?

網絡安全——ipsec

Internet 協議安全性 (IPSec)”是一種開放標準的框架結構，通過使用加密的安全服務以確保

在 Internet 協議 (IP) 網絡上進行保密而安全的通訊，它通過端對端的安全性來提供主動的保護以防止專用網絡與 Internet 的***

Ipsec是一個協議集合（包括一些加密協議像des、3des 、aes的對稱加密，還有一些安全協議AH和ESP等）

Ipsec隧道屬于一個三層隧道把各種網絡協議直接裝入隧道協議中，形成的數據包依靠第三層協議進行傳輸。

下面看ipsec能提供給我們什么

安全服務：

Ipsec能提供的安全服務有身份驗證、數字證書、抗重播、保密性：

身份驗證：能夠提供的身份驗證有以下幾種

提供一種機制pre-shared key 預控制密鑰

數字證書（相對麻煩但是更加安全）

Kerveros? v5

完整性：ipsec協議提供一種摘要可以通過md5和sha，來保證信息沒有被修改

抗重播：給發出的包一個編號，防止重播

保密性：對數據包進行加密，加密方式有des 、3des、aes對稱加密

安全協議：

Ipsec所提供的安全協議：

AH驗證（不能過nat）頭協議,可以保證身份驗證、數字證書、抗重播這三個安全服務，協議號為51

Esp安全封裝載荷，可提供四種安全服務身份驗證、數字證書、抗重播、保密性，協議號為50

下面來說一下它們的工作模式：

AH:

AH：分為隧道模式和傳輸模式

傳輸模式

中間沒有***服務器，用在局域網內部，在傳送中不產生新的ip頭

處理數據的方式：

??

AH頭包含：摘要值，32計數器，spi安全聯盟（sa）索引值

隧道模式

中間必須有一個或兩個***服務器，在數據包傳送時會產生新的ip頭

處理方式：

由于產生了一個新的ip頭，所以在nat轉換中不能被實現

Esp:

傳輸方式

esp頭內容有：32計數器、spi值

esp驗證內容是一些驗證信息

Esp尾部內容：在進行塊加密塊數不夠時來補齊，esp尾部就是這些補齊數據

傳輸方式在進行加密時只對數據和ESP尾進行加密，驗證時對ESP頭、數據、ESP尾都要驗證?

隧道方式

在傳送時產生新的ip頭

隧道方式對原始ip頭和數據還有ESP尾部進行加密，在驗證時要看包的ESP頭、原始ip頭和數據還有ESP尾部

Ipsec的實現：

實現ipsec可以通過路由器、防火墻當然我們還是優先使用防火墻，因為它在穩定性和安全性上都優于路由器

當數據流通過接口時，通過接口上應用的防控列表篩選出要通過匹配的流，篩選出要通過隧道的流讓它匹配安全策略，其他的比如去往internet的就不再走ipsec隧道

實現ipsec隧道所需要的內容：

1.流：具備相同的五元素（源、目標、協議、源端口號、目標）的一系列包，通過隧道的流是要匹配安全策略的

篩選出流要靠匹配訪問控制列表

2.安全提議：

提供ipsec的工作方式是隧道模式還是傳輸模式，安全協議若是AH，還要提供AH摘要的方式是MD5還是sha，若是esp還要提供像摘要、加密方式，加密方式又分為des、 3des、aes，這些都是需要我們配置好的

3.安全策略：通過設置的acl加上安全提議來篩選要應用到ipsec的數據

4.把策略應用到接口

下面就是我們的一個案例：

配置命令：

創建加密訪問控制列表

acl acl-number [ match-order config | auto ]

rule { normal | special }{ permit | deny }? pro-number ?

[source? source-addr source-wildcard | any ]? [source-port operator port1 [ port2 ] ]

[ destination ?dest-addr dest- wildcard | any ]

?[destination-port? operator port1 [ port2 ] ]

?[icmp-type icmp-type icmp-code]

?[logging]

定義安全提議

?ipsec proposal proposal-name

設置安全協議對報文的封裝模式

?encapsulation-mode { transport | tunnel }

設置安全提議采用的安全協議

?transform { ah| ah-esp| esp }

設置加密卡 ESP 協議采用的加密算法????????

?esp-new encryption-algorithm { 3des | des | aes }

?設置 ESP 協議采用的認證算法??????

?esp-new authentication-algorithm { md5| sha1 }

手工創建安全策略???????????

?ipsec policy policy-name sequence-number {manual |isakmp}

設置安全策略引用的加密訪問控制列表

security acl access-list-number

指定安全隧道的本端地址

? tunnel local ip-address

指定安全隧道的對端地址

?tunnel remote ip-address

配置安全策略中引用的安全提議

?proposal proposal-name

手工配置時：

配置AH/ESP 協議輸入安全聯盟的 SPI

?sa inbound { ah | esp } spi spi-number

配置AH/ESP 協議輸出安全聯盟的 SPI

?sa outbound { ah | esp } spi spi-number

配置AH 協議的認證密鑰

?sa { inbound | outbound } ah hex-key-string? hex-key

配置AH 協議的認證密鑰（以字符串方式

sa { inbound | outbound } ah string-key string-key

配置 ESP 協議的認證密鑰（以 16 進制方

sa { inbound | outbound } esp authentication-hex hex-key

配置 ESP 協議的加密密鑰（以 16 進制方

sa { inbound | outbound } esp encryption-hex hex-key

用 IKE 創建安全策略聯盟，進入安全策略

ipsec policy policy-name sequence-number isakmp

設置安全策略引用的加密訪問控制列表

? security acl access-list-number

指定安全隧道的本端地址

? tunnel local ip-address

指定安全隧道的對端地址

?tunnel remote ip-address

配置安全策略中引用的安全提議

?proposal proposal-name

在接口上應用安全策略組

ipsec policy policy-name

實驗拓撲：

實驗設備（huawei）：

防火墻三臺、pc三臺、三層交換機一臺

實驗目的：

使來自pc3的數據包通過匹配防火墻的安全策略，分別通過它們所形成ipsec隧道到達pc1和pc2

參考配置：

fw1

?

?

fw2

?

?

fw3

Sw1

驗證圖：

Pc1?? ping?? pc3

Pc2?? ping?? pc3

?

轉載于:https://blog.51cto.com/xuet118/1181080

總結

以上是生活随笔為你收集整理的网络安全——ipsec的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。