IPSEC在企业网中的应用

IPSec简介:IPSec是一种开放标准的框架结构的Internet协议安全性 ,通过使用加密的安全服务以确保在 Internet 协议网络上进行保密而安全的通讯。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。

目的:

1.保护 IP 数据包的内容。

2.通过数据包筛选及受信任通讯的实施来防御网络攻击。

这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。其中以接收和发送最为重要。

结构:IPsec协议工作在OSI 模型的第三层,使其在单独使用时适于保护基于TCP或UDP的协议(如 安全套接子层(SSL)就不能保护UDP层的通信流)。这就意味着,与传输层或更高层的协议相比,IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片。

特性:身份验证,完整性,保密性,抗重播

其中的安全协议如下:

(1)AH(AuthenticationHeader) 协议。

它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。

(2)ESP(EncapsulatedSecurityPayload) 协议。

它提供 IP层加密保证和验证数据源以对付网络上的监听。因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全, 在IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改。

安全联盟SA

安全联盟 SA,记录每条 IP安全通路的策略和策略参数。安全联盟是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和 ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟。

封装模式

隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。

传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。定义了一个通用格式。

下面给大家讲一个案例,更加详细的来体会IPsec在企业中的运用。

下图拓扑图中三个防火墙分别代表1.0,2.0,3.0的网络,中间的交换机看成一个intnet网络,为了让私有地址1.0可以访问2.0,3.0,在这里我们可以利用IPsec安全协议来架构VPN隧道。

配置

首先配置

首先配置交换机

[ISP]vlan 2

[ISP-vlan2]port eth0/0/2

[ISP-vlan2]vlan10

[ISP-vlan10]port eth0/0/10

[ISP-vlan10]vlan 20

[ISP-vlan20]port eth0/0/20

[ISP]intvlan 2

[ISP-Vlanif2]ip add 61.130.130.2 255.255.255.0

[ISP]intvlan 10

[ISP-Vlanif10]ipadd 61.130.130.6 255.255.255.0

[ISP]intvlan 20

[ISP-Vlanif20]ip add 61.130.130.10255.255.255.0

开始配置防火墙FW1、FW2、FW3的各个端口ip以及静态路由

FW1:

[FW1]inteth0/1

[FW1-Ethernet0/1]ip add 192.168.1.1 24

[FW1-Ethernet0/1]loopback

[FW1-Ethernet0/1]int eth0/0

[FW1-Ethernet0/0]ip add61.130.130.1 30

[FW1]ip route 0.0.0.00 61.130.130.2

[FW1]firewallzone untrust

[FW1-zone-untrust]add int eth0/0

FW2:

[FW2]inteth0/1

[FW2-Ethernet0/1]ipadd 192.168.2.1 24

[FW2-Ethernet0/1]loopback

[FW2-Ethernet0/1]int eth0/0

[FW2-Ethernet0/0]ip add61.130.130.5 30

[FW2]ip route 0.0.0.00 61.130.130.6

[FW2]firewallzone untrust

[FW1-zone-untrust]add int eth0/0

FW3:

[FW3]inteth0/1

[FW3-Ethernet0/1]ipadd 192.168.3.1 24

[FW3-Ethernet0/1]loopback

[FW3-Ethernet0/1]int eth0/0

[FW3-Ethernet0/0]ip add61.130.130.9 30

[FW3]ip route 0.0.0.00 61.130.130.10

[FW3]firewallzone untrust

[FW3-zone-untrust]addint eth0/0

开始做总部与分支之间的隧道

FW1:

[FW1]acl number 3000 match-order auto //创建访问列表

[FW1-acl-adv-3000]rule10 permit ip source 192.168.1.0 0.0.0.255destination 192.168.2.0 0.0.0.255

[FW1-acl-adv-3000]rule20 deny ip source any destination any

创建安全提议

[FW1]ipsecproposal tran1

[FW1-ipsec-proposal-tran1]encapsulation-modetunnel

[FW1-ipsec-proposal-tran1]transformesp

[FW1-ipsec-proposal-tran1]espauthentication-algorithm md5

[FW1-ipsec-proposal-tran1]espencryption-algorithm des

创建安全策略

[FW1]ipsecpolicy policy1 10 isakmp

[FW1-ipsec-policy-isakmp-policy1-10]securityacl 3000

[FW1-ipsec-policy-isakmp-policy1-10]proposaltran1

[FW1]ikepeer fw2

[FW1-ike-peer-fw2]local-address61.130.130.1

[FW1-ike-peer-fw2]remote-address61.130.130.5

[FW1-ike-peer-fw2]pre-shared-key123456

[FW1]ipsecpolicy policy1 10 isakmp

[FW1-ipsec-policy-isakmp-policy1-10]ike-peerfw2

在端口应用策略

[FW1]inteth0/0

[FW1-Ethernet0/0]ipsecpolicy policy1

添加FW3的配置

[FW1]acl number 3001match-order auto

[FW1-acl-adv-3001]rule10 permit ip source 192.168.1.0 0.0.0.255destination 192.168.3.0 0.0.0.255

