IPSEC体系结构
1.1IPSec体系结构
IP安全(IP Security)体系结构,简称IPSec,是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。IPSec工作在IP层,为IP 层及其上层协议提供保护。
IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。IPSec独立于算法,并允许用户(或系统管理员)控制所提供的安全服务粒度。比如可以在两台安全网关之间创建一条承载所有流量的加密隧道,也可以在穿越这些安全网关的每对主机之间的每条TCP连接间建立独立的加密隧道。
IPSec在传输层之下,对应用程序和终端用户来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序之类的上层软件也不会受到影响。
1.1.1IPSec的组成
IPSec是因特网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,验证头(AH)、封装安全载荷(ESP)、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域(DOI)、ISAKMP、Internet密钥交换(IKE)、IP安全文档指南、OAKLEY密钥确定协议等,它们分别发布在RFC2401~RFC2412的相关文档中。图2.3显示了IPSec的体系结构、组件及各组件间的相互关系。
图 2.3 IPSec的体系结构
AH(认证头)和ESP(封装安全载荷):是IPSec体系中的主体,其中定义了协议的载荷头格式以及它们所能提供的服务,另外还定义了数据报的处理规则,正是这两个安全协议为数据报提供了网络层的安全服务。两个协议在处理数据报文时都需要根据确定的数据变换算法来对数据进行转换,以确保数据的安全,其中包括算法、密钥大小、算法程序以及算法专用的任何信息。
IKE(Internet 密钥交换):IKE利用ISAKMP语言来定义密钥交换,是对安全服务进行协商的手段。IKE交换的最终结果是一个通过验证的密钥以及建立在通信双方同意基础上的安全服务——亦即所谓的“IPSec安全关联”。
SA(安全关联):一套专门将安全服务/密钥和需要保护的通信数据联系起来的方案。它保证了IPSec数据报封装及提取的正确性,同时将远程通信实体和要求交换密钥的IPSec数据传输联系起来。即SA解决的是如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。
策略:策略是一个非常重要的但又尚未成为标准的组件,它决定两个实体之间是否能够通信;如果允许通信,又采用什么样的数据处理算法。如果策略定义不当,可能导致双方不能正常通信。与策略有关的问题分别是表示与实施。“表示”负责策略的定义、存储和获取,“实施”强调的则是策略在实际通信中的应用。
1.1.2IPSec的工作原理
设计IPSec是为了给IPv4和IPv6数据提供高质量的、可互操作的、基于密码学的安全性。IPSec通过使用两种通信安全协议来达到这些目标:认证头(AH)和封装安全载荷(ESP),以及像Internet密钥交换(IKE)协议这样的密钥管理过程和协议来达到这些目标。
IP AH协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。ESP协议提供数据保密性,有限的数据流保密性,数据源认证,无连接的完整性以及抗重放服务。对于AH和ESP都有两种操作模式:传输模式和隧道模式。IKE
协议用于协商AH和ESP所使用的密码算法,并将算法所需要的密钥放在合适的位置。
IPSec所使用的协议被设计成与算法无关的。算法的选择在安全策略数据库(SPD)中指定。IPSec允许系统或网络的用户和管理员控制安全服务提供的粒度。通过使用安全关联(SA),IPSec能够区分对不同数据流提供的安全服务。
IPSec本身是一个开放的体系,随着网络技术的进步和新的加密、验证算法的出现,通过不断加入新的安全服务和特性,IPSec就可以满足未来对于信息安全的需要。随着互联网络技术的不断进步,IPSec作为网络层安全协议,也是在不断地改进和增加新的功能。其实在IPSec的框架设计时就考虑过系统扩展问题。例如在ESP和AH的文档中定义有协议、报头的格式以及它们提供的服务,还定义有数据报的处理规则,但是没有指定用来实现这些能力的具体数据处理算法。AH 默认的、强制实施的加密MAC是HMAC-MD5和HMAC-SHA,在实施方案中其它的加密算法DES-CBC、CAST-CBC以及3DES-CBC等都可以作为加密器使用。
1.1.3IPSec的模式
IPSec协议(包括AH和ESP)既可以用来保护一个完整的IP载荷,也可以用来保护某个IP载荷的上层协议。这两个方面的保护分别由IPSec两种不同的“模式”来提供:传输模式和隧道模式。
IPSec
、UDP 和ICMP
通信。
图2.4 IPSec传输模式的IP数据报格式
隧道模式:隧道模式为整个IP包提供保护。如图2.5所示,要保护的整个IP 包都需封装到另一个IP数据报中,同时在外部与内部IP头之间插入一个IPSec头。
只
IP报头,
IKE协议
IKE 协议。
1.1.4IPSec的实现方式
IPSEC AH和ESP四种包封装格式
