有一个因素这可能会限制你配置金钱所能买到的最强加密的能力。《国际武器贩运规例》(ITAR)和由国务院执行的《武器出口控制法》(Arms Export Control Act, AECA)规范了在美国境外使用强大的密码系统。这是因为加密技术属于武器和战争所需的其他领域。您可以找到使用强密码学可能受到限制的国家列表。
思科提供了一个工具这有助于您理解与他们的安全和加密产品相关的出口管制法律法规。本文档提供了关于出口控制Cisco ASA 5500防火墙和美国DPL (Denied Party List)。你应该注意这些规定并遵守这些规定。然而,我很确定,坏人不遵守规则。
结论
当我想到配置IPsec的各种选项时,我想到了斯奈德的剃须刀.乔尔·斯奈德(Joel Snyder)是Opus One的高级合伙人,也是《网络世界》(Network W有个足球雷竞技apporld)的撰稿人,他说:“在其他条件相同的情况下,选择更安全的选项。”因此,如果MD5和SHA-1或SHA-2之间的性能没有太大的差异,那么您应该选择更强的选项。如果使用3DES和AES-256配置点对点VPN链路同样容易,那么您应该选择更强的选项。如果你可以简单地配置Diffie-Hellman组2或5或14,那么你应该选择更强的选项。现在你明白了。您应该查看正在使用的加密和身份验证算法,并且应该运行用于安全通信的最强算法和关键能力。
斯科特