网络安全——ipsec
?
網絡安全——ipsec
Internet 協議安全性 (IPSec)”是一種開放標準的框架結構,通過使用加密的安全服務以確保
在 Internet 協議 (IP) 網絡上進行保密而安全的通訊,它通過端對端的安全性來提供主動的保護以防止專用網絡與 Internet 的***
Ipsec是一個協議集合(包括一些加密協議像des、3des 、aes的對稱加密,還有一些安全協議AH和ESP等)
Ipsec隧道屬于一個三層隧道把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。
下面看ipsec能提供給我們什么
安全服務:
Ipsec能提供的安全服務有身份驗證、數字證書、抗重播、保密性:
身份驗證:能夠提供的身份驗證有以下幾種
提供一種機制pre-shared key 預控制密鑰
數字證書(相對麻煩但是更加安全)
Kerveros? v5
完整性:ipsec協議提供一種摘要可以通過md5和sha,來保證信息沒有被修改
抗重播:給發出的包一個編號,防止重播
保密性:對數據包進行加密,加密方式有des 、3des、aes對稱加密
安全協議:
Ipsec所提供的安全協議:
AH驗證(不能過nat)頭協議,可以保證身份驗證、數字證書、抗重播這三個安全服務,協議號為51
Esp安全封裝載荷,可提供四種安全服務身份驗證、數字證書、抗重播、保密性,協議號為50
下面來說一下它們的工作模式:
AH:
AH:分為隧道模式和傳輸模式
傳輸模式
中間沒有***服務器,用在局域網內部,在傳送中不產生新的ip頭
處理數據的方式:
??
AH頭包含:摘要值,32計數器,spi安全聯盟(sa)索引值
隧道模式
中間必須有一個或兩個***服務器,在數據包傳送時會產生新的ip頭
處理方式:
由于產生了一個新的ip頭,所以在nat轉換中不能被實現
Esp:
傳輸方式
esp頭內容有:32計數器、spi值
esp驗證內容是一些驗證信息
Esp尾部內容:在進行塊加密塊數不夠時來補齊,esp尾部就是這些補齊數據
傳輸方式在進行加密時只對數據和ESP尾進行加密,驗證時對ESP頭、數據、ESP尾都要驗證?
隧道方式
在傳送時產生新的ip頭
隧道方式對原始ip頭和數據還有ESP尾部進行加密,在驗證時要看包的ESP頭、原始ip頭和數據還有ESP尾部
Ipsec的實現:
實現ipsec可以通過路由器、防火墻當然我們還是優先使用防火墻,因為它在穩定性和安全性上都優于路由器
當數據流通過接口時,通過接口上應用的防控列表篩選出要通過匹配的流,篩選出要通過隧道的流讓它匹配安全策略,其他的比如去往internet的就不再走ipsec隧道
實現ipsec隧道所需要的內容:
1.流:具備相同的五元素(源、目標、協議、源端口號、目標)的一系列包,通過隧道的流是要匹配安全策略的
篩選出流要靠匹配訪問控制列表
2.安全提議:
提供ipsec的工作方式是隧道模式還是傳輸模式,安全協議若是AH,還要提供AH摘要的方式是MD5還是sha,若是esp還要提供像摘要、加密方式,加密方式又分為des、 3des、aes,這些都是需要我們配置好的
3.安全策略:通過設置的acl加上安全提議來篩選要應用到ipsec的數據
4.把策略應用到接口
下面就是我們的一個案例:
配置命令:
創建加密訪問控制列表
acl acl-number [ match-order config | auto ]
rule { normal | special }{ permit | deny }? pro-number ?
[source? source-addr source-wildcard | any ]? [source-port operator port1 [ port2 ] ]
[ destination ?dest-addr dest- wildcard | any ]
?[destination-port? operator port1 [ port2 ] ]
?[icmp-type icmp-type icmp-code]
?[logging]
定義安全提議
?ipsec proposal proposal-name
設置安全協議對報文的封裝模式
?encapsulation-mode { transport | tunnel }
設置安全提議采用的安全協議
?transform { ah| ah-esp| esp }
設置加密卡 ESP 協議采用的加密算法????????
?esp-new encryption-algorithm { 3des | des | aes }
?設置 ESP 協議采用的認證算法??????
?esp-new authentication-algorithm { md5| sha1 }
手工創建安全策略???????????
?ipsec policy policy-name sequence-number {manual |isakmp}
設置安全策略引用的加密訪問控制列表
security acl access-list-number
指定安全隧道的本端地址
? tunnel local ip-address
指定安全隧道的對端地址
?tunnel remote ip-address
配置安全策略中引用的安全提議
?proposal proposal-name
手工配置時:
配置AH/ESP 協議輸入安全聯盟的 SPI
?sa inbound { ah | esp } spi spi-number
配置AH/ESP 協議輸出安全聯盟的 SPI
?sa outbound { ah | esp } spi spi-number
配置AH 協議的認證密鑰
?sa { inbound | outbound } ah hex-key-string? hex-key
配置AH 協議的認證密鑰(以字符串方式
sa { inbound | outbound } ah string-key string-key
配置 ESP 協議的認證密鑰(以 16 進制方
sa { inbound | outbound } esp authentication-hex hex-key
配置 ESP 協議的加密密鑰(以 16 進制方
sa { inbound | outbound } esp encryption-hex hex-key
用 IKE 創建安全策略聯盟,進入安全策略
ipsec policy policy-name sequence-number isakmp
設置安全策略引用的加密訪問控制列表
? security acl access-list-number
指定安全隧道的本端地址
? tunnel local ip-address
指定安全隧道的對端地址
?tunnel remote ip-address
配置安全策略中引用的安全提議
?proposal proposal-name
在接口上應用安全策略組
ipsec policy policy-name
實驗拓撲:
實驗設備(huawei):
防火墻三臺、pc三臺、三層交換機一臺
實驗目的:
使來自pc3的數據包通過匹配防火墻的安全策略,分別通過它們所形成ipsec隧道到達pc1和pc2
參考配置:
fw1
?
?
fw2
?
?
fw3
Sw1
驗證圖:
Pc1?? ping?? pc3
Pc2?? ping?? pc3
?
轉載于:https://blog.51cto.com/xuet118/1181080
總結
以上是生活随笔為你收集整理的网络安全——ipsec的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: XP设置文件夹默认打开方式改为“资源管理
- 下一篇: 我梦到的人是不是也在想我