安全策略的时候,一般在服务器端上设置的IP安全策略是可选的,但是,在一些重要用户的电脑上,设置必须要采用IP安全策略,如此的话,对于一些重要的文件,可以实现数据在网络上的安全传输,而对于一般性的文件,则就不需要进行加密了。毕竟,采用IP安全策略的话,会占用一定的带宽。
二、传输过程的窥视不再起作用。
若不采用IPSec策略进行保护,则在网络上传输的数据都是明文的。那么员工只需要有一个网络监测工具,稍微懂一些网络知识,就可以轻而易举的取得自己想要的数据。而且,现在随着网络知识的普及,取得网络监测工具,已经不在是一件有多困难的事情了。只要在搜索引擎上一找,就可以找到很多的网络监测工具,所以,数据在明文传输下,是非常危险的。这就好像电视上放的以前的抗战时期的间谍,监听敌人的电话那么简单。
但是,若我们采用的是IPSec安全策略进行加密文件的话,则即使用户取得了网络中传输的文件,其也是没有用的。为什么呢?因为这些文件都是加密过的,用户没有取得加密密钥的话,其根本打不开文件,或者即使可以打开,也都是乱码,根本没有利用价值。而且,这个加密密钥的话,是通过双方自己协商的,一般用户根本无法取得。
这个功能对于企业来说,最具有现实意义。
三、服务器端的验证。
服务器端接收到这个用户传送过来的文件后,若是采用IP安全策略进行加密传输的,则在收到文件后,还会进行检查动作。
如接收方接到文件后,会验证数据来源。在收到的文件包上,其会带有发送者的信息。接收软件一方,会根据此检验发送者的合法性。这个功能可以防止地址欺骗。这个功能主若用来防护病毒的话,效果还不错。
如接收方接到文件后,接收方还会根据一定的规则,验证数据在传输过程中,也没有被非法的更改过。若被人非法的更改了,则接收方会抛弃已经收到的文件,然后,告诉发送方,文件发送失败,让其再发送一次。这可以保证文件在传输过程中,不被非法的更改。如有时候我们文件在发送过程中,如果网络上有病毒,病毒文件很可能会连同这文件一同发给接收方,实现病毒的传播。所以,接收方若能够自动检测文件在传输过程中,有没有被更改,也可以有效的防止病毒在网络上的传播。
等以上的检测的无误的话,服务器就会接收这个文件,并利用原先协商的密码,自动解密。
以上的过程看其来很复杂,其实,都不需要用户干预。用户现在要做的就是,在电脑上配置好,是否要采用IP安全策略,以及是强制使用还是可选择的使用。个人建议,若带宽没有特殊要求的话,最好都使用强制性的IP安全策略,但是,若带宽有限制的话,那只好对于一些重要的用户,执行IP安全策略。另外,IP安全策略之能够实现在传输过程中的数据安全,而不能防止在服务器上或者客户端上对于数据的非法访问。
我们在部署IP安全策略时,还要注意以下几点。
1、我们可以自己选择加密模式。这主要根据用户对于数据的安全性要求不同,可以选择从低到高的加密模式。
2、为了保证IP安全策略的成功部署,在IP安全策略制定好以后,一定要先在小规模范围上进行测试,以免因配置不当,给企业网络的正常运作带来困扰。
3、同时,我们也要了解,若采用IP安全策略的话,可能会带来的一些副作用。如我们若采用IP安全策略,就会延长通讯双方的网络连接时间,毕竟在通讯之前,两者要相互协商,具体延长的时间,根据IP安全策略的配置及网路性能的不同而有所不同;如IP安全策略会占用CPU使用率,会占用带宽等等。我们在设计IP安全策略的时候,也要考虑这些影响。
