H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

SecPath系列防火墙IPSec典型配置举例

关键词:IKE、IPSec

摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。

缩略语:

缩略语英文全名中文解释

IKE Internet Key Exchange 因特网密钥交换

Security IP网络安全协议

IPsec IP

目录

1 特性简介 (3)

1.1 IPSec基本概念 (3)

1.1.1 SA (3)

1.1.2 封装模式 (3)

2 应用场合 (4)

3 配置指南 (4)

3.1 配置概述 (4)

3.2 配置ACL (6)

3.3 配置IKE (6)

3.3.1 配置IKE全局参数 (6)

3.3.2 配置IKE安全提议 (7)

3.3.3 配置IKE对等体 (8)

3.4 IPSec安全提议 (10)

3.5 配置安全策略模板 (12)

3.6 配置安全策略 (14)

3.7 应用安全策略组 (16)

4 配置举例一:基本应用 (17)

4.1 组网需求 (17)

4.2 使用版本 (18)

4.3 配置步骤 (18)

4.4 配置结果验证 (27)

4.4.1 查看IPSec安全联盟 (27)

4.4.2 查看报文统计 (27)

5 配置举例二:与NAT结合 (27)

5.1 组网需求 (27)

5.2 配置说明 (28)

5.3 配置步骤 (28)

5.4 配置验证结果 (34)

5.4.1 查看IPSec安全联盟 (34)

5.4.2 查看报文统计 (35)

6 注意事项 (35)

7 相关资料 (35)

7.1 相关协议和标准 (35)

7.2 其它相关资料 (36)

1 特性简介

IPsec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标,并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务,以简化IPsec 的使用和管理。

1.1 IPSec基本概念

1.1.1 SA

IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。

SA(Security Association,安全联盟)是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保护数据的共享密钥以及密钥的生存周期等。SA可以通过 IKE自动协商建立。

1.1.2 封装模式

IPSec有如下两种工作模式:

z隧道(Tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之

间的通讯。

z传输(Transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP 加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一

台主机和一个安全网关之间的通讯。

不同的安全协议在Tunnel和Transport模式下的数据封装形式如图1所示,data为传输层数据。

图1安全协议数据封装格式

认证算法与加密算法

(1) 认证算法

认证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPSec对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。IPSec使用两种认证算法:

z MD5:MD5通过输入任意长度的消息,产生128bit的消息摘要。

z SHA-1:SHA-1通过输入长度小于2的64次方bit的消息,产生160bit的消息摘要。

MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。

(2) 加密算法

加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。目前设备的IPSec 实现三种加密算法:

z DES(Data Encryption Standard):使用56bit的密钥对一个64bit的明文块进行加密。

z3DES(Triple DES):使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。

z AES(Advanced Encryption Standard):使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密。

这三个加密算法的安全性由高到低依次是:AES、3DES、DES。安全性高的加密算法实现机制复杂,运算速度慢。对于普通的安全要求,DES算法就可以满足需要。

2 应用场合

IPsec作为一种VPN技术,其最显著的特点就是可以为载荷数据提供加密以及数据源验证服务,保护数据的机密性和完整性。同时通过IKE可以对密钥进行定时更新维护,增强系统的安全性。鉴于这些特点,IPsec被广泛应用于传输敏感数据的VPN网络中。

3 配置指南

3.1 配置概述

目前,设备支持使用IPSec安全策略建立IPSec安全隧道。这种方式下,由ACL(Access Control List,访问控制列表)来指定要保护的数据流范围,通过配置安全策略并将安全策略绑定在实际的物理接口上来完成IPsec的配置。这种方式可以利用ACL的丰富配置功能,结合实际的组网环境灵活制定IPsec安全策略。其基本配置思路如下:

(1) 通过配置ACL,用于匹配需要保护的数据流。

(2) 通过配置安全提议,指定安全协议、认证算法和加密算法、封装模式等。

(3) 通过配置安全策略,将要保护的数据流和安全提议进行关联(即定义对何种数据流实施何种

保护),并指定SA的协商方式、对等体IP地址(即保护路径的起/终点)、所需要的密钥和

SA的生存周期等。

(4) 最后在设备接口上应用安全策略即完成了IPSec的配置。

IPSec配置的推荐步骤如表1所示。

相关文档
最新文档