網(wǎng)絡(luò)安全——ipsec

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站建設(shè)、成都做網(wǎng)站、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)子長,10多年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

Internet 協(xié)議安全性 (IPSec)”是一種開放標準的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保

在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進行保密而安全的通訊，它通過端對端的安全性來提供主動的保護以防止專用網(wǎng)絡(luò)與 Internet 的***

Ipsec是一個協(xié)議集合（包括一些加密協(xié)議像des、3des 、aes的對稱加密，還有一些安全協(xié)議AH和ESP等）

Ipsec隧道屬于一個三層隧道把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。

下面看ipsec能提供給我們什么

安全服務(wù)：

Ipsec能提供的安全服務(wù)有身份驗證、數(shù)字證書、抗重播、保密性：

身份驗證：能夠提供的身份驗證有以下幾種

提供一種機制pre-shared key 預(yù)控制密鑰

數(shù)字證書（相對麻煩但是更加安全）

Kerveros v5

完整性：ipsec協(xié)議提供一種摘要可以通過md5和sha，來保證信息沒有被修改

抗重播：給發(fā)出的包一個編號，防止重播

保密性：對數(shù)據(jù)包進行加密，加密方式有des 、3des、aes對稱加密

安全協(xié)議：

Ipsec所提供的安全協(xié)議：

AH驗證（不能過nat）頭協(xié)議,可以保證身份驗證、數(shù)字證書、抗重播這三個安全服務(wù)，協(xié)議號為51

Esp安全封裝載荷，可提供四種安全服務(wù)身份驗證、數(shù)字證書、抗重播、保密性，協(xié)議號為50

下面來說一下它們的工作模式：

AH:

AH：分為隧道模式和傳輸模式

傳輸模式

中間沒有***服務(wù)器，用在局域網(wǎng)內(nèi)部，在傳送中不產(chǎn)生新的ip頭

處理數(shù)據(jù)的方式：

  

AH頭包含：摘要值，32計數(shù)器，spi安全聯(lián)盟（sa）索引值

隧道模式

中間必須有一個或兩個***服務(wù)器，在數(shù)據(jù)包傳送時會產(chǎn)生新的ip頭

處理方式：

由于產(chǎn)生了一個新的ip頭，所以在nat轉(zhuǎn)換中不能被實現(xiàn)

Esp:

傳輸方式

esp頭內(nèi)容有：32計數(shù)器、spi值

esp驗證內(nèi)容是一些驗證信息

Esp尾部內(nèi)容：在進行塊加密塊數(shù)不夠時來補齊，esp尾部就是這些補齊數(shù)據(jù)

傳輸方式在進行加密時只對數(shù)據(jù)和ESP尾進行加密，驗證時對ESP頭、數(shù)據(jù)、ESP尾都要驗證 

隧道方式

在傳送時產(chǎn)生新的ip頭

隧道方式對原始ip頭和數(shù)據(jù)還有ESP尾部進行加密，在驗證時要看包的ESP頭、原始ip頭和數(shù)據(jù)還有ESP尾部

Ipsec的實現(xiàn)：

實現(xiàn)ipsec可以通過路由器、防火墻當然我們還是優(yōu)先使用防火墻，因為它在穩(wěn)定性和安全性上都優(yōu)于路由器

當數(shù)據(jù)流通過接口時，通過接口上應(yīng)用的防控列表篩選出要通過匹配的流，篩選出要通過隧道的流讓它匹配安全策略，其他的比如去往internet的就不再走ipsec隧道

實現(xiàn)ipsec隧道所需要的內(nèi)容：

1.流：具備相同的五元素（源、目標、協(xié)議、源端口號、目標）的一系列包，通過隧道的流是要匹配安全策略的

篩選出流要靠匹配訪問控制列表

2.安全提議：

提供ipsec的工作方式是隧道模式還是傳輸模式，安全協(xié)議若是AH，還要提供AH摘要的方式是MD5還是sha，若是esp還要提供像摘要、加密方式，加密方式又分為des、 3des、aes，這些都是需要我們配置好的

3.安全策略：通過設(shè)置的acl加上安全提議來篩選要應(yīng)用到ipsec的數(shù)據(jù)

4.把策略應(yīng)用到接口

下面就是我們的一個案例：

配置命令：

創(chuàng)建加密訪問控制列表

acl acl-number [ match-order config | auto ]

rule { normal | special }{ permit | deny } pro-number  

[source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ]

[ destination  dest-addr dest- wildcard | any ]

 [destination-port operator port1 [ port2 ] ]

 [icmp-type icmp-type icmp-code]

 [logging]

定義安全提議

 ipsec proposal proposal-name

設(shè)置安全協(xié)議對報文的封裝模式

 encapsulation-mode { transport | tunnel }

設(shè)置安全提議采用的安全協(xié)議

 transform { ah| ah-esp| esp }

設(shè)置加密卡 ESP 協(xié)議采用的加密算法        

 esp-new encryption-algorithm { 3des | des | aes }

 設(shè)置 ESP 協(xié)議采用的認證算法      

 esp-new authentication-algorithm { md5| sha1 }

手工創(chuàng)建安全策略           

 ipsec policy policy-name sequence-number {manual |isakmp}

設(shè)置安全策略引用的加密訪問控制列表

security acl access-list-number

指定安全隧道的本端地址

 tunnel local ip-address

指定安全隧道的對端地址

 tunnel remote ip-address

配置安全策略中引用的安全提議

 proposal proposal-name

手工配置時：

配置AH/ESP 協(xié)議輸入安全聯(lián)盟的 SPI

 sa inbound { ah | esp } spi spi-number

配置AH/ESP 協(xié)議輸出安全聯(lián)盟的 SPI

 sa outbound { ah | esp } spi spi-number

配置AH 協(xié)議的認證密鑰

 sa { inbound | outbound } ah hex-key-string hex-key

配置AH 協(xié)議的認證密鑰（以字符串方式

sa { inbound | outbound } ah string-key string-key

配置 ESP 協(xié)議的認證密鑰（以 16 進制方

sa { inbound | outbound } esp authentication-hex hex-key

配置 ESP 協(xié)議的加密密鑰（以 16 進制方

sa { inbound | outbound } esp encryption-hex hex-key

用 IKE 創(chuàng)建安全策略聯(lián)盟，進入安全策略

ipsec policy policy-name sequence-number isakmp

設(shè)置安全策略引用的加密訪問控制列表

 security acl access-list-number

指定安全隧道的本端地址

 tunnel local ip-address

指定安全隧道的對端地址

 tunnel remote ip-address

配置安全策略中引用的安全提議

 proposal proposal-name

在接口上應(yīng)用安全策略組

ipsec policy policy-name

實驗拓撲：

實驗設(shè)備（huawei）：

防火墻三臺、pc三臺、三層交換機一臺

實驗?zāi)康模?/p>

使來自pc3的數(shù)據(jù)包通過匹配防火墻的安全策略，分別通過它們所形成ipsec隧道到達pc1和pc2

參考配置：

fw1

 

 

fw2

 

 

fw3

Sw1

驗證圖：

Pc1  ping  pc3

Pc2  ping  pc3

 

名稱欄目：網(wǎng)絡(luò)安全——ipsec
標題路徑：http://chinadenli.net/article28/gspejp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、ChatGPT、網(wǎng)頁設(shè)計公司、網(wǎng)站導(dǎo)航、企業(yè)建站、電子商務(wù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)