IPSec可以在主机、路由器或防火墙(创建一个安全网关)中同时实施和部署。用户可以根据对安全服务的需要决定究竟在什么地方实施,IPSec的实现方式可分为集成方式、BITS方式、BITW方式三种。
?集成方式:把IPSec集成到IP协议的原始实现中,这需要处理IP源代码,
适用于在主机和安全网关中实现。
?“堆栈中的块(BITS)”方式:把IPSec作为一个“锲子”插在原来的
IP协议栈和链路层之间。这不需要处理IP源代码,适用于对原有系统的
升级改造。这种方法通常用在主机方式中。
?“线缆中的块(BITW)”方式:这是本文采用实现IPSec的方式,它将
IPSec的实现在一个设备中进行,该设备直接接入路由器或主机设备。
当用于支持一台主机时,与BITS实现非常相似,但在支持路由器或防火
墙时,它必须起到一台安全网关的作用。
1.1.5IPSec协议的处理
IPSec处理分两类:外出处理和进入处理。
1.1.5.1 外出处理
在外出处理的过程中,数据包从传输层流进IP层。IP层首先取出IP头的有关参数,检索SPDB数据库,判断应为这个包提供那些安全服务。输入SPDB的是传送报头中的源地址和目的地址的“选择符”。SPDB输出的是根据“选择符”查询的策略结果,有可能出现以下几种情况:
丢弃这个包。此时包不会得以处理,只是简单地丢掉。
绕过安全服务。在这种情况下,这个IP包不作任何处理,按照一个普通的IP包发送出去。
应用安全服务。在这种情况下,需要继续进行下面的处理。
如果SPDB的策略输出中指明该数据包需要安全保护,那么接着就是查询SADB 来验证与该连接相关联的SA是否已经建立,查询的结果可能是下面的两种情况之一:如果相应的SA已存在,对SADB的查询就会返回指向该SA的指针;如果查询不到相应的SA,说明该数据包所属的安全通信连接尚未建立,就会调用IKE进行协商,将所需要的SA建立起来。如果所需要的SA已经存在,那么SPDB结构中包含指向SA或SA集束的一个指针(具体由策略决定)。如果SPDB的查询输出规定必须将
IPSec应用于数据包,那么在SA成功创建完成之前,数据包是不被允许传送出去的。
对于从SADB中查询得到的SA还必须进行处理,处理过程如下:
1.如果SA的软生存期已满,就调用IKE建立一个新的SA。
2.如果SA的硬生存期已满,就将这个SA删除。
3.如果序列号溢出,就调用IKE来协商一个新的SA。
SA处理完成后,IPSec的下一步处理是添加适当的AH或ESP报头,开始对数据包进行处理。其中涉及到对负载数据的加密、计算校验等在下面的内容中会给予详细的介绍。SA中包含所有必要的信息,并已排好顺序,使IPSec报头能够按正确的顺序加以构建。在完成IPSec的报头构建后,将生成的数据报传送给原始IP 层进行处理,然后进行数据报的发送。
1.1.5.2 进入处理
进入处理中,在收到IP包后,假如包内根本没有包含IPSec报头,那么IPSec 就会查阅SPDB,并根据为之提供的安全服务判断该如何对这个包进行处理。因为如果特定通信要求IPSec安全保护,任何不能与IPSec保护的那个通信的SPDB定义相匹配的进入包就应该被丢弃。它会用“选择符”字段来检索SPDB数据库。策略的输出可能是以下三种情况:丢弃、绕过或应用。如果策略的输出是丢弃,那么数据包就会被放弃;如果是应用,但相应的SA没有建立,包同样会被丢弃;否则就将包传递给下一层作进一步的处理。
如果IP包中包含了IPSec报头,就会由IPSec层对这个包进行处理。IPSec从数据包中提取出SPI、源地址和目的地址组织成
IPSec完成了对策略的校验后,会将IPSec报头剥离下来,并将包传递到下一层。下一层要么是一个传输层,要么是网络层。假如说数据包是IP【ESP【TCP】】,下一层就是传输层;假如这个包是IP【AH【ESP【TCP】】】,下一层仍然是IPSec
层。
1.1.6认证头(AH)协议
1.1.6.1 AH的目标
IP协议中,用来提供IP数据包完整性的认证机制是非常简单的。IP头通过头部的校验和域来保证IP数据包的完整性。而校验和只是对IP头的每16位计算累加和的反码。这样并没有提供多少安全性,因为IP头很容易修改,可以对修改过的IP头重新计算校验和并用它代替以前的校验和。这样接受端的主机就无法知道数据包己经被修改。
设计认证头(AH)协议的目的是用于增加IP数据包的安全性。AH协议提供无连接的完整性(connectionless integrity)、数据源认证(data originauthentication)和反重播(anti-replay)攻击服务。然而,AH不提供任何保密性服务,也就是说它不加密所保护的数据包。AH的作用是为IP数据流提供高强度的密码认证,以确保被修改过的数据包可以被检查出来。AH使用消息认证码(MAC Message Authentication Code )对IP进行认证。MAC不同于杂凑函数,因为它需要密钥来产生消息摘要,而杂凑函数不需要密钥。常用的MAC是 HMAC(基于带密钥的HASH函数的消息认证码),它与任何迭代密码杂凑函数(如MD5, SHA-l, Tiger 等)结合使用,而不用对杂凑函数进行修改。由于生成IP数据包的消息摘要需要密钥,所以IPSec的通信双方需要共享一个同样的认证密钥。这个密钥就是由双方的SA信息来提供的。(DH算法)
1.1.6.2 AH协议包格式
