用于 LAN 流量的 IPSec：基本考虑因素？

• 是否有良好的跨平台支持？它必须可以在 Linux、MacOS X 和 Windows 客户端、Linux 服务器上运行，并且不需要昂贵的网络硬件。

我对此并没有太多经验，因为我主要使用 Linux 系统，但我确实做到了大多在 Windows 2000 机器上工作（这是很久以前的事情了）。它有一个问题，即在传输了一定数量的字节后，IPsec 无法重新协商新的会话密钥（这应该是自动发生的），所以连接在一段时间后就断开了，我再也懒得去深入研究它了。现在它可能工作得更好了。

• 我可以为整台机器启用 IPSec（这样就不会有其他流量传入/传出），或者为网络接口启用 IPSec，还是由各个端口的防火墙设置决定/...？

它的工作原理是（或者更确切地说，我设法让它工作），你定义一个机器富 必须仅对机器使用 IPsec酒吧，巴兹， 和呦. 任何交通从这些机器现在与这些机器一样安全且值得信赖。任何其他流量都不是 IPsec，并且正常工作。

• 我可以轻松禁止非 IPSec IP 数据包吗？还有“Mallory 的邪恶”IPSec 流量，这些流量由某个密钥签名，但不是我们的？我的理想构想是使 LAN 上不可能有任何此类 IP 流量。

IPsec 流量仅允许用于那些 IPsec政策“您定义的，因此任何随机机器都不能发送 IPsec 数据包 - 必须存在与这些数据包匹配的 IPsec 策略。

• 对于 LAN 内部流量：我会在“传输模式”中选择“带身份验证的 ESP（无 AH）”和 AES-256。这是一个合理的决定吗？

是的。有人说要完全放弃 AH，因为它是多余的 - 你可以使用 ESP 和 NULL 加密来达到同样的效果。

• 对于 LAN-Internet 流量：它如何与互联网网关配合使用？我会使用
  • “隧道模式”用于从每台机器到网关创建 IPSec 隧道？或者我也可以使用

我会选择此选项。由于我自己不控制网关，并且流量在我的网络之外无论如何都是未加密的，因此我并不觉得有什么迫切的需要。

到不使用 IPsec 的主机的互联网流量必须被视为可能被拦截 - 当您的 ISP 或您的 ISP 的 ISP 可以监听未加密的相同数据包时，在本地 LAN 上加密就没有什么意义了。

• “传输模式”到网关？我问这个问题的原因是，网关必须能够解密来自 LAN 的数据包，因此它需要密钥才能做到这一点。如果目标地址不是网关的地址，这可能吗？或者在这种情况下我必须使用代理吗？

据我了解，那是行不通的——你需要一个代理。

• 还有什么我应该考虑的吗？

看看你是否可以使用一些更合理的方法，比如 OpenPGP 密钥，而不是 X.509 证书。我使用 X.509，因为这是我最初使用的 IPsec 密钥守护进程唯一支持的东西，而且我还没有精力去研究重新做这一切。但我应该，而且总有一天我会的。

PS 我和同事举办了IPsec 讲座2007年，澄清一些概念可能会有所帮助。

这听起来有点过头了。我从未听说过有人加密其 LAN 上的所有流量。您这样做的动机是什么？

IPSec 非常适合连接到不受信任的网络（即 Web DMZ 等）以及防火墙隔离的网络内。使用 RPC 协议的应用程序（即 Microsoft AD 等）喜欢使用高临时端口范围，这与防火墙不相容。在 LAN 内，您的利益取决于许多因素。

它不是灵丹妙药，也不一定能简化网络安全。但它能帮助你在互联网或其他不受信任的网络上运营服务，而无需在网络设备上投入巨额资金。

如果您将此作为一项练习或学习经验，那很好，但到目前为止您所发布的任何内容都无法提供令人信服的论据来证明您所做的事。