如何使用苹果设备的内置网络安全功能

苹果设备使用许多常见的互联网安全标准。以下是每种标准的作用，以及如何在你的 Apple 硬件上使用它们。

在我们生活的网络世界中，互联网连接无处不在。

保证网络通信安全是互联网技术最重要的方面之一。几十年来，为了保证网络和设备的安全，已经形成了几种不同的标准。

本文将介绍其中几种标准，以及它们与苹果设备的关系。

IPsec、IKEv2、L2TP

安全连接和 VPN 使用三种关键技术： IPsec、IKEv2 和 L2TP。

IPSec 是一种安全标准，诞生于 DARPA ARPANET 的早期研究。后来，麻省理工学院、摩托罗拉公司和 NIST 将其正式化。

IPSec 主要用于 VPN，提供安全认证、密钥交换、加密和数据完整性功能。如果你在苹果设备上安装过 VPN 软件，你就使用过 IPSec。

它被认为是 "第 3 层" 协议，位于第 2 层协议之上，我们稍后会看到第 2 层协议。

有许多关于 IPSec 的优秀书籍，包括 Cisco 的《IPSec VPN Design》和 Carlton Davis 的《IPSec: secured VPN》。

IKEv2 是互联网密钥交换协议。该协议有三个版本： IKE、IKEv1 和 IKEv2。

它用于 IPSec 和 DNS，在连接过程中创建和交换安全密钥对。共享密钥是公钥基础设施（PKI）的一部分，无需密码。

IKE 基于两个早期协议： Oakley 协议和 ISAKMP。这些协议产生于 20 世纪 90 年代末，当时人们发现早期的互联网通信在很多情况下都不安全，于是人们开始努力确保互联网连接的安全。

Oakley 协议使用现在著名的 Diffie-Helman 密钥交换算法来安全地交换加密密钥。

ISAKMP 是一种密钥交换框架，提供安全关联和密钥，供 IKE 等密钥交换协议使用。思科公司在其大多数 VPN 和路由器产品中都采用了 Oakley 和 ISAKMP 协议。

还有其他密钥交换协议，如 Kerberized Internet Negotiation of Keys (KINK) 和 SKEME。

L2TP 或第二层隧道协议是一种隧道协议，用于网络通信过程中的控制信息。L2TP 本身并不保护或加密数据或内容，它只对连接中使用的控制信号进行加密。

该协议于 1999 年在 RFC 2661 规范中正式确定，是思科的 L2F 协议和微软的 PPTP 协议的产物。它还在数据包传输过程中使用用户数据报协议（UDP）。

UDP 的主要优势在于它是一种无需确认的广播协议，监听者可以在某个端口上等待信息，而无需回复发送者。

L2TP 是在拨号调制解调器仍在广泛使用时，出于对 PPP（点对点协议）安全性的需要而出现的。数据包可以通过其他加密协议之一在第二层隧道中传输。

安全隧道可确保隧道中传输的任何数据都经过加密，并仅在两点之间受控。这使得攻击者难以实施重放和中间人攻击。

L2TP 主要用于企业 VPN 的安全访问。

许多 VPN 应用程序都可通过 App Store 在苹果设备上使用。大多数苹果操作系统还提供内置功能，可轻松将 VPN 配置文件添加到设备中。

IPsec、IKEv2 和 L2TP 大多在幕后运行，除非你需要更改某些特定设置，否则通常不需要为它们费心。

TLS、SSL 和 X.509 证书

20 世纪 90 年代末，当网络首次成为主流时，人们很快意识到所有网络通信都需要加密。这样，数据就不会在浏览器和服务器之间被拦截和监听。

因此，安全套接字层（SSL）应运而生。该协议现在称为传输层安全协议，可对网络浏览器和服务器之间的大部分流量进行加密。

https 中的 "s" 代表 "安全"，表示你正在通过安全连接浏览网站。

SSL/TLS 还可用于某些安全电子邮件通信。TLS 也是在 1999 年提出的，经历了三次修订，目前的版本是 TLS 1.3。

SSL 最初是在 1994 年为网景公司的 Navigator 浏览器的第一版开发的，如今该浏览器已演变成 Mozilla Firefox。此外，还有一种数据报传输层安全（DTLS）协议。

