这是我的“ 绝对加密所有...”问题的后续措施。
重要说明:这与更常用的IPSec设置无关,在该设置中您要加密两个LAN之间的通信。
我的基本目标是加密所有流量中的小公司的局域网。一种解决方案是IPSec。我刚刚开始学习IPSec,在决定使用它并进行更深入的研究之前,我想大致了解一下它的外观。
是否有良好的跨平台支持?它必须可以在Linux,MacOS X和Windows客户端,Linux服务器上运行,并且不需要昂贵的网络硬件。
是否可以为整台计算机(因此没有其他传入/传出流量)或网络接口启用IPSec,还是由单个端口/ ...的防火墙设置确定?
我可以轻松禁止非IPSec IP数据包吗?还有由某些密钥而不是我们的密钥签名的“ Mallory邪恶” IPSec流量吗?我的理想构想是使LAN上没有任何此类IP通信成为可能。
对于局域网内部流量:在“传输模式”下,我将选择“带有身份验证的ESP(无AH)”,AES-256。这是一个合理的决定吗?
对于LAN-Internet通信:它如何与Internet网关一起工作?我会用吗
- “隧道模式”以创建从每台计算机到网关的IPSec隧道?或者我也可以使用
- “传输模式”到网关?我问的原因是,网关必须能够解密来自LAN的数据包,因此它将需要密钥来执行此操作。如果目标地址不是网关的地址,那有可能吗?还是在这种情况下我必须使用代理?
还有什么我应该考虑的吗?
我真的只需要快速浏览这些内容,而不是非常详细的说明。