IPSec utvärderar inte direkt "åtkomstlistor i betydelsen att jämföra en speglad lista. Det sätt som IPSEC säkerställer att säkerhetsföreningarna (SAS) är i linje med åtkomstkontrollen är indirekt och förlitar sig på samspelet mellan IPSec själv och det underliggande nätverkets åtkomstkontrollmekanismer (som ACL:er, brandväggar, etc.).
Det finns ingen inbyggd mekanism inom IPSec-protokollet för att kontrollera om speglade åtkomstlistor. Istället fungerar processen så här:
1. Oberoende konfiguration: Access Control Lists (ACLS) och IPSec -policyer konfigureras separat. Du konfigurerar dina ACL:er på routrar eller brandväggar för att styra nätverkstrafik baserat på källa/destinations -IP -adresser, portar och andra kriterier. Separat konfigurerar du IPSec -policyer som anger vilka kamrater den kommer att förhandla med, vilka kryptografiska algoritmer som ska användas och vilken trafik (baserad på väljare som IP -adresser och portar) kommer att skyddas av tunneln.
2. Implicit matchning: Framgången för IPSec -förhandlingarna innebär en grad av matchning. Om IPSEC -policyn tillåter ett specifikt IP -adresspar och portintervall, och ACL:erna i båda ändarna tillåter samma trafik att transitera, kan anslutningen upprättas. Om ACLS * blockerar * trafiken trots att IPSEC -policyn tillåter den kommer anslutningen att misslyckas - IPSec -förhandlingarna kan lyckas, men den skyddade trafiken kommer inte att kunna korsa nätverket.
3. Trafikfiltrering: ACLS fungerar som ett filter * före * och * efter * ipsec -kryptering. Det här betyder:
* före ipsec: ACLS kontrollerar om det initiala paketet (före kryptering) är tillåtet. Om det är blockerat kommer IPSec inte ens att vara involverad.
* Efter ipsec: Efter dekryptering kontrollerar den mottagande änden igen med sina ACL:er för att säkerställa att den dekrypterade trafiken är tillåten.
4. Ingen direkt jämförelse: Det finns ingen automatiserad process där IPSec uttryckligen jämför två ACL:er för att verifiera att de är identiska eller "speglade." Säkerheten för anslutningen förlitar sig på rätt konfiguration av både IPSec -policyer * och * nätverkets åtkomstkontrollmekanismer på varje sida av tunneln.
Kort sagt, "spegling" uppnås effektivt genom att säkerställa en konsekvent konfiguration på båda sidor:båda sidor måste tillåta den trafik som iPSec avser att skydda. Varje avvikelse (t.ex. ena sidan tillåter trafik de andra blocken) kommer att resultera i anslutningsfrågor, inte ett specifikt IPSec -fel som indikerar ett missförhållande. Administratören ansvarar för att se till att dessa konfigurationer anpassas; IPSec själv hanterar inte denna verifiering direkt.
