IPSEC体系结构
1.1IPSec体系结构
IP安全(IP Security)体系结构,简称IPSec,是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。IPSec工作在IP层,为IP 层及其上层协议提供保护。
IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。IPSec独立于算法,并允许用户(或系统管理员)控制所提供的安全服务粒度。比如可以在两台安全网关之间创建一条承载所有流量的加密隧道,也可以在穿越这些安全网关的每对主机之间的每条TCP连接间建立独立的加密隧道。
IPSec在传输层之下,对应用程序和终端用户来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序之类的上层软件也不会受到影响。
1.1.1IPSec的组成
IPSec是因特网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,验证头(AH)、封装安全载荷(ESP)、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域(DOI)、ISAKMP、Internet密钥交换(IKE)、IP安全文档指南、OAKLEY密钥确定协议等,它们分别发布在RFC2401~RFC2412的相关文档中。图2.3显示了IPSec的体系结构、组件及各组件间的相互关系。
图 2.3 IPSec的体系结构
AH(认证头)和ESP(封装安全载荷):是IPSec体系中的主体,其中定义了协议的载荷头格式以及它们所能提供的服务,另外还定义了数据报的处理规则,正是这两个安全协议为数据报提供了网络层的安全服务。两个协议在处理数据报文时都需要根据确定的数据变换算法来对数据进行转换,以确保数据的安全,其
中包括算法、密钥大小、算法程序以及算法专用的任何信息。
IKE(Internet 密钥交换):IKE利用ISAKMP语言来定义密钥交换,是对安全服务进行协商的手段。IKE交换的最终结果是一个通过验证的密钥以及建立在通信双方同意基础上的安全服务——亦即所谓的“IPSec安全关联”。
SA(安全关联):一套专门将安全服务/密钥和需要保护的通信数据联系起来的方案。它保证了IPSec数据报封装及提取的正确性,同时将远程通信实体和要求交换密钥的IPSec数据传输联系起来。即SA解决的是如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。
策略:策略是一个非常重要的但又尚未成为标准的组件,它决定两个实体之间是否能够通信;如果允许通信,又采用什么样的数据处理算法。如果策略定义不当,可能导致双方不能正常通信。与策略有关的问题分别是表示与实施。“表示”负责策略的定义、存储和获取,“实施”强调的则是策略在实际通信中的应用。
1.1.2IPSec的工作原理
设计IPSec是为了给IPv4和IPv6数据提供高质量的、可互操作的、基于密码学的安全性。IPSec通过使用两种通信安全协议来达到这些目标:认证头(AH)和封装安全载荷(ESP),以及像Internet密钥交换(IKE)协议这样的密钥管理过程和协议来达到这些目标。
IP AH协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。ESP协议提供数据保密性,有限的数据流保密性,数据源认证,无连接的完整性以及抗重放服务。对于AH和ESP都有两种操作模式:传输模式和隧道模式。IKE
协议用于协商AH和ESP所使用的密码算法,并将算法所需要的密钥放在合适的位置。
IPSec所使用的协议被设计成与算法无关的。算法的选择在安全策略数据库(SPD)中指定。IPSec允许系统或网络的用户和管理员控制安全服务提供的粒度。通过使用安全关联(SA),IPSec能够区分对不同数据流提供的安全服务。
IPSec本身是一个开放的体系,随着网络技术的进步和新的加密、验证算法的出现,通过不断加入新的安全服务和特性,IPSec就可以满足未来对于信息安全的需要。随着互联网络技术的不断进步,IPSec作为网络层安全协议,也是在不断地改进和增加新的功能。其实在IPSec的框架设计时就考虑过系统扩展问题。例如在ESP和AH的文档中定义有协议、报头的格式以及它们提供的服务,还定义
有数据报的处理规则,但是没有指定用来实现这些能力的具体数据处理算法。AH 默认的、强制实施的加密MAC是HMAC-MD5和HMAC-SHA,在实施方案中其它的加密算法DES-CBC、CAST-CBC以及3DES-CBC等都可以作为加密器使用。
1.1.3PSec的模式
IPSec协议(包括AH和ESP)既可以用来保护一个完整的IP载荷,也可以用来保护某个IP载荷的上层协议。这两个方面的保护分别由IPSec两种不同的“模式”来提供:传输模式和隧道模式。
IPSec
、UDP
和ICMP
通信。
IP
IPSec头。
IP报头,
IKE协议
IKE 协议。
1.1.4IPSec的实现方式
IPSec可以在主机、路由器或防火墙(创建一个安全网关)中同时实施和部署。用户可以根据对安全服务的需要决定究竟在什么地方实施,IPSec的实现方式可分为集成方式、BITS方式、BITW方式三种。
