網絡安全——ipsec

創(chuàng)新互聯主要從事成都網站建設、成都做網站、網頁設計、企業(yè)做網站、公司建網站等業(yè)務。立足成都服務子長,10多年網站建設經驗,價格優(yōu)惠、服務專業(yè),歡迎來電咨詢建站服務:18980820575

Internet 協(xié)議安全性 (IPSec)”是一種開放標準的框架結構，通過使用加密的安全服務以確保

在 Internet 協(xié)議 (IP) 網絡上進行保密而安全的通訊，它通過端對端的安全性來提供主動的保護以防止專用網絡與 Internet 的***

Ipsec是一個協(xié)議集合（包括一些加密協(xié)議像des、3des 、aes的對稱加密，還有一些安全協(xié)議AH和ESP等）

Ipsec隧道屬于一個三層隧道把各種網絡協(xié)議直接裝入隧道協(xié)議中，形成的數據包依靠第三層協(xié)議進行傳輸。

下面看ipsec能提供給我們什么

安全服務：

Ipsec能提供的安全服務有身份驗證、數字證書、抗重播、保密性：

身份驗證：能夠提供的身份驗證有以下幾種

提供一種機制pre-shared key 預控制密鑰

數字證書（相對麻煩但是更加安全）

Kerveros v5

完整性：ipsec協(xié)議提供一種摘要可以通過md5和sha，來保證信息沒有被修改

抗重播：給發(fā)出的包一個編號，防止重播

保密性：對數據包進行加密，加密方式有des 、3des、aes對稱加密

安全協(xié)議：

Ipsec所提供的安全協(xié)議：

AH驗證（不能過nat）頭協(xié)議,可以保證身份驗證、數字證書、抗重播這三個安全服務，協(xié)議號為51

Esp安全封裝載荷，可提供四種安全服務身份驗證、數字證書、抗重播、保密性，協(xié)議號為50

下面來說一下它們的工作模式：

AH:

AH：分為隧道模式和傳輸模式

傳輸模式

中間沒有***服務器，用在局域網內部，在傳送中不產生新的ip頭

處理數據的方式：

  

AH頭包含：摘要值，32計數器，spi安全聯盟（sa）索引值

隧道模式

中間必須有一個或兩個***服務器，在數據包傳送時會產生新的ip頭

處理方式：

由于產生了一個新的ip頭，所以在nat轉換中不能被實現

Esp:

傳輸方式

esp頭內容有：32計數器、spi值

esp驗證內容是一些驗證信息

Esp尾部內容：在進行塊加密塊數不夠時來補齊，esp尾部就是這些補齊數據

傳輸方式在進行加密時只對數據和ESP尾進行加密，驗證時對ESP頭、數據、ESP尾都要驗證 

隧道方式

在傳送時產生新的ip頭

隧道方式對原始ip頭和數據還有ESP尾部進行加密，在驗證時要看包的ESP頭、原始ip頭和數據還有ESP尾部

Ipsec的實現：

實現ipsec可以通過路由器、防火墻當然我們還是優(yōu)先使用防火墻，因為它在穩(wěn)定性和安全性上都優(yōu)于路由器

當數據流通過接口時，通過接口上應用的防控列表篩選出要通過匹配的流，篩選出要通過隧道的流讓它匹配安全策略，其他的比如去往internet的就不再走ipsec隧道

實現ipsec隧道所需要的內容：

1.流：具備相同的五元素（源、目標、協(xié)議、源端口號、目標）的一系列包，通過隧道的流是要匹配安全策略的

篩選出流要靠匹配訪問控制列表

2.安全提議：

提供ipsec的工作方式是隧道模式還是傳輸模式，安全協(xié)議若是AH，還要提供AH摘要的方式是MD5還是sha，若是esp還要提供像摘要、加密方式，加密方式又分為des、 3des、aes，這些都是需要我們配置好的

3.安全策略：通過設置的acl加上安全提議來篩選要應用到ipsec的數據

4.把策略應用到接口

下面就是我們的一個案例：

配置命令：

創(chuàng)建加密訪問控制列表

acl acl-number [ match-order config | auto ]

rule { normal | special }{ permit | deny } pro-number  

[source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ]

[ destination  dest-addr dest- wildcard | any ]

 [destination-port operator port1 [ port2 ] ]

 [icmp-type icmp-type icmp-code]

 [logging]

定義安全提議

 ipsec proposal proposal-name

設置安全協(xié)議對報文的封裝模式

 encapsulation-mode { transport | tunnel }

設置安全提議采用的安全協(xié)議

 transform { ah| ah-esp| esp }

設置加密卡 ESP 協(xié)議采用的加密算法        

 esp-new encryption-algorithm { 3des | des | aes }

 設置 ESP 協(xié)議采用的認證算法      

 esp-new authentication-algorithm { md5| sha1 }

手工創(chuàng)建安全策略           

 ipsec policy policy-name sequence-number {manual |isakmp}

設置安全策略引用的加密訪問控制列表

security acl access-list-number

指定安全隧道的本端地址

 tunnel local ip-address

指定安全隧道的對端地址

 tunnel remote ip-address

配置安全策略中引用的安全提議

 proposal proposal-name

手工配置時：

配置AH/ESP 協(xié)議輸入安全聯盟的 SPI

 sa inbound { ah | esp } spi spi-number

配置AH/ESP 協(xié)議輸出安全聯盟的 SPI

 sa outbound { ah | esp } spi spi-number

配置AH 協(xié)議的認證密鑰

 sa { inbound | outbound } ah hex-key-string hex-key

配置AH 協(xié)議的認證密鑰（以字符串方式

sa { inbound | outbound } ah string-key string-key

配置 ESP 協(xié)議的認證密鑰（以 16 進制方

sa { inbound | outbound } esp authentication-hex hex-key

配置 ESP 協(xié)議的加密密鑰（以 16 進制方

sa { inbound | outbound } esp encryption-hex hex-key

用 IKE 創(chuàng)建安全策略聯盟，進入安全策略

ipsec policy policy-name sequence-number isakmp

設置安全策略引用的加密訪問控制列表

 security acl access-list-number

指定安全隧道的本端地址

 tunnel local ip-address

指定安全隧道的對端地址

 tunnel remote ip-address

配置安全策略中引用的安全提議

 proposal proposal-name

在接口上應用安全策略組

ipsec policy policy-name

實驗拓撲：

實驗設備（huawei）：

防火墻三臺、pc三臺、三層交換機一臺

實驗目的：

使來自pc3的數據包通過匹配防火墻的安全策略，分別通過它們所形成ipsec隧道到達pc1和pc2

參考配置：

fw1

 

 

fw2

 

 

fw3

Sw1

驗證圖：

Pc1  ping  pc3

Pc2  ping  pc3

 

名稱欄目：網絡安全——ipsec
標題路徑：http://m.rwnh.cn/article28/gspejp.html

成都網站建設公司_創(chuàng)新互聯，為您提供建站公司、ChatGPT、網頁設計公司、網站導航、企業(yè)建站、電子商務

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