AH只用于保证收到的数据包在传输过程中不被修改,保证由要求发送它的当事人将它发送出去,以及保证它是一个新的非重播的数据包。AH用于传送模式时,保护的是端到端的通信。通信的终点必须是IPSec终点,所以在我们所研究的VPN 的隧道方式中不预考虑(不用考虑双方身份和重播)。AH协议隧道模式的包格式如图2.6所示:
●下一个头
●载荷长度
●保留(8bit)
●
地址以及
-1。
●序列号
检测重演数据包。具体的滑动窗口因不同的IPSEC实现而不同,一般具有一下功能。窗口长度最小32比特,窗口的右边界代表一特定SA所接收倒的验证有效的最大序列号,序列号小于窗口左边界的数据包将被丢弃。
将序列号值位于窗口之内的数据包与位于窗口内的接收到的数据包清
单进行比照,如果接收到的数据包的序列号位于窗口内并且是新的,或者序列号大于窗口右边界且有效,那么接收主机继续处理认证数据的计算。
●认证数据:这是一个变长域(必须是32bit字的整数倍)。它包含数据
包的认证数据,该认证数据被称为这个数据包的完整性校验值(ICV
integrity check value)。用于计算ICV的可用的算法因IPSEC的实现不同而不同;然而,为了保证互操作性,AH强制所有的IPSec必须包含两个MAC:
HMAC-MD5和HMAC-SHA-I。
1.1.6.3 AH的处理
无论是ESP或者AH协议,数据报的处理都是向数据报中添加IPSec报头或者剥离IPSec报头。为了能正确地完成数据报的封装,需要从SADB中获得各个字段的数据;为了能够正确完成数据报的解封装,需要根据SPDB的查询结果对各个字段进行校验。下面就简单介绍AH协议的如何完成IPSec报头的封装和解封装。
对于外出的数据包,AH协议处理的目标是向数据包合适的位置增加AH报头。具体的处理步骤如下:
1.外出数据包与一个SPDB(加密、HASH、封装模式(传输、遂道)、生存
时间)条目匹配时,查看SADB(目的地址、安全协议(AH、ESP))是
否有合适的SA。如果有,就将AH应用到与这个与之相符的数据包,该数
据包在SPDB条目指定的那个模式中。如果没有,可用IKE动态地建立一
个,并把序列号计数器初始化为0。在利用这个SA构建一个AH头之前,
计算器就开始递增,这样保证了每个AH报头中的序列号都是一个独一无
二的、非零的和单向递增的数。
2.向AH的其余字段填满恰当的值。SPI字段分配的值是取自SA的SPI;下一
个头字段分配的是跟在AH之后的数据类型值;而载荷长度分配的则是
“32位字减二”;“验证数据”字段设成0。需要注意的是:AH协议将
安全保护扩展到外部IP报头的原有的字段,因此将“完整性检查值(ICV)”
(用HMAC-MD5或HMAC-SHA-I进行计算)之前的不定字段清零是必要的。
这和ESP协议的处理是不一样的。
3.根据验证算法的要求,或出于排列方面的原因,需要进行适当的填充。
对有些MAC算法来说,比如DES-CBC MAC要求应用MAC的数据必须是算法
的块尺寸大小的倍数。在这种情况下就必须进行填充以便正确地使用
MAC(注意HMAC-MD5或HMAC-SHA-I算法均无此要求)。填充的数据报必
须为零,并且填充数据的长度不包括在载荷长度中。对IPv4来说AH报头
必须是32比特的倍数,IPv6则是64比特的倍数。如果MAC算法的输出不
符合这项要求就必须添加AH报头。对填充项的值没有什么别的要求,但
必须把它包括在ICV的计算中,而载荷长度中必须反映出填充项大小。
4.计算ICV。从外出SA中取出验证密钥,连同整个IP包(包括AH报头)传
到特定的算法(也就是SA中的“身份验证程序”)计算ICV。由于不定
字段已清零,它们不会被包括在ICV的计算中。将计算得到的ICV复制到
AH的“验证数据”字段中,IP报头中的不定字段就可根据IP处理的不同
得以填充。
5.输出经过处理的报文。AH处理结束后就形成了AH保护下的IP数据报,根
据数据报的大小,在传输到网络上前可将它分段处理,或在两个IPSec
同级之间的传送过程中,由路由器分段。
对于进入的数据报,AH协议处理的目标就是从数据报中将AH报头剥离下来,还原出封装在IPSec内的高层数据包:
1.重组分段。如果一个受AH安全保护的包在接收时被证实是分段数据,那
么在AH输入处理之前需要对这些分段数据进行重新组合。因为如果分段
的数据报没有重组为原来的完整数据,ICV检查就会失败。只有完整的
AH保护的IP包可传送到AH输入处理。
2.查询SADB,找出保护这个包的SA。用基于IP报头的SPI、目的IP地址和
安全协议(AH)组成的三元组来对SA进行查询。如果没有找到合适的SA,
这个包会被丢弃。
3.进行序列号检查。如果检查失败,这个包就会被丢弃。
4.检查ICV。首先把AH报头中的“验证数据”字段中的ICV值取出来,然后
将这个字段清零,同时将IP中所有不定字段也清零。根据验证算法的要
求以及载荷长度的要求可能还要进行零数据的填充,使验证数据的长度
符合算法的要求。随后对整个数据包应用验证算法,并将获得的摘要同
保存下来的ICV值进行比较。如相符,IP包就通过了身份验证;如不符,
该数据报丢弃。
5.接收窗口的序列号可以递增,结束AH处理过程。验证通过的整个数据报
传递给下一步的IP来处理。
1.1.7封装安全载荷(ESP)协议
1.1.7.1 ESP的目标
ESP为IP报文以无连接的方式(以包为单位)提供完整性校验、认证和加密服务,同时还可能提供防重放攻击保护。在建立SA时可选择所期望得到的安全服务,建
?
