IPSec ××× 在企业网中的应用
??????IPSec:
?????????????IPSec?×××即指采用IPSec協議來實現遠程接入的一種×××技術,IPSec全稱為Internet?Protocol?Security,是由Internet?Engineering?Task?Force?(IETF)?定義的安全標準框架,它的目的是為IP提供高安全性特性。
IPSec是由兩類協議組成:
1.AH協議(Authentication?Header):可以同時提供數據完整性確認、數據來源確認、防重放等安全特性;AH常用摘要算法MD5和SHA1實現該特性。
2.ESP協議(Encapsulated?Security?Payload):可以同時提供數據完整性確認、數據加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法實現數據加密,使用MD5或SHA1來實現數據完整性。
AH與ESP區別:
????????1、AH不提供數據加密,所有數據在傳輸的時候以明文傳輸,使用較少。ESP提供數據加密,使用很廣。
????????2、AH會對數據源進行確認,一旦校驗失敗,便無法穿越NAT。而ESP不存在這種情況。
?AH幀格式:
ESP幀格式:
IPSec安全機制實現圖解:
IPSec提供的兩種封裝模式(傳輸Transport模式和隧道Tunnel模式)
?
IPSec術語:
???????數據流:在IPSec中,一組具有相同源地址/掩碼、目的地址/掩碼和上層協議
的數據集稱為數據流。通常,一個數據流采用一個訪問控制列表(acl)來定
義,所有為ACL允許通過的報文在邏輯上作為一個數據流。為更容易理解,
數據流可以比作是主機之間一個的TCP連接。IPSec?能夠對不同的數據流施
加不同的安全保護,例如對不同的數據流使用不同的安全協議、算法或密鑰。
?????安全策略:由用戶手工配置,規定對什么樣的數據流采用什么樣的安全措施。
對數據流的定義是通過在一個訪問控制列表中配置多條規則來實現,在安全策
略中引用這個訪問控制列表來確定需要進行保護的數據流。一條安全策略由
“名字”和“順序號”共同唯一確定。
??????安全策略組:所有具有相同名字的安全策略的集合。在一個接口上,可應用或
者取消一個安全策略組,使安全策略組中的多條安全策略同時應用在這個接口
上,從而實現對不同的數據流進行不同的安全保護。在同一個安全策略組中,
順序號越小的安全策略,優先級越高。
??????安全聯盟(Security?Association,簡稱SA):IPSec對數據流提供的安全服
務通過安全聯盟SA來實現,它包括協議、算法、密鑰等內容,具體確定了如
何對IP報文進行處理。一個SA就是兩個IPSec系統之間的一個單向邏輯連
接,輸入數據流和輸出數據流由輸入安全聯盟與輸出安全聯盟分別處理。安全
聯盟由一個三元組(安全參數索引(SPI)、IP?目的地址、安全協議號(AH
或ESP))來唯一標識。安全聯盟可通過手工配置和自動協商兩種方式建立。
手工建立安全聯盟的方式是指用戶通過在兩端手工設置一些參數,然后在接口上應用安全策略建立安全聯盟。自動協商方式由IKE生成和維護,通信雙方基
于各自的安全策略庫經過匹配和協商,最終建立安全聯盟而不需要用戶的干
預。
????安全提議:包括安全協議、安全協議使用的算法、安全協議對報文的封裝形式,
規定了把普通的IP報文轉換成IPSec報文的方式。在安全策略中,通過引用
一個安全提議來規定該安全策略采用的協議、算法等。
?
IPSec?×××的應用場景分為3種:
1.Site-to-Site(站點到站點):3個機構分布在互聯網的3個不同的地方,各使用一個網關相互建立×××隧道,企業內網(若干PC)之間的數據通過這些網關建立的IPSec隧道實現安全互聯。
2.End-to-End(端到端):?兩個終端之間的通信由兩個終端之間的IPSec會話保護,而不是網關。
3.End-to-Site(端到站點):兩個終端之間的通信由網關和異地PC之間的IPSec進行保護。
?了解完IPSec的原理以及一些概念,接下來就實踐一下吧。
?
實驗設備:
???????????????H3C?Secpath?F100-C?防火墻三臺
???????????????Quidway?S3526三層交換機一臺
?
實驗目的:
???????????????北京總部內部局域網與上海分部以及廣州分部的內部局域網互通。
?
拓撲圖:(圖片中數據在這里我只是做一個說明,只為了讓大家對實驗拓補有一個清晰的認識,標注或者圖示可能有欠缺的地方,望各位博友諒解。具體接口以及IP地址以實驗為準。)
?
?
手動模式下的具體配置:
[FW-1]----------------
??acl?number?3000?match-order?auto
??rule?10?permit?ip?source??192.168.4.0?0.0.0.255?destination??192.168.2.0?0.0.0.255?
??rule?20?deny?ip?souce?any?destination?any?
