?

網(wǎng)絡(luò)安全——ipsec

Internet 協(xié)議安全性 (IPSec)”是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密的安全服務(wù)以確保

在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊，它通過(guò)端對(duì)端的安全性來(lái)提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與 Internet 的***

Ipsec是一個(gè)協(xié)議集合（包括一些加密協(xié)議像des、3des 、aes的對(duì)稱加密，還有一些安全協(xié)議AH和ESP等）

Ipsec隧道屬于一個(gè)三層隧道把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。

下面看ipsec能提供給我們什么

安全服務(wù)：

Ipsec能提供的安全服務(wù)有身份驗(yàn)證、數(shù)字證書、抗重播、保密性：

身份驗(yàn)證：能夠提供的身份驗(yàn)證有以下幾種

提供一種機(jī)制pre-shared key 預(yù)控制密鑰

數(shù)字證書（相對(duì)麻煩但是更加安全）

Kerveros? v5

完整性：ipsec協(xié)議提供一種摘要可以通過(guò)md5和sha，來(lái)保證信息沒(méi)有被修改

抗重播：給發(fā)出的包一個(gè)編號(hào)，防止重播

保密性：對(duì)數(shù)據(jù)包進(jìn)行加密，加密方式有des 、3des、aes對(duì)稱加密

安全協(xié)議：

Ipsec所提供的安全協(xié)議：

AH驗(yàn)證（不能過(guò)nat）頭協(xié)議,可以保證身份驗(yàn)證、數(shù)字證書、抗重播這三個(gè)安全服務(wù)，協(xié)議號(hào)為51

Esp安全封裝載荷，可提供四種安全服務(wù)身份驗(yàn)證、數(shù)字證書、抗重播、保密性，協(xié)議號(hào)為50

下面來(lái)說(shuō)一下它們的工作模式：

AH:

AH：分為隧道模式和傳輸模式

傳輸模式

中間沒(méi)有***服務(wù)器，用在局域網(wǎng)內(nèi)部，在傳送中不產(chǎn)生新的ip頭

處理數(shù)據(jù)的方式：

??

AH頭包含：摘要值，32計(jì)數(shù)器，spi安全聯(lián)盟（sa）索引值

隧道模式

中間必須有一個(gè)或兩個(gè)***服務(wù)器，在數(shù)據(jù)包傳送時(shí)會(huì)產(chǎn)生新的ip頭

處理方式：

由于產(chǎn)生了一個(gè)新的ip頭，所以在nat轉(zhuǎn)換中不能被實(shí)現(xiàn)

Esp:

傳輸方式

esp頭內(nèi)容有：32計(jì)數(shù)器、spi值

esp驗(yàn)證內(nèi)容是一些驗(yàn)證信息

Esp尾部?jī)?nèi)容：在進(jìn)行塊加密塊數(shù)不夠時(shí)來(lái)補(bǔ)齊，esp尾部就是這些補(bǔ)齊數(shù)據(jù)

傳輸方式在進(jìn)行加密時(shí)只對(duì)數(shù)據(jù)和ESP尾進(jìn)行加密，驗(yàn)證時(shí)對(duì)ESP頭、數(shù)據(jù)、ESP尾都要驗(yàn)證?

隧道方式

在傳送時(shí)產(chǎn)生新的ip頭

隧道方式對(duì)原始ip頭和數(shù)據(jù)還有ESP尾部進(jìn)行加密，在驗(yàn)證時(shí)要看包的ESP頭、原始ip頭和數(shù)據(jù)還有ESP尾部

Ipsec的實(shí)現(xiàn)：

實(shí)現(xiàn)ipsec可以通過(guò)路由器、防火墻當(dāng)然我們還是優(yōu)先使用防火墻，因?yàn)樗诜€(wěn)定性和安全性上都優(yōu)于路由器

當(dāng)數(shù)據(jù)流通過(guò)接口時(shí)，通過(guò)接口上應(yīng)用的防控列表篩選出要通過(guò)匹配的流，篩選出要通過(guò)隧道的流讓它匹配安全策略，其他的比如去往internet的就不再走ipsec隧道

