如何在AIX上简化和集中化IPSec管理

概述

Internet Protocol Security 是一个协议套件，提供各种信息安全特性。个人用户或组织可使用 IPSec 特性来保护所有应用程序的流量，无需对应用程序本身进行任何修改。IPSec 使用身份验证、完整性检查和加密来保护数据流量。数据安全性是在通信栈的 IP 层提供的，所以不需要对应用程序进行任何修改。不过，必须对每台机器单独配置，以使其能够使用 IPSec。

在本文中，了解 AIX IPSec 管理特性，它可以简化对大型网络应用和管理 IPSec 配置的方式。该特性使用轻量级目录访问协议 (Lightweight Directory Access Protocol, LDAP) 作为一个中央存储库来维护和分发 IPSec 配置，从而提供配置的集中式管理。从 AIX  V61V/71H 起支持此特性。

对 IPSEC 简化的需要

目前，对于使用 IPSec 隧道的系统，必须使用 XML 配置文件或命令行对它们进行单独配置。在配置某些系统时，工作量可能不会非常大，但在拥有许多系统的大型企业中，配置就会成为一项艰巨的任务。要在两个系统之间建立 IPSec 隧道，需要配置超过 20 个配置参数，并且只有少数参数与机器相关。

由于有大量的配置参数，所以 IPSec 配置既容易出错又耗时。为了减少错误配置的工作量和风险，AIX IPSec 中增加了一个新的特性，它为企业简化了整个流程。该特性提供：

能够将多组 IPSec 配置策略存储在 LDAP 服务器上，实现集中管理。

能够定义 IPSec 配置策略，并将其与一组主机关联。与某个 IPSec 配置策略相关联的所有机器将使用由一个 XML 文件定义的同一组 IPSec 配置（规则）。一台机器在同一时间只可以与一个策略关联。

每 60 分钟将刷新一次设置。如果隧道配置发生了变化，那么将会销毁旧的隧道，并且将创建新的隧道。

仅支持第一阶段隧道的基于证书的身份验证。

新的 AIX 特性为每对 IP 地址创建隧道，这是 IPSec 配置策略的一部分。

配置 AIX IPSec

AIX 用于创建 IPSec 隧道的配置文件是 XML 格式。为了在两个系统之间创建一条隧道，必须配置超过 20 个配置参数。可配置的参数被放进 XML 文件中。然而，XML 文件中不包含 IP 地址；从与策略关联的机器获取 IP 地址。AIX IPSec 提供了一个命令，可将 XML 配置文件加载到 LDAP 服务器中。

清单 1 显示了存储在 LDAP 服务器上的一个样例 XML 配置文件。

清单 1. 样例 XML 配置文件

$cat ipsec_ldap.xml
<?xml version="1.0"?>
<AIX_VPN
      Version="2.0">
   <IKEProtection
         IKE_Role="Both"
         IKE_Version="2"
         IKE_XCHGMode="Main"
         IKE_KeyOverlap="10"
         IKE_Flags_UseCRL="No"
         IKE_ProtectionName="P1Pol"
         IKE_ResponderKeyRefreshMaxKB="200"
         IKE_ResponderKeyRefreshMinKB="1"
         IKE_ResponderKeyRefreshMaxMinutes="1440"
         IKE_ResponderKeyRefreshMinMinutes="1">
      <IKETransform
            IKE_Encryption="3DES-CBC"
            IKE_Hash="SHA"
            IKE_DHGroup="2"
            IKE_PRF="PRF_HMAC_SHA1"
            IKE_AuthenticationMethod="RSA_signatures" />
   </IKEProtection>
   <IPSecProposal
         IPSec_ProposalName="P2Prop">
      <IPSecESPProtocol
            ESP_Encryption="ESP_3DES"
            ESP_KeyRefreshKB="0"
            ESP_Authentication="HMAC-SHA"
            ESP_ExtendedSeqNum="0"
            ESP_EncapsulationMode="Tunnel"
            ESP_KeyRefreshMinutes="480" />
   </IPSecProposal>
   <IPSecProtection
         IPSec_Role="Both"
         IPSec_KeyOverlap="10"
         IPSec_ProposalRefs="P2Prop "
         IPSec_ProtectionName="P2Pol"
         IPSec_InitiatorDHGroup="1"
         IPSec_ResponderDHGroup="NO_PFS GROUP_1 GROUP_2"
         IPSec_Flags_UseLifeSize="No"
         IPSec_Flags_UseCommitBit="No"
         IPSec_ResponderKeyRefreshMaxKB="200"
         IPSec_ResponderKeyRefreshMinKB="1"
         IPSec_ResponderKeyRefreshMaxMinutes="43200"
         IPSec_ResponderKeyRefreshMinMinutes="1" />
</AIX_VPN>

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!