重点:***核心技术;***应用
一.***核心技术:
1.加密:
1)ipsec是ipv6中一个字段,应用ipv4中可以建立×××(虚拟专用网);
2)ipsec一方传递消息之前,先使用加密算法和加密密钥,将消息改头换面,称之为加密;另一方收到消息后使用相同的加密算法和加密密钥,逆向将消息恢复为真实面目,该过程称为解密。(使用对称加密)
3)对称加密算法有:DES、3DES、AES;
2.验证:
1)ipsec一方传递消息之前,先使用验证算法和验证密钥对消息进行处理,得到签名然后将签名随消息一同发出去;另一方收到消息后,使用相同的验证算法和验证密钥对消息进行处理(hash),同样得到签名,然后对比报文中携带的签名,如果相同则证明该消息没有被篡改。
2)验证算法有:MD5、SHA1、SHA2;
3.ipsec中:AH只能用来验证,没有加密功能;ESP同时具有加密和验证功能,AH和ESP可以单独使用也可以配合使用。
4.ipsec两种封装模式:
1)隧道模式:ipsec将AH头或ESP头插入到原始IP头之前,另外生成一个新的报文放在AH和ESP头前;隧道模式使用心得报文头来封装消息,新ip头中的源/目的地址为隧道两端的公网ip地址,适用于两个网关之间建立IPsec隧道,是目前比较常用的封装模式。
2)传输模式:AH头和ESP头被插入到IP头和传输层协议头之间,不改变报文头,隧道的源和目的地址就是最终通信双方的源和目的地址,通信双方只能保护消息,不能保护一个网络的消息,只适用于两台主机之间通信。
5.安全联盟:SA
1)ipsec中通信双方建立的连接叫做安全联盟SA,即使用相同的封装模式、加密算法、加密密钥、验证算法、验证密钥;SA是单向的逻辑连接,为了让每个方向都得到保护,每个方向都需要建立SA;每一个安全联盟均有一个唯一的标识符SPI。
2)安全联盟SA的方向:outbound方向和inbound,一个安全联盟内,一端的outbound是另一端的inbound;
6.IKE和ISAKMP:密钥管理
1)ISAKMP(网络SA和密钥管理协议)主要定义IKE伙伴(IKE Peer)之间的合作关系(及IKE SA)的建立过程;
2)Oakley协议和SKEME协议的核心是DH(diffe-hellman迪菲.赫尔曼)算法,主要用于在Internet上安全的分发密钥及验证身份,以保障数据安全传输。
3)DH算法为IPSecSA、IKE SA提供需要的加密密钥、验证密钥,且动态刷新;
4)IKE协议的终极目标是通过协商在总部和分部之间动态建立ipsec SA,并能够实时维护ipsec SA;
5)IKE(密钥交换):分为v1和v2;
6)ipsec安全协议框架:
安全协议:ESP(加密+验证)、AH(验证)
加密:DES、3DES、AES(对称加密算法)
验证:MD5、SHA(hash算法)
密钥交换:IKE(ISAKMP、DH)
二.ipsec ×××应用:
1.ipsec与NAT并存于一个防火墙的要求:
1)问题:ipsec要求数据必须是完整的,而nat必须要源地址或目标地址,二者存在冲突;
2)解决问题:在nat策略中配置一条针对ipsec流量不进行地址转换的策略,该策略的优先级要高于其他策略,并且该策略中定义的流量范围是其他策略的子集;
3)ipsec和nat server并存解决方案:在配置NAT server时指定no-revers参数,不生成反向server-map表项即可。
2.ipsec的安全策略配置思路:
1)设置默认策略为允许:firewall packet-filter default permit all
2)配置ipsec,发起访问,分析会话表,编写安策略规则;
3)设置默认策略为拒绝:firewall packet-filter default deny all
3.ipsec常用应用场景:
1)移动用户使用L2TP over IPSec远程接入:配置L2TP-->ACL-->IPSEC-->客户端拨号;
2)总部和分部站点到站点IPSec×××:配置ip、路由及安全区域-->配置nat与***共存-->ipsec×××第一阶段:配置安全提议、创建IKE对等体-->ipsec×××第二阶段:配置一个ipsec安全提议、创建acl定义感兴趣流、创建安全策略、在外网网卡调用安全策略-->配置区域间安全策略
原文地址:https://blog.51cto.com/14381205/2406354