??quit
??ipsec?proposal?inferr
??encapsulation-mode??tunnel?
??transform?esp
??esp?encapsulation-mode?des?
??quit
??ipsec?policy?policy1???10??manual
??security?acl?3000
??proposal?inferr
??tunnel?local?1.1.1.1?
??tunnel?remote?2.2.2.1
??sa?spi?outbound?esp?123456
??sa?string-key?outbound?esp?abcdefg
??sa?spi?inbound?esp?654321
??sa?string-key?inbound?esp?qaz
??quit
??int?eth0/0
??ipsec?policy?policy1
??acl?number?3001?match-order?auto
??rule?10?permit?ip?source?192.168.4.0?0.0.0.255??destination?192.168.3.0?0.0.0.255
??rule?20?deny?ip?source?any?destination?any?
??quit
??ipsec?proposal?abc
??encapsulation-mode?tunnel
??transform?esp
??esp?authentication-??md5
??esp?encryption-????des
??quit
??ipsec?policy?policy1?20?manual
??security?acl?3001?
??proposal?abc
??tunnel?local?1.1.1.1
??tunnel?remote?3.3.3.1
??sa??spi?outbound?esp?1234
??sa?string-key?outbound?esp?abcde
??sa?spi?inbound?esp?54321
??sa?string-key?inbound?esp?wsx
??quit
[FW-2]-----------------
?????acl?number?3000?match-order?auto
?????rule?10?permit?ip?source?192.168.2.0?0.0.0.255?destination?192.168.4.0?0.0.0.255
?????rule?20?deny?ip?source?any?destination?any?
?????quit
?????ipsec?proposal?inferr
?????encapsulation-mode?tunnel
?????transform?esp
?????esp?authentication-algorithm?md5
?????esp?encryption??????????????des?
?????quit
????ipesec?policy?policy1?10?manual
????security?acl?3000
????proposal?inferr
????tunnel?local?2.2.2.1
????tunel?remote?1.1.1.1
????sa?spi?outbound?esp?654321
????sa?string-key?outbound?esp?qaz
????sa?spi?inbound?esp?123456
????sa?string-key??inbound?esp?abcdefg
????quit
???int?eth0/0
???ipsec?policy?policy1
[FW-3]------------------
???acl?number?3001?match-order?auto
???rule?10?permit?ip?source?192.168.3.0?0.0.0.255?destination?192.168.4.0?0.0.0.255?
???rule?20?deny?ip?source?any?destination?any
???quit
???ipsec?proposal?tran2?
???encapsulation-mode?tunnel
???transform?esp
???esp?authentication????md5?
???esp?encryption??????des
???quit
???ipsec?policy?policy1?20?manual
???security??acl?3001
???proposal?tran2
???tunnel?local?3.3.3.1
???tunnel?remote?1.1.1.1
???sa?spi?outbound?esp?54321
???sa?string-key??outbound?esp?wsx
???sa?spi?inbound?esp?1234
???sa?string-key??inbound?esp?abcde
???quit
???int?eth0/0
???ipsec?policy?policy1
自動協商模式配置(以FW-1和FW-3為例):
[FW-1]------------------------
?acl?number?3000?match-order?auto
????rule?10?permit?ip?source?192.168.4.0?0.0.0.255?destination?192.168.3.0?0.0.0.255?
????rule?20?deny?ip?source?any?destination?any
????quit
????ipsec?proposal?tran1
????encapsulation-mode?tunnel
????transform?esp?
????esp?auth???md5
????esp?enc???des??
????quit
????ike?peer?FW-3
????remote-address?3.3.3.1
????local-address?1.1.1.1
????pre-shared-key?123456
????quit
????ipsec?policy?policy1?10?isakmp
????security?acl?3000
????proposal?tran1
????ike-peer?FW-3
????quit
????int?eth0/0
????ipsec?policy?policy1
[FW-3]--------------------------------
????acl?number?3000?match-order?auto
????rule?10?permit?ip?source?192.168.3.0?0.0.0.255?destination?192.168.4.0?0.0.0.255?
????rule?20?deny?ip?source?any?destination?any
????quit
????ipsec?proposal?tran1
????encapsulation-mode?tunnel
????transform?esp?
????esp?auth???md5
????esp?encryption-algorithm??des??
????quit
????ike?peer?FW-1
????local-address?3.3.3.1
????remote-address?1.1.1.1
????pre-shared-key?123456
????quit
????ipsec?policy?policy1?10?isakmp?
????security?acl?3000
????proposal?tran1
????ike-peer??FW-1
????quit
????int?eth?0/0
????ipsec?policy?policy1
????quit
??小編本人有點懶,實驗前期的互通工作就由大家自己來動手啦。??
轉載于:https://blog.51cto.com/inferr/1347195
總結
以上是生活随笔為你收集整理的IPSec ××× 在企业网中的应用的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 原生态纯JavaScript 100大技
- 下一篇: ECShop后台管理菜单修改