?集成方式:把IPSec集成到IP协议的原始实现中,这需要处理IP源代码,
适用于在主机和安全网关中实现。
?“堆栈中的块(BITS)”方式:把IPSec作为一个“锲子”插在原来的
IP协议栈和链路层之间。这不需要处理IP源代码,适用于对原有系统的
升级改造。这种方法通常用在主机方式中。
?“线缆中的块(BITW)”方式:这是本文采用实现IPSec的方式,它将
IPSec的实现在一个设备中进行,该设备直接接入路由器或主机设备。
当用于支持一台主机时,与BITS实现非常相似,但在支持路由器或防火
墙时,它必须起到一台安全网关的作用。
1.1.5IPSec协议的处理
IPSec处理分两类:外出处理和进入处理。
1.1.5.1 外出处理
在外出处理的过程中,数据包从传输层流进IP层。IP层首先取出IP头的有关参数,检索SPDB数据库,判断应为这个包提供那些安全服务。输入SPDB的是传送报头中的源地址和目的地址的“选择符”。SPDB输出的是根据“选择符”查询的策略结果,有可能出现以下几种情况:
丢弃这个包。此时包不会得以处理,只是简单地丢掉。
绕过安全服务。在这种情况下,这个IP包不作任何处理,按照一个普通的IP包发送出去。
应用安全服务。在这种情况下,需要继续进行下面的处理。
如果SPDB的策略输出中指明该数据包需要安全保护,那么接着就是查询SADB 来验证与该连接相关联的SA是否已经建立,查询的结果可能是下面的两种情况之一:如果相应的SA已存在,对SADB的查询就会返回指向该SA的指针;如果查询不到相应的SA,说明该数据包所属的安全通信连接尚未建立,就会调用IKE进行协
商,将所需要的SA建立起来。如果所需要的SA已经存在,那么SPDB结构中包含指向SA或SA集束的一个指针(具体由策略决定)。如果SPDB的查询输出规定必须将IPSec应用于数据包,那么在SA成功创建完成之前,数据包是不被允许传送出去的。
对于从SADB中查询得到的SA还必须进行处理,处理过程如下:
1.如果SA的软生存期已满,就调用IKE建立一个新的SA。
2.如果SA的硬生存期已满,就将这个SA删除。
3.如果序列号溢出,就调用IKE来协商一个新的SA。
SA处理完成后,IPSec的下一步处理是添加适当的AH或ESP报头,开始对数据包进行处理。其中涉及到对负载数据的加密、计算校验等在下面的内容中会给予详细的介绍。SA中包含所有必要的信息,并已排好顺序,使IPSec报头能够按正
确的顺序加以构建。在完成IPSec的报头构建后,将生成的数据报传送给原始IP
层进行处理,然后进行数据报的发送。
1.1.5.2 进入处理
进入处理中,在收到IP包后,假如包内根本没有包含IPSec报头,那么IPSec 就会查阅SPDB,并根据为之提供的安全服务判断该如何对这个包进行处理。因为如果特定通信要求IPSec安全保护,任何不能与IPSec保护的那个通信的SPDB定义相匹配的进入包就应该被丢弃。它会用“选择符”字段来检索SPDB数据库。策略的输出可能是以下三种情况:丢弃、绕过或应用。如果策略的输出是丢弃,那么数据包就会被放弃;如果是应用,但相应的SA没有建立,包同样会被丢弃;否则就将包传递给下一层作进一步的处理。
如果IP包中包含了IPSec报头,就会由IPSec层对这个包进行处理。IPSec从
数据包中提取出SPI、源地址和目的地址组织成
要么由ESP来处理。在协议处理前,先对重放攻击和SA的生存期进行检查,把重
放的报文或SA生存期已到的包简单丢弃而不作任何处理。协议载荷处理完成之后,需要查询SPDB对载荷进行校验,“选择符”用来作为获取策略的依据。验证过程包括:检查SA中的源和目的地址是否与策略相对应,以及SA保护的传输层协议是否和要求的相符合。
IPSec完成了对策略的校验后,会将IPSec报头剥离下来,并将包传递到下一
层。下一层要么是一个传输层,要么是网络层。假如说数据包是IP【ESP【TCP】】,下一层就是传输层;假如这个包是IP【AH【ESP【TCP】】】,下一层仍然是IPSec 层。
1.1.6认证头(AH)协议
1.1.6.1 AH的目标
IP协议中,用来提供IP数据包完整性的认证机制是非常简单的。IP头通过头部的校验和域来保证IP数据包的完整性。而校验和只是对IP头的每16位计算累加和的反码。这样并没有提供多少安全性,因为IP头很容易修改,可以对修改过的IP头重新计算校验和并用它代替以前的校验和。这样接受端的主机就无法知道数据包己经被修改。
设计认证头(AH)协议的目的是用于增加IP数据包的安全性。AH协议提供无连接的完整性(connectionless integrity)、数据源认证(data originauthentication)和反重播(anti-replay)攻击服务。然而,AH不提供任何保密性服务,也就是说它不加密所保护的数据包。AH的作用是为IP数据流提供高强度的密码认证,以确保被修改过的数据包可以被检查出来。AH使用消息认证码(MAC)对IP进行认证。MAC不同于杂凑函数,因为它需要密钥来产生消息摘要,而杂凑函数不需要密钥。常用的MAC是 HMAC,它与任何迭代密码杂凑函数(如MD5, SHA-l, Tiger等)结合使用,而不用对杂凑函数进行修改。由于生成IP数据包的消息摘要需要密钥,所以IPSec的通信双方需要共享一个同样的认证密钥。这个密钥就是由双方的SA信息来提供的。