[FW1-acl-adv-3001]rule20 deny ip source any destination any

[FW1]ipsecproposal tran2

[FW1-ipsec-proposal-tran2]encapsulation-modetunnel

[FW1-ipsec-proposal-tran2]transformesp

[FW1-ipsec-proposal-tran2]espauthentication-algorithm md5

[FW1-ipsec-proposal-tran2]espencryption-algorithm des

[FW1]ipsecpolicy policy1 20 isakmp

[FW1-ipsec-policy-isakmp-policy1-10]securityacl 3001

[FW1-ipsec-policy-isakmp-policy1-10]proposaltran2

[FW1]ikepeer fw3

[FW1-ike-peer-fw3]local-address61.130.130.1

[FW1-ike-peer-fw3]remote-address61.130.130.5

[FW1-ike-peer-fw3]pre-shared-key123456

[FW1]ipsecpolicy policy1 20 isakmp

[FW1-ipsec-policy-isakmp-policy1-10]ike-peerfw3

[FW1]inteth0/0

[FW1-Ethernet0/0]ipsecpolicy policy1

FW2:

[FW2]aclnumber 3000 match-order auto

[FW2-acl-adv-3000]rule10 permit ip source 192.168.2.0 0.0.0.255destination 192.168.1.0 0.0.0.255

[FW2-acl-adv-3000]rule20 deny ip source any destination any

[FW2]ipsecproposal tran1

[FW2]ipsec-proposal-tran1]encapsulation-modetunnel

[FW2-ipsec-proposal-tran1]transformesp

[FW2-ipsec-proposal-tran1]espauthentication-algorithm md5

[FW2-ipsec-proposal-tran1]espencryption-algorithm des

[FW2]ipsecpolicy policy1 10 isakmp

[FW2-ipsec-policy-isakmp-policy1-10]securityacl 3000

[FW2-ipsec-policy-isakmp-policy1-10]proposaltran1

[FW2]ikepeer fw1

[FW2-ike-peer-fw1]local-address61.130.130.5

[FW2-ike-peer-fw1]remote-address61.130.130.1

[FW2-ike-peer-fw1]pre-shared-key123456

[FW2]ipsecpolicy policy1 10 isakmp

[FW2-ipsec-policy-isakmp-policy1-10]ike-peerfw1

[FW2]inteth0/0

[FW2-Ethernet0/0]ipsecpolicy policy1

FW3:

[FW3]aclnumber 3001 match-order auto

[FW3-acl-adv-3001]rule10 permit ip source 192.168.3.0 0.0.0.255destination 192.168.1.0 0.0.0.255

[FW3-acl-adv-3000]rule20 deny ip source any destination any

[FW3]ipsecproposal tran2

[FW3-ipsec-proposal-tran2]encapsulation-modetunnel

[FW3-ipsec-proposal-tran2]transformesp

[FW3-ipsec-proposal-tran2]espauthentication-algorithm md5

[FW3-ipsec-proposal-tran2]espencryption-algorithm des

[FW3]ipsecpolicy policy120 isakmp

[FW3-ipsec-policy-isakmp-policy1-20]securityacl 3000

[FW3-ipsec-policy-isakmp-policy1-20]proposaltran2

[FW3]ikepeer fw1

[FW3-ike-peer-fW1]local-address61.130.130.9

[FW3-ike-peer-fw1]remote-address61.130.130.1

[FW3-ike-peer-fw1]pre-shared-key123456

[FW3]ipsecpolicy policy1 10 isakmp

[FW3-ipsec-policy-isakmp-policy1-10]ike-peerfw1

[FW3]inteth0/0

[FW3-Ethernet0/0]ipsecpolicy policy1

完成后测试,1.0可以访问2.0和3.0

IPSEC在企业网中的应用

时间: 2024-10-10 01:31:51

IPSEC在企业网中的应用的相关文章

ipsec在企业网中的应用(IKE野蛮模式)(转)

from:http://lulu1101.blog.51cto.com/4455468/817954 ipsec在企业网中的应用(IKE野蛮模式) 案例: 本实验采用华为三台F100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的vpn通道的建立.Fw1是总部,实现fw1可以与fw2的内部网络互访,fw1和fw3的内部网络互访.fw2和fw3通过DHCP服务器动态获取地址. 拓扑图: 配置: fw1 的配置: 配置ip和默认路由: # firewall zone trust # add

