网际协议安全(IPSec)

　　网际协议安全 (IPSec) 可以对专用网络和 Internet 攻击的主动保护，同时保持易用性。 并且，它是一套基于加密术的保护服务以及安全协议。

　　它采用端对端的安全保护模式，保护工作组、局域网计算机、域客户和服务器、距离很远的分公司、Extranet、漫游客户以及远程管理计算机间通讯的能力。

　　IPSec 作为安全网络的长期方向，是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议，您可以很容易地给现有网络部署 IPSec。

　　Windows 2000 的 IPSec 实现基于 Internet 工程任务组 (IETF) IPSec 工作组开发的工业标准。

Windows2000的安全策略模式

　　更为强大的基于加密术的安全方法可能导致大幅度增加管理开销。Windows 2000 通过实现基于策略的网际协议安全 (IPSec) 管理避免了该缺陷。

　　可以使用策略而非应用程序或操作系统来配置 IPSec 。网络安全管理员可以配置多种 IPSec 策略，从单台计算机到 Active Directory 域、站点或组织单位。Windows 2000 提供集中管理控制台、IP 安全策略管理来定义和管理 IPSec 策略。在大多数已有网络中，可以配置这些策略为大多数交通类型提供各种级别的保护。

IPSec 的数据保护方式

　　因为网络攻击可能导致系统停工、生产力损失和敏感数据的公开暴露，所以保护信息不被未经授权的第三方破译或修改是高度优先的事情。

　　网络保护策略一般都是集中在周界安全方面，通过使用防火墙、安全网关和拨号访问的用户身份验证来防止来自私有网外部的攻击。然而，它并不保护不受来自网络内部的攻击。

　　只集中在访问控制安全性（例如使用智能卡和 Kerberos）可能不会带来全面的保护，因为这些方法依赖于用户名和密码。有许多计算机是由多个用户共享使用的，由于它经常处于已登录状态而导致计算机的不安全。另外，如果一个用户名或密码已被攻击者截获，单单基于访问控制的安全性不会防止非法访问网络资源。

　　物理级的保护策略通常不使用，它保护物理的网线和访问点不被使用。然而，这好象不大可能保证整个网络路径的安全得到保护，因为数据将不得不从源到目的地传播。

　　一个完善的安全计划包含多个安全策略以获得深度的保护。其中的任何一个策略都可以和 IPSec 结合。这就通过保证发送端计算机在传输前，也就是每个 IP 数据包到达网线之前对其实施保护，而接收端计算机只有在数据被接收和验证之后再解除对数据的保护，从而提供了另一层安全性。