1.1.6.2 AH协议包格式
AH只用于保证收到的数据包在传输过程中不被修改,保证由要求发送它的当事人将它发送出去,以及保证它是一个新的非重播的数据包。AH用于传送模式时,保护的是端到端的通信。通信的终点必须是IPSec终点,所以在我们所研究的VPN 的隧道方式中不预考虑。AH协议隧道模式的包格式如图2.6所示:
●下一个头
●载荷长度
●保留
●
●序列号
检测重演数据包。具体的滑动窗口因不同的工PSEC实现而不同,一般具有一下功能。窗口长度最小32比特,窗口的右边界代表一特定SA所接收倒的验证有效的最大序列号,序列号小于窗口左边界的数据包将被丢弃。
将序列号值位于串口之内的数据包与位于窗口内的接收到的数据包清
单进行比照,如果接收到的数据包的序列号位于窗口内并且是新的,或者序列号大于窗口右边界且有效,那么接收主机继续处理认证数据的计算。
●认证数据:这是一个变长域(必须是32bit字的整数倍)。它包含数据
包的认证数据,该认证数据被称为这个数据包的完整性校验值(ICV)。
用于计算ICV的可用的算法因IPSEC的实现不同而不同;然而,为了保证互操作性,AH强制所有的IPSec必须包含两个MAC: HMAC-MD5和
HMAC-SHA-I。
1.1.6.3 AH的处理
无论是ESP或者AH协议,数据报的处理都是向数据报中添加IPSec报头或者剥离IPSec报头。为了能正确地完成数据报的封装,需要从SADB中获得各个字段的数据;为了能够正确完成数据报的解封装,需要根据SPDB的查询结果对各个字段进行校验。下面就简单介绍AH协议的如何完成IPSec报头的封装和解封装。
对于外出的数据包,AH协议处理的目标是向数据包合适的位置增加AH报头。具体的处理步骤如下:
1.外出数据包与一个SPDB条目匹配时,查看SADB是否有合适的SA。如果有,
就将AH应用到与这个与之相符的数据包,该数据包在SPDB条目指定的那
个模式中。如果没有,可用IKE动态地建立一个,并把序列号计数器初
始化为0。在利用这个SA构建一个AH头之前,计算器就开始递增,这样
保证了每个AH报头中的序列号都是一个独一无二的、非零的和单向递增
的数。
2.向AH的其余字段填满恰当的值。SPI字段分配的值是取自SA的SPI;下一
个头字段分配的是跟在AH之后的数据类型值;而载荷长度分配的则是
“32位字减二”;“验证数据”字段设成0。需要注意的是:AH协议将
安全保护扩展到外部IP报头的原有的字段,因此将“完整性检查值(ICV)”
之前的不定字段清零是必要的。这和ESP协议的处理是不一样的。
3.根据验证算法的要求,或出于排列方面的原因,需要进行适当的填充。
对有些MAC算法来说,比如DES-CBC MAC要求应用MAC的数据必须是算法
的块尺寸大小的倍数。在这种情况下就必须进行填充以便正确地使用
MAC(注意两种强制算法均无此要求)。填充的数据报必须为零,并且
填充数据的长度不包括在载荷长度中。对IPv4来说AH报头必须是32比特
的倍数,IPv6则是64比特的倍数。如果MAC算法的输出不符合这项要求
就必须添加AH报头。对填充项的值没有什么别的要求,但必须把它包括
在ICV的计算中,而载荷长度中必须反映出填充项大小。
4.计算ICV。从外出SA中取出验证密钥,连同整个IP包(包括AH报头)传
到特定的算法(也就是SA中的“身份验证程序”)计算ICV。由于不定
字段已清零,它们不会被包括在ICV的计算中。将计算得到的ICV复制到
AH的“验证数据”字段中,IP报头中的不定字段就可根据IP处理的不同
得以填充。
5.输出经过处理的报文。AH处理结束后就形成了AH保护下的IP数据报,根
据数据报的大小,在传输到网络上前可将它分段处理,或在两个IPSec
同级之间的传送过程中,由路由器分段。
对于进入的数据报,AH协议处理的目标就是从数据报中将AH报头剥离下来,还原出封装在IPSec内的高层数据包:
1.重组分段。如果一个受AH安全保护的包在接收时被证实是分段数据,那
么在AH输入处理之前需要对这些分段数据进行重新组合。因为如果分段
的数据报没有重组为原来的完整数据,ICV检查就会失败。只有完整的
AH保护的IP包可传送到AH输入处理。
2.查询SADB,找出保护这个包的SA。用基于IP报头的SPI、目的IP地址和
安全协议(AH)组成的三元组来对SA进行查询。如果没有找到合适的SA,
这个包会被丢弃。
3.进行序列号检查。如果检查失败,这个包就会被丢弃。
4.检查ICV。首先把AH报头中的“验证数据”字段中的ICV值取出来,然后
将这个字段清零,同时将IP中所有不定字段也清零。根据验证算法的要
求以及载荷长度的要求可能还要进行零数据的填充,使验证数据的长度
符合算法的要求。随后对整个数据包应用验证算法,并将获得的摘要同
保存下来的ICV值进行比较。如相符,IP包就通过了身份验证;如不符,
该数据报丢弃。
5.接收窗口的序列号可以递增,结束AH处理过程。验证通过的整个数据报
传递给下一步的IP来处理。
1.1.7封装安全载荷(ESP)协议
1.1.7.1 ESP的目标
ESP为IP报文以无连接的方式(以包为单位)提供完整性校验、认证和加密服务,同时还可能提供防重放攻击保护。在建立SA时可选择所期望得到的安全服务,建议遵守以下约定:
完整性校验和身份认证建议同时使用。
?
?
?
