频道栏目
读书频道 > 安全 > Linux网络安全技术与实现(第2版)
16.3.5 配置安全策略
2012-09-02 16:36:11     我来说两句
收藏   我要投稿
《Linux网络安全技术与实现(第2版)》首先讨论网络基础架构,然后循序渐进地讲解安全、基于策略的路由、流量控制和虚拟专用网络等知识,带您在网络安全世界中尽情畅游。如果您准备投身Linux网络安全领域,那么这...  立即去当当网订购

以下是L2TP服务器上安全策略的配置文件/etc/racoon/setkey.conf,这个配置文件的内容比较特殊,一般在设置安全策略时,总是要考虑哪些“送入”及“送出”的数据需要使用IPSec,因此安全策略通常会有两条,但在L2TP VPN的结构中,L2TP客户端的IP通常不会是固定的,我们也无法预先设置双向安全策略,最多只能设置单向安全策略。

1. 1. flush; 
2. 2. spdflush; 
3. 3. 
4. 4. spdadd 10.0.1.200[1701] 0.0.0.0/0[0] any -P out ipsec 
5. 5. esp/transport//require;

在说明以上示例之前请先思考两个问题,由于L2TP协议使用UDP 端口1701,因此对于L2TP服务器而言,我们只需要让与端口1701有关的数据使用IPSec即可;另外因为L2TP客户端的IP不是固定的,因此无法预先设置好L2TP客户端对L2TP服务器这个方向的安全策略,不过可以肯定的是,如果客户端访问L2TP服务器的UDP端口1701,L2TP服务器一定是使用UDP端口1701来应答,所以我们可以定义凡是从L2TP服务器的端口1701发送出去的数据包,不管对象是谁、目的端端口是什么,这些数据全部都经由IPSec,因此我们定义了第4行的安全策略。

安全策略一定要定义双向的,才能让L2TP Over IPSec正常工作,不过使用现有的信息,我们只能建立单向安全策略,那另一个方向的安全策略呢?其实这个问题很容易解决,因为IKE配置文件中提供了一个名为enerate_policy的参数,我们只需将这个参数设置为on,IKE就会自动生成另一个方向的安全策略。


 

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:16.3.4 证书的生成及保存
下一篇:16.3.6 IKE配置文件
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站