?
?
?
ESP
●
交换过程中●
新的32位,所有
在传送232个包之前,必须重置发送者和接收者的计数器。
●载荷数据(Payload Data):可变长字段,是ESP保护的实际数据报。
在这个域中,包含“下一个头”字段,也可包含一个加密算法可能需要
使用到的初始化向量(Initialization Vector,IV),虽然载荷数据是
加密的,但IV是没有加密的。
●填充项(Padding):填充项的使用是为了保证ESP的边界适合于加密算
法的需要。因为有些加密算法要求输入数据是以一定数量的字节为单位
的块的整数倍,即使SA没有机密性要求,仍然需要通过加入Pad数据把
ESP报头的“填充长度”和“下一个头”这两个字段靠右排列。
●填充项长度(Pad Length):指出上面的填充项填充了多少字节的数据。
通过填充长度,接收端可以恢复出载荷数据的真实长度。
●下一个头(NextHeader):8bit字段,表明包含在载荷数据字段的类型。
字段的大小从IP协议数据中选择。在通道模式下使用ESP,这个值是4,
表示IP-in-IP。
●认证数据(Authentication Data):字段的长度由选择的认证功能指
定。它包含数据完整性检验结果(Integrity Check Value,ICV)。验
证数据计算的是ESP包中除验证数据域以外的所有项。如果对ESP数据报
进行处理的SA中没有指定身份验证器,就没有这一项。
1.1.7.3 ESP处理
无论采用哪种模式,对ESP来说,密文是得到验证的,验证的明文则是未加密的。即:对于外出的包,首先进行的是加密处理;而对于进入的包来说,验证是首先进行的。使用这种处理顺序能够简化检测过程,抵抗重放攻击以及减少拒绝服务攻击的影响。
外出包处理:
1.安全关联查询:得到处理包的策略和SA,其中包括SPI,密钥等。
2.包加密:在增加了必要的填充项后,使用密钥、加密算法、由SA指定的
算法模式以及密码同步对载荷数据、填充项、填充长度、下一个头进行
加密。如果选择认证,则在认证前要进行加密,加密不包含认证数据字
段。由于认证数据不被加密保护,因此要使用认证算法计算ICV。
3.序列号产生:当创建一个SA时,发送者的计数器初始化为0。利用这个
SA,发送的第一个包的序列号设置为1,计数器的值从此开始递增,并将
新值插入到序列号字段,这样就可以保证序列号的唯一性、非零性和单
向递增性。
4.完整性校验值(ICV)计算:计算ICV的参数包含SPI、序列号、载荷数
据(包括初始化向量,原IP头、TCP头和原载荷数据)、填充项、填充
长度和下个一头字段的密文数据。
5.分段:在进行ESP处理后IPSec要进行IP分段。传输模式ESP只适用于整
个IP数据报,由路由器对IP包进行分段,在ESP处理之前由接收端进行
分段重组。在隧道模式中,应用ESP协议处理IP包,载荷是分段的IP包。
6.重新计算位于ESP前面的IP头校验和,按IPSec格式重新封装数据报。
进入包处理:
1.重组:在ESP处理之前执行分段包的重组。
2.SA查询:接收到包含ESP头的包时,接收者根据目的地址、安全协议和
SPI查询单向的SA。SA指示出是否检查序列号字段,认证数据字段是否
出现,说明解密和ICV计算使用的算法和密钥等。
3.序列号验证:验证每个接收的包是否包含不重复的序列号。通过使用滑
动接收窗口可以拒绝重复序列号。序列号未重复,接收者就进行ICV验
证。如果ICV验证失败,接收者丢弃无效的IP数据报。如果ICV验证成功,
刷新接收窗口。
4.ICV验证:接收者使用认证算法,根据包的字段计算ICV,验证包的认证
数据字段内的ICV是否相同。
5.包解密:接收者使用密钥、加密算法、算法模式和密码同步数据,对ESP
载荷数据、填充项、填充长度和下一个头进行解密。在解密数据传送到
上一层之前,接收者应检查填充项字段。原始数据报的重组取决于ESP
的工作模式。
如果篡改了SPI、目的地址或IPSec协议类型字段,那么所选择的SA就是不正确的。如果将包映射到另一个这样的SA,造成的错误和坏包将很难区分。通过使用认证算法,可以检测出IPSec头是否已被篡改。如果篡改了IP目的地址或IPSec 协议类型字段,就会发生SA不匹配的事情。
CMSR系列路由器IPsec典型配置举例V
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
信息安全体系结构课后答案.doc
第一章概述 1.比较体系结构的各种定义,并说明这些定义之间的异同点,指出其共性要素。 一个体系结构应该包括一组组件以及组件之间的联系。 ANSI/IEEE STD 1471-2000使用的体系结构的定义是:一个系统的基本组织,通过组件、组件之间和组件与环境之间的关系以及管理其设计和演变的原则具体体现。 IEEE的体系结构计划研究组指出,体系结构可以被认为是“组件+连接关系+约束规则”。“组件”等同于“元素”,“组件之间和组件与环境之间的关系”等价于“关系/连接关系”。 2.分析体系结构的六种基本模式各自的优缺点,描述最常用的四种结构的特点。 六种基本模型各自的优缺点: (1)管道和过滤器:在这种模式下,每个组件具有输入和输出的数据流集合,整个系统可以被看成多个过滤器复合形成的数据处理组件。如:shell编程,编译器。 (2)数据抽象和面向对象:在这种模式下,数据和数据上的操作被封装成抽象数据类型或者对象。系统由大量对象组成,在物理上,对象之间通过函数或者过程调用相互作用; 在逻辑上,对象之间通过集成、复合等方式实现设计的复用。 (3)事件驱动:在这种模式下,系统提供事件的创建和发布的机制,对象产生事件,对象通过向系统注册关注这个事件并由此触发出相应的行为或者产生新的事件。如:GUI 的模型。 (4)分层次:这种模式将系统功能和组件分成不同的功能层次,一般而言,只有最上层的组件和功能可以被系统外的使用者访问,只有相邻的层次之间才能够有函数调用。如:ISO的开放系统互联参考模型。 (5)知识库:这种模型使用一个中心数据结构表示系统的当前状态,一组相互独立的组件在中心数据库上进行操作。如:传统的数据库模型。 (6)解释器:这种模式提供面向领域的一组指令,系统解释这种语言,产生相应的行为,用户使用这种指令完成复杂的操作。 最常用的四种结构的特点: 严格的层次结构:系统可以被清楚地分解成不同的层次功能。 事件驱动的结构:适用于对互操作性、特别是异构环境下的互操作性要求高的情况。 知识库的结构:适用于以大量数据为核心的系统。 基于解释器的结构:适用于应用系统和用户的交互非常复杂的情况。 3.比较信息安全体系结构的各种定义,并说明这些定义之间的异同点。 信息系统的安全体系结构是系统信息安全功能定义、设计、实施和验证的基础。该体系结构应该在反映整个信息系统安全策略的基础上,描述该系统安全组件及其相关组件相互间的逻辑关系与功能分配。 信息系统的安全体系结构是系统整体体系结构描述的一部分,应该包括一组相互依赖、协作的安全功能相关元素的最高层描述与配置,这些元素共同实施系统的安全策略。 4.叙述PDRR模型。 信息安全保障明确了可用性、完整性、可认证性、机密性和不可否认性这五个基本的信息安全属性,提出了保护(Protect)、检测(Detect)、恢复(Restore)、响应(React)四个动态的信息安全环节,强调了信息安全保障的范畴不仅仅是对信息的保障,也包括对信息系统的保障。 5.叙述信息安全保障的基本含义,阐述信息安全保障的基本要素。 信息安全保障明确定义为保护和防御信息及信息消系统,确保其可用性、完整性、机密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、响应功能,并提供信息系统的恢复功能。
IPSec协议
IPSec协议 IPSec协议 1 IP Sec协议概述 2 IPSec VPN工作原理 4.2.1 隧道建立方式 2.2 数据保护方式 2.3 IPSEC 协议体系结构 3 IP Sec的优点 1 IP Sec协议概述 IPSec是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF 正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。 ①保证Internet上各分支办公点的安全连接:公司可以借助Internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托Internet即可以获得同样的效果。 ②保证Internet上远程访问的安全:在计算机上装有IPSec的终端用户可以通过拨入所在地的ISP的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。 ③通过外部网或内部网建立与合作伙伴的联系:IPSec通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。 ④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,IPSec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。 IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web 访问在内多种应用程序的安全。 IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。 IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。 如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。 IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁Christian Huitema认为,关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。
H3C MSR系列路由器IPsec典型配置举例(V7)
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
ipsec原理介绍
Ipsec VPN调研总结 一、Ipsec原理 Ipsec vpn指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 Ipsec是一个协议集,包括AH协议、ESP协议、密钥管理协议(IKE协议)和用于网络验证及加密的一些算法。 1、IPSec支持的两种封装模式 传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。 隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。
2、数据包结构 ◆传输模式:不改变原有的IP包头,通常用于主机与主机之间。 ◆隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。
3、场景应用图
4、网关到网关交互图
5、Ipsec体系结构: 6、ipsec中安全算法 ●源认证 用于对对等体的身份确认,具体方法包含:PSK(pre-share key);PK3(public key infrustructure公钥基础设施)数字证书,RSA等,后两种为非对称加密算法。 ●数据加密 对传输的数据进行加密,确保数据私密性,具体对称加密算法包含:des(data encrypt standard)共有2种密钥长度40bits,56bits,3des密钥长度为56bits的3倍;aes(advanced encrypted standard)AES 加密共有三种形式,分为AES 128(128-bit 长度加密),AES 192(192-bit 长度加密)以及AES 256(256-bit 长度加密)。 ●完整性校验 对接收的数据进行检查,确保数据没有被篡改,主要使用hash算法(HMAC hashed message authentication code),包含MD5(message digest输出128bit校验结 果);SHA-1(secure hash algorithm 1)输出160bits校验结果。 ●密钥交换算法