ESP
●
交换过程中●
新的32位,所有●
在这个域中,包含“下一个头”字段,也可包含一个加密算法可能需要
使用到的初始化向量(Initialization Vector,IV),虽然载荷数据是
加密的,但IV是没有加密的。
●填充项(Padding):填充项的使用是为了保证ESP的边界适合于加密算
法的需要。因为有些加密算法要求输入数据是以一定数量的字节为单位
的块的整数倍,即使SA没有机密性要求,仍然需要通过加入Pad数据把
ESP报头的“填充长度”和“下一个头”这两个字段靠右排列。
●填充项长度(Pad Length):指出上面的填充项填充了多少字节的数据。
通过填充长度,接收端可以恢复出载荷数据的真实长度。
●下一个头(NextHeader):8bit字段,表明包含在载荷数据字段的类型。
字段的大小从IP协议数据中选择。在通道模式下使用ESP,这个值是4,
表示IP-in-IP。
●认证数据(Authentication Data):字段的长度由选择的认证功能指
定。它包含数据完整性检验结果(Integrity Check Value,ICV)。验
证数据计算的是ESP包中除验证数据域以外的所有项。如果对ESP数据报
进行处理的SA中没有指定身份验证器,就没有这一项。
1.1.7.3 ESP处理
无论采用哪种模式,对ESP来说,密文是得到验证的,验证的明文则是未加密的。即:对于外出的包,首先进行的是加密处理;而对于进入的包来说,验证是首先进行的。使用这种处理顺序能够简化检测过程,抵抗重放攻击以及减少拒绝服务攻击的影响。
外出包处理:
1.安全关联查询:得到处理包的策略和SA,其中包括SPI,密钥等。
2.包加密:在增加了必要的填充项后,使用密钥、加密算法、由SA指定的
算法模式以及密码同步对载荷数据、填充项、填充长度、下一个头进行
加密。如果选择认证,则在认证前要进行加密,加密不包含认证数据字
段。由于认证数据不被加密保护,因此要使用认证算法计算ICV。
3.序列号产生:当创建一个SA时,发送者的计数器初始化为0。利用这个
SA,发送的第一个包的序列号设置为1,计数器的值从此开始递增,并将
新值插入到序列号字段,这样就可以保证序列号的唯一性、非零性和单
向递增性。
4.完整性校验值(ICV)计算:计算ICV的参数包含SPI、序列号、载荷数
据(包括初始化向量,原IP头、TCP头和原载荷数据)、填充项、填充
长度和下个一头字段的密文数据。
5.分段:在进行ESP处理后IPSec要进行IP分段。传输模式ESP只适用于整
个IP数据报,由路由器对IP包进行分段,在ESP处理之前由接收端进行
分段重组。在隧道模式中,应用ESP协议处理IP包,载荷是分段的IP包。
6.重新计算位于ESP前面的IP头校验和,按IPSec格式重新封装数据报。
进入包处理:
1.重组:在ESP处理之前执行分段包的重组。
2.SA查询:接收到包含ESP头的包时,接收者根据目的地址、安全协议和
SPI查询单向的SA。SA指示出是否检查序列号字段,认证数据字段是否
出现,说明解密和ICV计算使用的算法和密钥等。
3.序列号验证:验证每个接收的包是否包含不重复的序列号。通过使用滑
动接收窗口可以拒绝重复序列号。序列号未重复,接收者就进行ICV验
证。如果ICV验证失败,接收者丢弃无效的IP数据报。如果ICV验证成功,
刷新接收窗口。
4.ICV验证:接收者使用认证算法,根据包的字段计算ICV,验证包的认证
数据字段内的ICV是否相同。
5.包解密:接收者使用密钥、加密算法、算法模式和密码同步数据,对ESP
载荷数据、填充项、填充长度和下一个头进行解密。在解密数据传送到
上一层之前,接收者应检查填充项字段。原始数据报的重组取决于ESP
的工作模式。
如果篡改了SPI、目的地址或IPSec协议类型字段,那么所选择的SA就是不正确的。如果将包映射到另一个这样的SA,造成的错误和坏包将很难区分。通过使用认证算法,可以检测出IPSec头是否已被篡改。如果篡改了IP目的地址或IPSec 协议类型字段,就会发生SA不匹配的事情。
CMSR系列路由器IPsec典型配置举例V
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
IPSEC配置文档
配置步骤: 一、.使得R1与R3之间(公网之间)能够通信 [R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 [R3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2 二、IPSEC配置 R1配置: 1.配置数据流 [R1]acl num 3000 [R1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.0 2.IKE策略配置 [R1]ike proposal 10 //创建IKE提议,并进入IKE视图 [R1-ike-proposal-10]encryption-algorithm 3des-cbc //IKE提议使用的加密算法 [R1-ike-proposal-10]authentication-method pre-share //IKE提议使用的密钥处理方式
[R1-ike-proposal-10]authentication-algorithm md5 //IKE提议使用的验证算法 [R1-ike-proposal-10]dh group2 //IKE提议使用的DH交换组 [R1-ike-proposal-10]sa duration 86400 //ISAKMP SA生存周期 [R1-ike-proposal-10] 3.配置IKE对等体及密钥 [R1]ike peer R3 //创建IKE对等体,并进入IKE对等体视图 [R1-ike-peer-r3]exchange-mode main //IKE对等体的协商模式 [R1-ike-peer-r3]pre-shared-key h3c //IKE对等体的密钥 [R1-ike-peer-r3]local-address 12.1.1.1 //本端安全网关地址 [R1-ike-peer-r3]remote-address 23.1.1.3 //对端安全网关地址 [R1-ike-peer-r3]remote-name R3 //对端安全网关名称 [R1]ike local-name R1 //本端安全网关名称 [R1] 4. IPSEC安全提议配置