TLS 使用 X.509 证书，通过加密和加密握手来交换信息。握手完成后，服务器通常会向客户端应用程序提供证书，以便其信任。

X.509 证书允许客户端应用程序验证服务器的真实性，这样冒充攻击就无法得逞。国际电信联盟（ITU）在 RFC 5280 中定义了 X.509 标准。

TLS 的主要优点是可以防止任何可能监听数据交换的人读取明文数据。这一切都是因为数据经过加密。

在大多数情况下，现代苹果设备和在苹果设备上运行的大多数软件都会自动知道如何使用 TLS，所以你不需要担心这个问题。只要你在浏览网页时使用 "https" 连接，TLS 就会自动运行。

一些电子邮件客户端应用程序（如 Mozilla Thunderbird）允许你指定 TLS/SSL 作为通信安全标准：

WPA/WPA2/WPA3 企业级和 802.1X

当 WiFi 网络在上世纪末首次出现时，为了让无线网络能安全地连接到其他设备，制定了一个新的安全标准 WEP（有线等效保密）。

WEP 存在严重的安全缺陷，为此，Wi-Fi 保护访问（WPA）应运而生。自 2000 年代初以来，该协议已经历了三次修订，目前的版本是 WPA3。

包括苹果设备在内的大多数现代 WiFi 设备都提供 WEP3 连接。

苹果的 WiFi 设备和以太网设备还提供使用另一种安全协议 802.1X 的连接。该协议是 IEEE 定义的 802 网络标准的一部分，涵盖 WiFi 和以太网有线网络。

802.1X 可防止一种称为 "硬件添加" 的网络攻击，即使用恶意设备连接到网络并执行黑客活动。例如，将树莓派（Raspberry Pi）等小型电脑插入备用网络端口。

通过使用身份验证服务器，802.1X 通常可以通过 WiFi、LAN 或 WAN 对用户进行身份验证，从而挫败此类攻击。

在设备无处不在的今天，"硬件添加" 攻击比以往更为常见。

苹果公司在《苹果平台部署指南》中有一个关于 802.1X 连接的页面，还有一个关于安全访问无线网络的说明。

调制解调器版本的苹果操作系统不再支持 WPA，因此在大多数情况下，你需要使用 WPA2、WPA3 或其变体。

还有另一份技术说明（102001）题为《使用登录窗口模式进行 802.1X 网络身份验证》，详细介绍了如何在 Mac 上使用登录窗口模式安全登录受 802.1X 保护的网络。

如果网络支持目录服务，登录窗口模式 (LWM) 是一种从 Mac 的登录窗口连接到安全网络的方法。

要使用 LWM，你需要连接到 Active Directory 或 Open Directory 服务器。此外，你还需要安装一个 Mac 网络配置文件，以便在尝试连接的网络中启用 LWM。

配置完成后，在 Mac 登录窗口，从用户列表中选择 "其他"，然后输入目录服务用户名和密码。从弹出菜单中选择要连接的网络接口（WiFi 或以太网）。

Active Directory 和 Open Directory 是允许将用户信息和凭证存储在中央服务器上进行身份验证的技术。我们将在不久的将来撰文介绍开放目录。

苹果公司有一个题为 "为苹果设备使用内置网络安全功能" 的完整页面，其中涵盖了上述大部分主题，你还可以从这里找到许多其他相关主题的链接。

在大多数情况下，苹果已经实现了网络安全的无缝连接，所以你通常不需要担心这个问题。上述技术大多都是网络或互联网标准的一部分，在大多数软件中都会自动使用。