База данных правил безопасности: В этой базе данных хранятся правила IPSec, которые задают то, какой поток данных обрабатывается (то есть, сопоставление потока данных), и то, как этот поток данных обрабатывается (отвергнуть, обойти IPSec, применить IPSec). Здесь задается то, как обрабатывать входящий и исходящий потоки, и, таким образом, к этой базе данных обращаются для каждого входящего и исходящего пакета. Определены три способа обработки данных: 1) данные отвергаются, что означает, что данные никуда не идут и это применяется как к входящим, так и исходящим данным; 2) обойти IPSec — это означает что исходящие и входящие данные не защищаются при помощи IPSec; 3) применить IPSec — значит, что входящие и исходящие данные должны быть защищены IPSec.
База данных ассоциаций безопасности: В SAD хранится информация о каждой активной ассоциации безопасности. Поскольку SA являются однонаправленными, в SAD хранятся пары SA, по одной для каждого направления.
Селектор: Набор полей IP и ULP, используемых SPD для отображения потоков данных на правила безопасности (SA). Селекторами являются: IP-адрес отправителя; IP-адрес получателя; имя DNS или Х.500; идентификатор IP-протокола; номер порта отправителя; номер порта получателя.
Селекторы и базы данных SAD/SPD
Весь поток данных между двумя хостами может передаваться посредством одного SA и обеспечивается одним набором служб безопасности. Кроме того, поток данных между парой хостов мог бы быть разделен на множество SA, в зависимости от применяемого приложения (как определено в полях Следующий протокол и Порт), когда разные SA обеспечивают различные службы безопасности.
Следующие параметры селектора должны поддерживаться в реализациях IPSec. Заметьте, что и адреса отправителя и получателя могут быть в форматах IPv4 и IPv6.
IP-адрес Получателя
Этот адрес может являться одним IP-адресом: однонаправленным, многонаправленным, широковещательным (только в IPv4) или групповым; может быть диапазоном адресов (когда указываются значения наименьшего и наибольшего адресов включительно); адресом плюс маска или шаблоном адреса. Последние три типа адреса предназначены для использования в случае нескольких получателей, разделяющих одну и ту же SA (например, если все эти получатели находятся за одним П1ЛЮЗОМ безопасности).
Этот селектор принципиально отличается от поля IP-адрес Получателя в квали-фикаторе IР-адрес Получателя, протокол IPSec, SPI, используемом для однозначной идентификации SA.
Когда передаваемый по туннелю пакет прибывает в конечный пункт, его значения полей SPI, Адрес Получателя и Протокол используются для поиска в SAD соответствующего этому пакету SA. Адрес Получателя извлекается из вложенного IP-заголовка.
После того как пакет был обработан в соответствии с SA его туннеля и оказался вне этого туннеля, его селекторы ищутся во Входящей SPD. Во Входящей SPD имеется селектор под названием Адрес Получателя. Это тот самый IP-адрес из внутреннего (вложенного) ГР-заголовка. |