信息安全体系结构课后答案.doc
第一章概述 1.比较体系结构的各种定义,并说明这些定义之间的异同点,指出其共性要素。 一个体系结构应该包括一组组件以及组件之间的联系。 ANSI/IEEE STD 1471-2000使用的体系结构的定义是:一个系统的基本组织,通过组件、组件之间和组件与环境之间的关系以及管理其设计和演变的原则具体体现。 IEEE的体系结构计划研究组指出,体系结构可以被认为是“组件+连接关系+约束规则”。“组件”等同于“元素”,“组件之间和组件与环境之间的关系”等价于“关系/连接关系”。 2.分析体系结构的六种基本模式各自的优缺点,描述最常用的四种结构的特点。 六种基本模型各自的优缺点: (1)管道和过滤器:在这种模式下,每个组件具有输入和输出的数据流集合,整个系统可以被看成多个过滤器复合形成的数据处理组件。如:shell编程,编译器。 (2)数据抽象和面向对象:在这种模式下,数据和数据上的操作被封装成抽象数据类型或者对象。系统由大量对象组成,在物理上,对象之间通过函数或者过程调用相互作用; 在逻辑上,对象之间通过集成、复合等方式实现设计的复用。 (3)事件驱动:在这种模式下,系统提供事件的创建和发布的机制,对象产生事件,对象通过向系统注册关注这个事件并由此触发出相应的行为或者产生新的事件。如:GUI 的模型。 (4)分层次:这种模式将系统功能和组件分成不同的功能层次,一般而言,只有最上层的组件和功能可以被系统外的使用者访问,只有相邻的层次之间才能够有函数调用。如:ISO的开放系统互联参考模型。 (5)知识库:这种模型使用一个中心数据结构表示系统的当前状态,一组相互独立的组件在中心数据库上进行操作。如:传统的数据库模型。 (6)解释器:这种模式提供面向领域的一组指令,系统解释这种语言,产生相应的行为,用户使用这种指令完成复杂的操作。 最常用的四种结构的特点: 严格的层次结构:系统可以被清楚地分解成不同的层次功能。 事件驱动的结构:适用于对互操作性、特别是异构环境下的互操作性要求高的情况。 知识库的结构:适用于以大量数据为核心的系统。 基于解释器的结构:适用于应用系统和用户的交互非常复杂的情况。 3.比较信息安全体系结构的各种定义,并说明这些定义之间的异同点。 信息系统的安全体系结构是系统信息安全功能定义、设计、实施和验证的基础。该体系结构应该在反映整个信息系统安全策略的基础上,描述该系统安全组件及其相关组件相互间的逻辑关系与功能分配。 信息系统的安全体系结构是系统整体体系结构描述的一部分,应该包括一组相互依赖、协作的安全功能相关元素的最高层描述与配置,这些元素共同实施系统的安全策略。 4.叙述PDRR模型。 信息安全保障明确了可用性、完整性、可认证性、机密性和不可否认性这五个基本的信息安全属性,提出了保护(Protect)、检测(Detect)、恢复(Restore)、响应(React)四个动态的信息安全环节,强调了信息安全保障的范畴不仅仅是对信息的保障,也包括对信息系统的保障。 5.叙述信息安全保障的基本含义,阐述信息安全保障的基本要素。 信息安全保障明确定义为保护和防御信息及信息消系统,确保其可用性、完整性、机密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、响应功能,并提供信息系统的恢复功能。
IPSec协议
IPSec协议 IPSec协议 1 IP Sec协议概述 2 IPSec VPN工作原理 4.2.1 隧道建立方式 2.2 数据保护方式 2.3 IPSEC 协议体系结构 3 IP Sec的优点 1 IP Sec协议概述 IPSec是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF 正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。 ①保证Internet上各分支办公点的安全连接:公司可以借助Internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托Internet即可以获得同样的效果。 ②保证Internet上远程访问的安全:在计算机上装有IPSec的终端用户可以通过拨入所在地的ISP的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。 ③通过外部网或内部网建立与合作伙伴的联系:IPSec通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。 ④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,IPSec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。 IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web 访问在内多种应用程序的安全。 IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。 IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。 如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。 IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁Christian Huitema认为,关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。
H3C MSR系列路由器IPsec典型配置举例(V7)
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
IPSec配置案例
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
ipsec原理介绍
Ipsec VPN调研总结 一、Ipsec原理 Ipsec vpn指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 Ipsec是一个协议集,包括AH协议、ESP协议、密钥管理协议(IKE协议)和用于网络验证及加密的一些算法。 1、IPSec支持的两种封装模式 传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。 隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。