H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
信息安全体系结构
一、名词解释 1.信息安全:建立在网络基础上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。 2.VPN:一般是指建筑在因特网上能够自我管理的专用网络,是一条穿过混乱的公共网络的安全稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络建立一个临时的,安全的连接,从而实现早公共网络上传输私有数据达到私有网络的级别。 3.安全策略:是有关信息安全的行为规范,是一个组织所颁布的对组织信息安全的定义和理解,包括组织的安全目标、安全范围、安全技术、安全标准和安全责任的界定等。 4.入侵检测:对入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安 全策略的行为和被攻击的迹象。 5.SSL协议:SSL(secure socket layer)修改密文规定协议室友Netscape提出的、基于web应用的安全协议,是一种用于传输层安全的协议。传输层安全协议的目的是为了保护传输层的安全,并在传输层上提供实现报名、认证和完整性的方法。SSL 制定了一种在应用程序协议,如HTTP、TELENET、NNTP、FTP和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性及可选的客户机认证。 6.数字证书:是指各实体(持卡人、个人、商户、企业、网关、银行等)在网上信息交流及交易活动中的身份证明。 7.非对称加密:拥有两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 TCP/IP协议的网络安全体系结构的基础框架是什么? 由于OSI参考模型与TCP/IP参考模型之间存在对应关系,因此可根据GB/T 9387.2-1995的安全体系框架,将各种安全机制和安全服务映射到TCP/IP的协议集中,从而形成一个基于TCP/IP协议层次的网络安全体系结构。 什么是数字证书?现有的数字证书由谁颁发,遵循什么标准,有什么特点? 数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME。 访问控制表ACL有什么优缺点? ACL的优点:表述直观、易于理解,比较容易查出对某一特定资源拥有访问权限的所有用户,有效地实施授权管理。 ACL应用到规模大的企业内部网时,有问题: (1)网络资源很多,ACL需要设定大量的表项,而且修改起来比较困难,实现整个组织 范围内一致的控制政策也比较困难。 (2)单纯使用ACL,不易实现最小权限原则及复杂的安全政策。1信息安全有哪些常见的威胁?信息安全的实现有 哪些主要技术措施? 常见威胁有非授权访问、信息泄露、破坏数据完整性, 拒绝服务攻击,恶意代码。信息安全的实现可以通过 物理安全技术,系统安全技术,网络安全技术,应用 安全技术,数据加密技术,认证授权技术,访问控制 技术,审计跟踪技术,防病毒技术,灾难恢复和备份 技术 2列举并解释ISO/OSI中定义的5种标准的安全服 务 (1)鉴别用于鉴别实体的身份和对身份的证实, 包括对等实体鉴别和数据原发鉴别两种。 (2)访问控制提供对越权使用资源的防御措施。 (3)数据机密性针对信息泄露而采取的防御措施。 分为连接机密性、无连接机密性、选择字段机密性、 通信业务流机密性四种。 (4)数据完整性防止非法篡改信息,如修改、复 制、插入和删除等。分为带恢复的连接完整性、无恢 复的连接完整性、选择字段的连接完整性、无连接完 整性、选择字段无连接完整性五种。 (5)抗否认是针对对方否认的防范措施,用来证 实发生过的操作。包括有数据原发证明的抗否认和有 交付证明的抗否认两种。 3什么是IDS,它有哪些基本功能? 入侵检测系统IDS,它从计算机网络系统中的若干关 键点收集信息,并分析这些信息,检查网络中是否有 违反安全策略的行为和遭到袭击的迹象。入侵检测被 认为是防火墙之后的第二道安全闸门。 1)监测并分析用户和系统的活动,查找非法用户和 合法用户的越权操作; 2)核查系统配置和漏洞并提示管理员修补漏洞; 3)评估系统关键资源和数据文件的完整性; 4)识别已知的攻击行为,统计分析异常行为; 5)操作系统日志管理,并识别违反安全策略的用户 活动等。 4简述数字签名的基本原理 数字签名包含两个过程:签名过程和验证过程。由于 从公开密钥不能推算出私有密钥,因此公开密钥不会 损害私有密钥的安全性;公开密钥无需保密,可以公 开传播,而私有密钥必须保密。因此若某人用其私有 密钥加密消息,并且用其公开密钥正确解密,就可肯 定该消息是某人签名的。因为其他人的公开密钥不可 能正确解密该加密过的消息,其他人也不可能拥有该 人的私有密钥而制造出该加密过的消息,这就是数字 签名的原理。 5防火墙的实现技术有哪两类?防火墙存在的局限 性又有哪些? 防火墙的实现从层次上可以分为两类:数据包过滤和 应用层网关,前者工作在网络层,而后者工作在应用 层。 防火墙存在的局限性主要有以下七个方面 (1) 网络上有些攻击可以绕过防火墙(如拨号)。 (2) 防火墙不能防范来自内部网络的攻击。 (3) 防火墙不能对被病毒感染的程序和文件的传输 提供保护。 (4) 防火墙不能防范全新的网络威胁。 (5) 当使用端到端的加密时,防火墙的作用会受到很 大的限制。 (6) 防火墙对用户不完全透明,可能带来传输延迟、 瓶颈以及单点失效等问题。 (7) 防火墙不能防止数据驱动式攻击。有些表面无害 的数据通过电子邮件或其他方式发送到主机上,一旦 被执行就形成攻击。 6什么是密码分析,其攻击类型有哪些?DES算法中 S盒的作用是什么 密码分析是指研究在不知道密钥的情况下来恢复明 文的科学。攻击类型有只有密文的攻击,已知明文的 攻击,选择明文的攻击,适应性选择明文攻击,选择 密文的攻击,选择密钥的攻击,橡皮管密码攻击。S 盒是DES算法的核心。其功能是把6bit数据变为4bit 数据。 7请你利用认证技术设计一套用于实现商品的真伪 查询的系统 系统产生一随机数并存储此数,然后对其加密,再将 密文贴在商品上。当客户购买到此件商品并拨打电话 查询时,系统将客户输入的编码(即密文)解密,并将 所得的明文与存储在系统中的明文比较,若匹配则提 示客户商品是真货,并从系统中删了此明文;若不匹 配则提示客户商品是假货。
第九章 IPSec及IKE原理
第九章IPSec及IKE原理 9.1 IPSec概述 IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,以及如何加密数据包。使用IPsec,数据就可以安全地在公网上传输。IPsec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。 IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议。AH可提供数据源验证和数据完整性校验功能;ESP除可提供数据验证和完整性校验功能外,还提供对IP报文的加密功能。 IPSec有隧道(tunnel)和传送(transport)两种工作方式。在隧道方式中,用户的整个IP 数据包被用来计算AH或ESP头,且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。 9.2 IPSec的组成 IPSec包括AH(协议号51)和ESP(协议号50)两个协议: AH(Authentication Header)是报文验证头协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能,可选择的散列算法有MD5(Message Digest ),SHA1(Secure Hash Algorithm)等。AH插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了hash算法来对数据包进行保护。AH没有对用户数据进行加密。 ESP(Encapsulating Security Payload)是报文安全封装协议,ESP将需要保护的用户数据进行加密后再封装到IP包中,证数据的完整性、真实性和私有性。可选择的加密算法有DES,3DES等。 9.3 IPSec的安全特点 数据机密性(Confidentiality):IPSec发送方在通过网络传输包前对包进行加密。 数据完整性(Data Integrity):IPSec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
IPSec配置案例
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
信息安全体系结构重点
企业体系结构有以下六种基本模式: (1)管道和过滤器 (2)数据抽象和面向对象 (3)事件驱动 (4)分层次 (5)知识库 (6)解释器 通用数据安全体系结构(CDSA)有三个基本的层次:系统安全服务层、通用安全服务管理层、安全模块层。其中通用安全服务管理层(CSSM)是通用数据安全体系结构(CDSA)的核心,负责对各种安全服务进行管理,管理这些服务的实现模块。 信息安全保障的基本属性:可用性、完整性、可认证性、机密性和不可否认性,提出了保护、检测、响应和恢复这四个动态的信息安全环节。 信息安全保障的三要素:人、技术和管理。 信息安全需求分析涉及物理安全、系统安全、网络安全、数据安全、应用安全与安全管理等多个层面,既与安全策略的制定和安全等级的确定有关,又与信息安全技术和产品的特点有关。 信息传输安全需求与链路加密技术,VPN应用、以及无线局域网和微波与卫星网等信息传输途径有关。 信息安全体系结构的设计原则:需求分明、代价平衡、标准优先、技术成熟、管理跟进、综合防护。 密码服务系统由密码芯片、密码模块、密码机或软件,以及密码服务接口构成。 KMI 密钥管理设施 PKI 公开密钥基础设施 实际应用系统涉及的密码应用:数字证书运算、密钥加密运算、数据传输、数据存储、数字签名、消息摘要与验证,数字信封。 密钥管理系统由密钥管理服务器、管理终端、数据库服务器、密码服务系统等组成。 认证体系由数字认证机构(CA)、数字证书审核注册中心(RA)、密钥管理中心(KMC)、目录服务系统、可信时间戳系统组成。 认证系统的三种基本信任模型,分别是树状模型、信任链模型和网状模型。
解决互操作的途径有两种:交叉认证和桥CA。 CA结构 1)证书管理模块 2)密钥管理模块 3)注册管理模块 4)证书发布及实时查询系统 设计可信目录服务的核心是目录树的结构设计。 这种设计应符合LDAP层次模型,且遵循以下三个基本原则: (1)有利于简化目录数据的管理。 (2)可以灵活的创建数据复制和访问策略。 (3)支持应用系统对目录数据的访问要求。 授权管理基础设施(PMI)的应用模型 (1)访问者和目标 (2)策略实施点 (3)策略决策点 (4)安全授权策略说明遵循的原则和具体的授权信息。 (5)属性权威 (6)属性库 (7)策略库 集中式授权管理服务系统的体系结构 (1)授权管理模块 (2)授权信息目录服务器 (3)资源管理模块 (4)策略引擎 (5)密码服务系统 集中式权限管理服务系统的主要功能:用户管理、审核管理、资源管理、角色管理、操作员管理和日志管理。 容灾备份包括系统备份和数据备份。 容灾备份的体系结构:本地备份、异地备份,系统恢复和数据恢复。 其运作过程如下: (1)正常情况下,业务处理只在主中心运行;业务系统对数据的任何修改,实时同
