局域网stream量IPSec：基本考虑因素？

• 是否有良好的跨平台支持？ 它必须在Linux，MacOS X和Windows客户端，Linux服务器上工作，并且不需要昂贵的networking硬件。

我没有太多的经验，因为我主要有Linux系统，但我确实主要是在Windows 2000机器上工作（这是前一段时间）。 它有一个问题，即在传输了一些字节后，IPsec无法重新协商一个新的会话密钥（这应该是自动发生的），所以在一段时间之后连接断开了，并且我永远不会被打扰进一步。 现在可能效果更好。

• 我可以为整个机器启用IPSec（因此不能有其他stream量进入/出口），或者networking接口，或者是由个别端口/ …的防火墙设置决定的吗？

它是如何工作的（或者说， 我是如何使它工作的），你定义了一台机器foo 必须只使用IPsec来加工bar ， baz和yow 。 来自这些机器的任何stream量现在都是安全的，并且像这些机器一样值得信赖。 其他stream量不是IPsec，正常工作。

• 我可以轻松禁止非IPSec IP数据包吗？ 也是“马洛里的邪恶”的IPSecstream量是由一些关键的签名，但不是我们的？ 我的理想是让局域网上不可能有这样的IPstream量。

IPsecstream量只能用于您定义的IPsec“ 策略 ”，因此任何随机的机器都不能发送IPsec数据包 – 必须存在与这些数据包匹配的IPsec策略。

• 对于局域网内部stream量：我将select“传输模式”中的“带有authentication的ESP（无AH）”，AES-256。 这是一个合理的决定？

是的。 有关于完全放弃AH的讨论，因为它是多余的 – 你可以使用ESP与NULLencryption具有相同的效果。

• 对于局域网互联网stream量：它将如何与互联网网关协同工作？ 我会用吗？
  • “隧道模式”创build从每台机器到网关的IPSec隧道？ 或者我也可以使用

我会select这个选项。 因为我自己并不控制网关，无论如何我的networking上的stream量都是不encryption的，所以我并不真正看到一个迫切的需求。

互联网stream量到不使用IPsec的主机必须被视为可能被拦截 – 当您的ISP或您的ISP的ISP可以侦听未encryption的相同数据包时，在本地LAN上encryption的意义不大。

• “传输模式”到网关？ 我问的原因是，网关必须能够解密来自局域网的软件包，所以它将需要密钥来做到这一点。 如果目的地址不是网关的地址，这是可能的吗？ 或者在这种情况下我必须使用代理？

据我了解，这是行不通的 – 你需要一个代理。

• 还有什么我应该考虑的？

看看你是否可以使用OpenPGP密钥而不是X.509证书。 我使用X.509，因为那是我第一次使用的IPsec密钥守护进程所支持的唯一的东西，我没有精力重新考虑这一切。 但是，我应该，而且我会，有一天。

PS Me和一位同事在2007年就IPsec举办了一个讲座 ，这可能有助于澄清一些概念。

这听起来有点像矫枉过正 我不能说我听说过任何人在他们的局域网上encryption所有的stream量。 你这样做的动机是什么？

IPSec非常适合连接不受信任的networking（即Web DMZ等）以及与防火墙隔离的networking。 使用RPC协议的应用程序（例如，Microsoft AD等）喜欢使用高度短暂的端口范围，这与防火墙无关。 在局域网内，你的好处取决于许多因素。

这不是一个银弹，也不一定会简化networking安全。 它将帮助您在互联网或其他不受信任的networking上运行服务，而无需在networking设备上进行大量投资。

如果你是以锻炼或者学习的方式来做这件事的话，那没问题，但是你没有提到这个问题，所以没有什么可以做出你想要的。