實(shí)現(xiàn)ipsec隧道所需要的內(nèi)容：

1.流：具備相同的五元素（源、目標(biāo)、協(xié)議、源端口號(hào)、目標(biāo)）的一系列包，通過(guò)隧道的流是要匹配安全策略的

篩選出流要靠匹配訪問(wèn)控制列表

2.安全提議：

提供ipsec的工作方式是隧道模式還是傳輸模式，安全協(xié)議若是AH，還要提供AH摘要的方式是MD5還是sha，若是esp還要提供像摘要、加密方式，加密方式又分為des、 3des、aes，這些都是需要我們配置好的

3.安全策略：通過(guò)設(shè)置的acl加上安全提議來(lái)篩選要應(yīng)用到ipsec的數(shù)據(jù)

4.把策略應(yīng)用到接口

下面就是我們的一個(gè)案例：

配置命令：

創(chuàng)建加密訪問(wèn)控制列表

acl acl-number [ match-order config | auto ]

rule { normal | special }{ permit | deny }? pro-number ?

[source? source-addr source-wildcard | any ]? [source-port operator port1 [ port2 ] ]

[ destination ?dest-addr dest- wildcard | any ]

?[destination-port? operator port1 [ port2 ] ]

?[icmp-type icmp-type icmp-code]

?[logging]

定義安全提議

?ipsec proposal proposal-name

設(shè)置安全協(xié)議對(duì)報(bào)文的封裝模式

?encapsulation-mode { transport | tunnel }

設(shè)置安全提議采用的安全協(xié)議

?transform { ah| ah-esp| esp }

設(shè)置加密卡 ESP 協(xié)議采用的加密算法????????

?esp-new encryption-algorithm { 3des | des | aes }

?設(shè)置 ESP 協(xié)議采用的認(rèn)證算法??????

?esp-new authentication-algorithm { md5| sha1 }

手工創(chuàng)建安全策略???????????

?ipsec policy policy-name sequence-number {manual |isakmp}

設(shè)置安全策略引用的加密訪問(wèn)控制列表

security acl access-list-number

指定安全隧道的本端地址

? tunnel local ip-address

指定安全隧道的對(duì)端地址

?tunnel remote ip-address

配置安全策略中引用的安全提議

?proposal proposal-name

手工配置時(shí)：

配置AH/ESP 協(xié)議輸入安全聯(lián)盟的 SPI

?sa inbound { ah | esp } spi spi-number

配置AH/ESP 協(xié)議輸出安全聯(lián)盟的 SPI

?sa outbound { ah | esp } spi spi-number

配置AH 協(xié)議的認(rèn)證密鑰

?sa { inbound | outbound } ah hex-key-string? hex-key

配置AH 協(xié)議的認(rèn)證密鑰（以字符串方式

sa { inbound | outbound } ah string-key string-key

配置 ESP 協(xié)議的認(rèn)證密鑰（以 16 進(jìn)制方

sa { inbound | outbound } esp authentication-hex hex-key

配置 ESP 協(xié)議的加密密鑰（以 16 進(jìn)制方

sa { inbound | outbound } esp encryption-hex hex-key

用 IKE 創(chuàng)建安全策略聯(lián)盟，進(jìn)入安全策略

ipsec policy policy-name sequence-number isakmp

設(shè)置安全策略引用的加密訪問(wèn)控制列表

? security acl access-list-number

指定安全隧道的本端地址

? tunnel local ip-address

指定安全隧道的對(duì)端地址

?tunnel remote ip-address

配置安全策略中引用的安全提議

?proposal proposal-name

在接口上應(yīng)用安全策略組

ipsec policy policy-name

實(shí)驗(yàn)拓?fù)?#xff1a;

實(shí)驗(yàn)設(shè)備（huawei）：

防火墻三臺(tái)、pc三臺(tái)、三層交換機(jī)一臺(tái)

實(shí)驗(yàn)?zāi)康?#xff1a;

使來(lái)自pc3的數(shù)據(jù)包通過(guò)匹配防火墻的安全策略，分別通過(guò)它們所形成ipsec隧道到達(dá)pc1和pc2

參考配置：

fw1

?

?

fw2

?

?

fw3

Sw1

驗(yàn)證圖：

Pc1?? ping?? pc3

Pc2?? ping?? pc3

?

轉(zhuǎn)載于:https://blog.51cto.com/xuet118/1181080

總結(jié)

以上是生活随笔為你收集整理的网络安全——ipsec的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。