2、数据包结构 ◆传输模式:不改变原有的IP包头,通常用于主机与主机之间。 ◆隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。
3、场景应用图
4、网关到网关交互图
5、Ipsec体系结构: 6、ipsec中安全算法 ●源认证 用于对对等体的身份确认,具体方法包含:PSK(pre-share key);PK3(public key infrustructure公钥基础设施)数字证书,RSA等,后两种为非对称加密算法。 ●数据加密 对传输的数据进行加密,确保数据私密性,具体对称加密算法包含:des(data encrypt standard)共有2种密钥长度40bits,56bits,3des密钥长度为56bits的3倍;aes(advanced encrypted standard)AES 加密共有三种形式,分为AES 128(128-bit 长度加密),AES 192(192-bit 长度加密)以及AES 256(256-bit 长度加密)。 ●完整性校验 对接收的数据进行检查,确保数据没有被篡改,主要使用hash算法(HMAC hashed message authentication code),包含MD5(message digest输出128bit校验结 果);SHA-1(secure hash algorithm 1)输出160bits校验结果。 ●密钥交换算法
H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
IPSec 配置指导
第3章IPSec 配置指导 3.1 组网及业务描述 图3-1 在RTA 和RTC 之间建立一个安全隧道,对RTA 上的LookBack 地址与RTC 上的LoopBack 地址之间的数据流进行安全保护。安全协议采用ESP 协议,加密算法采用DES,验证算法采用SHA1-HMAC-96。 3.2 配置步骤 (1) 配置ACL 在系统视图下,创建高级ACL,指定加密数据的范围; (2) 配置静态路由 在系统视图下,为两边LoopBack 地址建立连通性配置静态路由。 (3) 配置安全提议 系统视图下创建安全提议,并命名安全提议。 (4) 选择隧道封装协议 安全提议视图下,选择隧道协议:传输模式或隧道模式。默认为隧道模式。(5) 选择安全协议 安全提议视图下,选择安全协议:ESP 或AH。默认为ESP。 (6) 选择算法 同样在安全提议视图下,选择加密算法及认证算法。 (7) 创建安全策略 系统视图下,创建安全策略并选择协商方法为Manual。 (8) 引用ACL 及安全提议 安全策略视图下引用ACL 及安全提议。 (9) 设置对端地址 安全策略视图下设置对端地址。对端地址为接收方的物理地址。 (10) 设置本端地址 安全策略视图下设置本端地址。本端地址为发送方的物理地址。 (11) 设置SPI
安全策略视图下设置SPI。 设置inbound 和outbound 两个方向安全联盟的参数。 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安 全联盟的SPI 必须和对端的出方向安全联盟的SPI 一样;本端的出方向安全 联盟的SPI 必须和对端的入方向安全联盟的SPI 一样。 (12) 配置安全联盟使用的密钥 请在安全策略视图下配置密钥。此配置任务仅用于manua l 方式的安全策略,用如下命令手工输入安全联盟的密钥。对于采用isakmp 协商方式的安全策略,无需手工配置密钥,IKE 将自动协商安全联盟的密钥。 (13) 在接口上应用安全策略组 DL010012 IP VPN 实验指导书ISSUE 1.2 第3 章IPSec 配置指导 华为技术有限公司版权所有, 未经许可不得扩散21 此配置任务将安全策略组应用到接口,从而实现对流经这个接口的不同的数 据流进行不同的安全保护。如果所应用的安全策略是手工方式建立安全联盟,会立即生成安全联盟。如果所应用的是自动协商方式的安全联盟,不会立即 建立安全联盟,只有当符合某IPSec 安全策略的数据流从该接口外出时,才 会触发IKE 去协商IPSec 安全联盟。 3.3 配置参考 3.3.1 端口配置 1. 配置RTA
信息安全体系结构
一、名词解释 1.信息安全:建立在网络基础上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。 2.VPN:一般是指建筑在因特网上能够自我管理的专用网络,是一条穿过混乱的公共网络的安全稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络建立一个临时的,安全的连接,从而实现早公共网络上传输私有数据达到私有网络的级别。 3.安全策略:是有关信息安全的行为规范,是一个组织所颁布的对组织信息安全的定义和理解,包括组织的安全目标、安全范围、安全技术、安全标准和安全责任的界定等。 4.入侵检测:对入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安 全策略的行为和被攻击的迹象。 5.SSL协议:SSL(secure socket layer)修改密文规定协议室友Netscape提出的、基于web应用的安全协议,是一种用于传输层安全的协议。传输层安全协议的目的是为了保护传输层的安全,并在传输层上提供实现报名、认证和完整性的方法。SSL 制定了一种在应用程序协议,如HTTP、TELENET、NNTP、FTP和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性及可选的客户机认证。 6.数字证书:是指各实体(持卡人、个人、商户、企业、网关、银行等)在网上信息交流及交易活动中的身份证明。 7.非对称加密:拥有两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 TCP/IP协议的网络安全体系结构的基础框架是什么? 由于OSI参考模型与TCP/IP参考模型之间存在对应关系,因此可根据GB/T 9387.2-1995的安全体系框架,将各种安全机制和安全服务映射到TCP/IP的协议集中,从而形成一个基于TCP/IP协议层次的网络安全体系结构。 