路由器-GRE-Over-IPSec典型配置
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]
ipsec协议的应用
竭诚为您提供优质文档/双击可除 ipsec协议的应用 篇一:ipsec协议 ipsec协议 ipsec协议 1ipsec协议概述 2ipsecVpn工作原理 4.2.1隧道建立方式 2.2数据保护方式 2.3ipsec协议体系结构 3ipsec的优点 1ipsec协议概述 ipsec是一系列基于ip网络(包括intranet、extranet 和internet)的,由ietF正式定制的开放性ip安全标准,是虚拟专网的基础,已经相当成熟可靠。ipsec可以保证局域网、专用或公用的广域网及internet上信息传输的安全。 ①保证internet上各分支办公点的安全连接:公司可以借助internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依
托internet即可以获得同样的效果。 ②保证internet上远程访问的安全:在计算机上装有ipsec的终端用户可以通过拨入所在地的isp的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。 ③通过外部网或内部网建立与合作伙伴的联系:ipsec 通过认证和钥匙交换机制确保企业与其它组织的信息往来 的安全性与机密性。 ④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,ipsec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。 ipsec的主要特征在于它可以对所有ip级的通信进行加密和认证,正是这一点才使ipsec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及web访问在内多种应用程序的安全。 ipsec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装ipsec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行ipsec,应用程序一类的上层软件也不会被影响。 ipsec对终端用户来说是透明的,因此不(ipsec协议的应用)必对用户进行安全机制的培训。如果需要的话,ipsec
ipsec穿越nat典型配置指导
IPSEC穿越NAT 典型配置指导 Huawei-3Com Technologies Co., Ltd. 华为3Com技术有限公司
IPSEC穿越NAT特性典型配置指导目录 目录 1 特性介绍 (2) 2 特性的优点 (2) 3 使用指南 (2) 3.1 使用场合 (2) 3.2 配置步骤 (2) 3.2.1 配置IKE安全提议 (3) 3.2.2 配置IKE对等体 (4) 3.2.3 配置IPSEC访问控制列表 (4) 3.2.4 配置IPSEC安全提议 (5) 3.2.5 配置IPSEC安全策略 (5) 3.2.6 应用IPSEC安全策略 (6) 3.3 注意事项 (6) 3.4 举例:隧道模式下的IPSEC穿越NAT (6) 3.4.1 组网需求 (6) 3.4.2 组网图 (7) 3.4.3 硬件连接图 (7) 3.4.4 配置 (7) 3.4.5 验证结果 (11) 3.4.6 故障排除 (11) 4 关键命令 (12) 4.1 nat traversal (12) 5 相关资料 (13) 5.1 相关协议和标准 (13) 5.2 其他相关资料 (13)
IPSEC 穿越NAT 特性典型配置指导 正文 关键词:IPSEC ,NAT 摘 要:本文简单描述IPSEC 及其穿越NAT 特性的特点,详细描述了路由器上配置IPSEC 穿越 NAT 的基本方法和详细步骤,给出了一种IPSEC 穿越NAT 方法的配置案例。 缩略语: 第1页
1 特性介绍 IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互 操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证 数据报在网络上传输时的私有性、完整性、真实性和防重放。 IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。 如果两个IPsec设备之间存在一个或多个NAT设备,由于NAT设备会改变源IP地址和源端口,对IPsec报文和IKE协商都造成影响,因此必须配置IPSec/IKE的NAT穿越功能。为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在私网侧配置NAT穿越,保证隧道能够正常协商建立。 2 特性的优点 IPSEC穿越NAT特性可以帮助用户穿过NAT网关在公网地址和私网地址间建立VPN隧道,极 大拓展了IPSEC VPN的应用范围。 3 使用指南 3.1 使用场合 用户在公网和私网间建立VPN隧道时,若需要对传输数据进行验证和加密,则推荐使用 IPSEC穿越NAT特性。 要求两侧作为VPN网关的路由器设备必须支持IPSEC穿越NAT特性,我司路由器设备均支持 此特性。 路由器VRP版本要求是VRP 3.3 Release 0006及以上。 3.2 配置步骤 IPSec协议有两种操作模式:传输模式和隧道模式。在传输模式下,AH或ESP被插入到IP头 之后但在所有传输层协议之前,或所有其他IPSec协议之前。在隧道模式下,AH或ESP插在原始 IP头之前,另外生成一个新头放到AH或ESP之前。从安全性来讲,隧道模式优于传输模式。它可 第2页