IPsec 详细讲解和在企业网中的应用案例

IPsec 详细讲解和在企业网中的应用案例 一.IPsec 的简介 IPsec(IP Security)是IETF 制定的三层隧道加密协议,它为Internet 上传输的数据提供了高质量的.可互操作的.基于密码学的安全保证.特定的通信方之间在IP 层通过加密与数据源认证等方式,提供了以下的安全服务: ① 数据机密性(Confidentiality):IPsec 发送方在通过网络传输包前对包进行加密. ② 数据完整性(Data Integrity):IPsec 接收方对发送方发送来的包进行认证,以

linux下DHCP在企业网中的应用(DHCP中继)

linux下DHCP在企业网中的应用 一.环境要求 一台虚拟机 一个linux操作系统 两个windows操作系统 二.实验要求 企业网中一般有多个vlan,vlan之间需要相互通信,需要一个DHCP server去给其他vlan的主机动态分配ip地址. 三.实验拓扑及地址规划 拓扑图及地址规划如图所示: 四.实验步骤 ① 配置DHCP服务器,编辑dhcp的配置文件 route -n查看路由信息 vim /etc/dhcp/dhcpd.conf service dhcpd configtest

查找企业网中非法接入的WIFI设备(原创)

一.企业网络安全管理面临的新问题 现在计算机和移动智能设备越来越普及,有一些企业网用户不再满足于只让实名登记的.有实际办公用途的计算机上网,他们把家中的笔记本.智能手机.平 板电脑带到单位,通过非法架设SOHO路由器.随身WIFI.安装免费WIFI软件等,绕过网络管理员的检测,实现非法接入企业网,然后就可以通过他们自 己的设备实现一些移动平台的网络应用.这些SOHO路由器.随身WIFI的一个大卖点:"就是可以绕过检测,隐匿接入",因为这些设备都可以关闭信号的广 播发送,通过信号检测的方

Dhcp 在企业网中的应用

Dhcp在企业网中的应用 Dhcp简介: DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述.DHCP有3个端口,其中UDP67和UDP68为正常的DHCP服务端口,分别作为DHCP Server和DHCP Client的服务端口:546号端口用于DHCP

家用路由器在企业网中的应用及危害

家用路由器的特点:具有NAT功能:具有DHCP功能:自身有一个内网IP,为192.168.1.1或者192.168.0.1:一般WAN口,多个LAN口:无线功能:价格低廉. 乱接家用路由器特指:企业网中有网线插在家用路由器的LAN口 家用路由器在企业网中应用的原因:网口不够用,一个屋子有两台PC需要上网,却只有一个网口:需要wifi,让手机也可以上网. 乱接家用路由器的危害: 当企业网中出口路由器,内网口(端)IP同样为192.168.1.1且启用DHCP时,如果内网中存在家用路由器,并启用DH

DHCP在企业网中的应用

一.DHCP概述: DHCP是Dynamic Host Configuration Protocol(动态主机配置协议)的缩写,DHCP是一个简化主机IP地址分配管理的TCP/IP 标准协议.用户可以利用DHCP服务器管理动态的IP地址分配及其他相关的环境配置工作(如:DNS.WINS.Gateway的设置).在使用TCP/IP协议的网络上,每一台计算机都拥有唯一的计算机名和IP地址.IP地址(及其子网掩码)用于鉴别它所连接的主机和子网,当用户将计算机从一个子网移动到另一个子网的时候,一定要改变

安全协议系列(五)---- IKE 与 IPSec(中)

在上一篇中,搭建好了实验环境.完整运行一次 IKE/IPSec 协议,收集相关的输出及抓包,就可以进行协议分析.分析过程中,我们将使用 IKE 进程的屏幕输出和 Wireshark 抓包,结合相关 RFC,利用 python 进行验证计算.先看协议的一次完整运行(过滤掉无关报文,如下图) 下面是 RFC 5996 中对 IKEv2 协议的规范说明 由上可知,IKEv2 协议由两个阶段的交互过程(即两个来回,共四个报文)组成.第一阶段称为 IKE_SA_INIT 交换.第二阶段称为 IKE_AUT

TCP/IP数据包处理路径(Ipnat.sys 、Ipfltdrv.sys 、 Ipsec.sys)

转自:https://technet.microsoft.com/library/bb878072 本页内容 简介 用于数据包处理的 TCP/IP 体系结构 数据包处理路径 更多信息 简介 随着 Microsoft® Windows® XP Service Pack 2 和 Windows Server™ 2003 Service Pack 1 新增了 Windows 防火墙,以及 Internet 协议安全 (IPsec) 在公司 Intranet 中日益广泛的应用,信息技术 (IT) 专业人