什么是数字证书?现有的数字证书由谁颁发,遵循什么标准,有什么特点? 数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME。 访问控制表ACL有什么优缺点? ACL的优点:表述直观、易于理解,比较容易查出对某一特定资源拥有访问权限的所有用户,有效地实施授权管理。 ACL应用到规模大的企业内部网时,有问题: (1)网络资源很多,ACL需要设定大量的表项,而且修改起来比较困难,实现整个组织 范围内一致的控制政策也比较困难。 (2)单纯使用ACL,不易实现最小权限原则及复杂的安全政策。1信息安全有哪些常见的威胁?信息安全的实现有 哪些主要技术措施? 常见威胁有非授权访问、信息泄露、破坏数据完整性, 拒绝服务攻击,恶意代码。信息安全的实现可以通过 物理安全技术,系统安全技术,网络安全技术,应用 安全技术,数据加密技术,认证授权技术,访问控制 技术,审计跟踪技术,防病毒技术,灾难恢复和备份 技术 2列举并解释ISO/OSI中定义的5种标准的安全服 务 (1)鉴别用于鉴别实体的身份和对身份的证实, 包括对等实体鉴别和数据原发鉴别两种。 (2)访问控制提供对越权使用资源的防御措施。 (3)数据机密性针对信息泄露而采取的防御措施。 分为连接机密性、无连接机密性、选择字段机密性、 通信业务流机密性四种。 (4)数据完整性防止非法篡改信息,如修改、复 制、插入和删除等。分为带恢复的连接完整性、无恢 复的连接完整性、选择字段的连接完整性、无连接完 整性、选择字段无连接完整性五种。 (5)抗否认是针对对方否认的防范措施,用来证 实发生过的操作。包括有数据原发证明的抗否认和有 交付证明的抗否认两种。 3什么是IDS,它有哪些基本功能? 入侵检测系统IDS,它从计算机网络系统中的若干关 键点收集信息,并分析这些信息,检查网络中是否有 违反安全策略的行为和遭到袭击的迹象。入侵检测被 认为是防火墙之后的第二道安全闸门。 1)监测并分析用户和系统的活动,查找非法用户和 合法用户的越权操作; 2)核查系统配置和漏洞并提示管理员修补漏洞; 3)评估系统关键资源和数据文件的完整性; 4)识别已知的攻击行为,统计分析异常行为; 5)操作系统日志管理,并识别违反安全策略的用户 活动等。 4简述数字签名的基本原理 数字签名包含两个过程:签名过程和验证过程。由于 从公开密钥不能推算出私有密钥,因此公开密钥不会 损害私有密钥的安全性;公开密钥无需保密,可以公 开传播,而私有密钥必须保密。因此若某人用其私有 密钥加密消息,并且用其公开密钥正确解密,就可肯 定该消息是某人签名的。因为其他人的公开密钥不可 能正确解密该加密过的消息,其他人也不可能拥有该 人的私有密钥而制造出该加密过的消息,这就是数字 签名的原理。 5防火墙的实现技术有哪两类?防火墙存在的局限 性又有哪些? 防火墙的实现从层次上可以分为两类:数据包过滤和 应用层网关,前者工作在网络层,而后者工作在应用 层。 防火墙存在的局限性主要有以下七个方面 (1) 网络上有些攻击可以绕过防火墙(如拨号)。 (2) 防火墙不能防范来自内部网络的攻击。 (3) 防火墙不能对被病毒感染的程序和文件的传输 提供保护。 (4) 防火墙不能防范全新的网络威胁。 (5) 当使用端到端的加密时,防火墙的作用会受到很 大的限制。 (6) 防火墙对用户不完全透明,可能带来传输延迟、 瓶颈以及单点失效等问题。 (7) 防火墙不能防止数据驱动式攻击。有些表面无害 的数据通过电子邮件或其他方式发送到主机上,一旦 被执行就形成攻击。 6什么是密码分析,其攻击类型有哪些?DES算法中 S盒的作用是什么 密码分析是指研究在不知道密钥的情况下来恢复明 文的科学。攻击类型有只有密文的攻击,已知明文的 攻击,选择明文的攻击,适应性选择明文攻击,选择 密文的攻击,选择密钥的攻击,橡皮管密码攻击。S 盒是DES算法的核心。其功能是把6bit数据变为4bit 数据。 7请你利用认证技术设计一套用于实现商品的真伪 查询的系统 系统产生一随机数并存储此数,然后对其加密,再将 密文贴在商品上。当客户购买到此件商品并拨打电话 查询时,系统将客户输入的编码(即密文)解密,并将 所得的明文与存储在系统中的明文比较,若匹配则提 示客户商品是真货,并从系统中删了此明文;若不匹 配则提示客户商品是假货。
第九章 IPSec及IKE原理
第九章IPSec及IKE原理 9.1 IPSec概述 IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,以及如何加密数据包。使用IPsec,数据就可以安全地在公网上传输。IPsec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。 IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议。AH可提供数据源验证和数据完整性校验功能;ESP除可提供数据验证和完整性校验功能外,还提供对IP报文的加密功能。 IPSec有隧道(tunnel)和传送(transport)两种工作方式。在隧道方式中,用户的整个IP 数据包被用来计算AH或ESP头,且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。 9.2 IPSec的组成 IPSec包括AH(协议号51)和ESP(协议号50)两个协议: AH(Authentication Header)是报文验证头协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能,可选择的散列算法有MD5(Message Digest ),SHA1(Secure Hash Algorithm)等。AH插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了hash算法来对数据包进行保护。AH没有对用户数据进行加密。 ESP(Encapsulating Security Payload)是报文安全封装协议,ESP将需要保护的用户数据进行加密后再封装到IP包中,证数据的完整性、真实性和私有性。可选择的加密算法有DES,3DES等。 9.3 IPSec的安全特点 数据机密性(Confidentiality):IPSec发送方在通过网络传输包前对包进行加密。 数据完整性(Data Integrity):IPSec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
IPSec VPN配置总结
IPSec VPN配置总结 近段时间,笔者完成了一些IPSec VPN的配置,有站点到站点固定公网IP 地址的IPSec VPN,有站点到站点使用固定公网IP地址的EZVPN,有网络中心点是固定公网IP地址,而分支机构是动态地址的DMVPN,有路由器和防火墙之间互联的IPSec VPN,也有不同厂商的设备之间互联的IPSec VPN。通过这些项目的锻炼,笔者感到对IPSec VPN的了解又增进了一步,以前一些模糊的地方,经过这次项目的实践之后也越来越清晰,以下就是笔者对IPSec VPN配置的总结和配置实例。 一、理解IPSec VPN VPN是利用公共网络建立一条专用的通道来实现私有网络的连接,IPSec VPN就是利用IPSec协议框架实现对VPN通道的加密保护。IPSec工作在网络层,它能在IP层上对数据提供加密、数据完整性、起源认证和反重放保护等功能。 加密的作用就是通过将数据包加密,保证数据的安全,即使数据包被人监听获取到,也无法阅读数据内容。 IPSec使用的数据加密算法是对称密钥加密系统。支持的加密算法主要有:DES、3DES、MD5和SHA加密算法,这种加密算法需要一个共享的密钥执行加密和解密,共享的密钥是通过通信两端交换公钥,然后用公钥和各自的私钥进行运算,就得到了共享的密钥,这样就需要一个公钥交换的算法。DH密钥协议就是一种公钥交换方法。DH密钥交换协议有组1到组7的几种不同的算法。DES 和3DES支持组1和2,AES支持组2和5,因此如果选用了不同的加密算法,就需要选择相应的DH密钥交换算法。 数据完整性的作用就是保证数据包在传输的过程当中没有被篡改。
华为ipsec vpn 配置
AR路由器配置 IKE 方式的 IPSec VPN IPSec(Internet Protocol Security )是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP 层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet 上传输数据的安全性。在Internet 的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多潜在的危险,比如:密码、银行帐户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻击等。网络中部署IPSec 后,可对传输的数据进行保护处理,降低信息泄漏的风险。采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图 1 所示,RouterA 为企业分支网关,RouterB 为企业总部网关,分支与总部通过公网建立通信。分支子网为 10.1.1.0/24,总部子网为 10.1.2.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec 隧道来实施安全保护。 图 1 采用默认配置通过 IKE 协商方式建立 IPSec 隧道组网图 配置思路采用如下思路配置采用 IKE 协商方式建立 IPSec 隧道: 1.配置接口的 IP 地址和到对端的静态路由,保证两端路由可达。 2.配置ACL,以定义需要IPSec 保护的数据流。 3.配置IPSec 安全提议,定义IPSec 的保护方法。 4.配置IKE 对等体,定义对等体间IKE 协商时的属性。 5.配置安全策略,并引用ACL、IPSec 安全提议和IKE对等体,确定对何种数据流采取何种保护方 法。 6.在接口上应用安全策略组,使接口具有 IPSec 的保护功能。操作步骤 1.分别在 RouterA和RouterB 上配置接口的IP地址和到对端的静态路由 # 在 RouterA 上配置接口的 IP 地址。
IPSec配置
目录 5 IPSec配置 5.1 IPSec简介 5.2 原理描述 5.2.1 IPSec基本概念 5.2.2 IKE协议 5.2.3 保护数据流的定义方式 5.3 应用场景 5.3.1 IPSec VPN基本组网应用 5.4 配置任务概览 5.5 缺省配置 5.6 配置IPSec 5.6.1 配置建立IPSec隧道 5.6.1.1 定义需要保护的数据流 5.6.1.2 配置IPSec安全提议 5.6.1.3 配置安全策略 5.6.1.4 (可选)配置IPSec隧道绑定VPN实例5.6.1.5 (可选)配置安全联盟生存周期 5.6.1.6 (可选)配置抗重放功能 5.6.1.7 接口上应用安全策略组 5.6.1.8 检查配置结果 5.6.2 配置IKE 5.6.2.1 (可选)配置IKE安全提议 5.6.2.2 配置IKE对等体 5.6.2.3 (可选)配置NAT穿越功能 5.6.2.4 (可选)配置NAT Keepalive定时器5.6.2.5 (可选)配置IPSec隧道绑定VPN实例5.6.2.6 (可选)配置heartbeat定时器 5.6.2.7 (可选)配置对等体存活检测 5.6.2.8 检查配置结果 5.7 维护IPSec 5.7.1 监控IPSec运行状况
5.7.2 清除IPSec信息 5.8 配置举例 5.8.1 配置采用手工方式建立IPSec隧道示例 5.8.2 配置采用IKE协商方式建立IPSec隧道示例 5.9 参考信息 5 IPSec配置 IPSec在IP层通过加密与数据来源认证等方式,来保证数据包在网络上传输时的私有性、真实性、数据完整性和抗重放。 ? 5.1 IPSec简介 介绍IPSec的定义、由来和作用。 ? 5.2 原理描述 介绍IPSec的实现原理。 ? 5.3 应用场景 介绍IPSec的应用场景。 ? 5.4 配置任务概览 IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。 ? 5.5 缺省配置 介绍缺省情况下,IPSec的相关配置信息。 ? 5.6 配置IPSec 介绍IPSec的配置过程。 ? 5.7 维护IPSec 显示IPSec的配置信息,清除IPSec的统计信息。 ? 5.8 配置举例 介绍使用IPSec提高数据传输安全性的各种示例。 ? 5.9 参考信息 介绍IPSec的参考标准和协议。