IPSECvpn解释
IPsec VPN
VPN IPSEC协议IPSec 是 IETF (因特网工程任务组)于 1998 年 11 月公布的 IP 安全标准。
其目标是为 IPv4 和 IPv6 提供具有较强的互操作能力、高质量和基于密码的安全。
IPSec 对于 IPv4 是可选的,对于 IPv6 是强制性的。
基于 PKI 技术的 IPSec 协议现在已经成为架构 VPN 的基础,它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。
虽然它的实现会复杂一些,但其安全性比其他协议都完善得多。
由于 IPSec 是 IP 层上的协议,因此很容易在全世界范围内形成一种规范,具有非常好的通用性,而且 IPSec 本身就支持面向未来的协议——IPv6 。
总之, IPSec 还是一个发展中的协议,随着成熟的公钥密码技术越来越多地嵌入到 IPSec 中,现在,该协议会在 VPN 世界里扮演越来越重要的角色。
由于 IPSec 必须在端系统 OS 内核的 IP 层或节点网络设备的深层以实现,所以 IPSec 的密钥管理协议是 IPSec 需要进一步完善的问题。
除了它定义的 IP 传输的加密机制外, IPSec 还定义了 IP OVER IP 隧道模式的包的格式,这也就是通常指的 IPSec 隧道模式。
一个 IPSec 隧道是由隧道客户和隧道服务器组成的。
它们都使用 IPSec 隧道和协商加密机制。
IPSec 兼容设备在 OSI 模型的第三层(网络层)提供加宇航局、验证、授权、管理,对于用户来说是透明的(即在应用层不用作任何事情),用户使用时和平常无区别。
密钥交换、核对数字签名、加密等都在后台自动进行。
下图是一个典型的 IPSec 数据包的格式。
另外,为了组建大型 VPN ,需要认证中心( CA )来进行身份证和分发用户公共密钥。
IPSec 可用两种方式对数据流加密:隧道方式:对整个 IP 包加密,使用一个新的 IPSec 包打包。
ipsecvpn 原理
ipsecvpn 原理IPSec VPN原理IPSec VPN是一种通过互联网建立虚拟专用网络(VPN)的技术。
它使用IPSec协议来加密和认证网络数据包,以确保数据在传输过程中的安全性和完整性。
IPSec VPN可以在不同的网络之间建立安全的连接,使得远程用户可以访问公司内部网络资源,同时也可以保护公司内部网络不受外部网络的攻击。
IPSec VPN的工作原理IPSec VPN的工作原理可以分为两个阶段:建立安全通道和数据传输。
建立安全通道在建立安全通道的过程中,IPSec VPN使用两个协议:Internet Key Exchange(IKE)和IPSec。
IKE协议用于建立安全通道,它通过交换密钥和证书来确保通信双方的身份和安全性。
IKE协议有两个阶段:第一阶段:IKE协议首先建立一个安全通道,双方交换身份验证信息和密钥,以确保通信双方的身份和安全性。
第二阶段:IKE协议使用第一阶段中交换的密钥来建立一个IPSec安全通道,以确保数据在传输过程中的安全性和完整性。
IPSec协议用于加密和认证网络数据包,以确保数据在传输过程中的安全性和完整性。
IPSec协议有两个模式:传输模式:在传输模式下,只有数据包的有效负载被加密和认证,IP头部不被加密。
隧道模式:在隧道模式下,整个IP数据包都被加密和认证,包括IP头部和有效负载。
数据传输在建立安全通道之后,IPSec VPN可以开始传输数据。
数据传输过程中,IPSec VPN使用加密和认证技术来保护数据的安全性和完整性。
IPSec VPN可以使用传输模式或隧道模式来传输数据。
传输模式下,只有数据包的有效负载被加密和认证,IP头部不被加密。
这种模式适用于点对点的通信,例如远程用户访问公司内部网络资源。
隧道模式下,整个IP数据包都被加密和认证,包括IP头部和有效负载。
这种模式适用于网站对网站的通信,例如公司之间的通信。
总结IPSec VPN是一种通过互联网建立虚拟专用网络(VPN)的技术。
ipsecvpn安全接入技术要求与实施指南
ipsecvpn安全接入技术要求与实施指南【原创版】目录一、IPSecVPN 简介二、IPSecVPN 的安全接入技术要求三、IPSecVPN 的实施指南四、总结正文一、IPSecVPN 简介IPSecVPN 是一种基于 IPSec 协议的虚拟专用网络,它可以在公共网络上建立起安全的通信通道,实现远程用户或分支机构与企业内部网络之间的安全访问。
IPSecVPN 安全接入技术在保护网络数据传输的安全性和完整性方面具有重要作用,已经成为企业广泛采用的一种网络安全解决方案。
二、IPSecVPN 的安全接入技术要求1.数据加密:IPSecVPN 需要对传输的数据进行加密,以确保数据的机密性。
通常采用对称加密算法和非对称加密算法相结合的方式,保证数据在传输过程中的安全性。
2.数据认证:为了确保数据的完整性,IPSecVPN 需要对数据进行认证。
通过使用加密哈希函数,可以验证数据在传输过程中没有被篡改。
3.数据完整性:IPSecVPN 需要确保数据在传输过程中的完整性。
采用序列号(Sequence Number)和数据包校验和(Checksum)等技术,可以有效防止数据包的重放攻击和篡改攻击。
4.抗重放保护:为了防止攻击者捕获并重放数据包,IPSecVPN 需要采用抗重放保护机制。
这可以通过为数据包分配唯一的标识符并在接收端检查标识符的有效性来实现。
5.访问控制:IPSecVPN 需要实现对远程用户的访问控制,以确保只有授权用户才能访问企业内部网络资源。
这可以通过使用用户名和密码进行身份验证,或者采用数字证书进行身份验证等方式实现。
三、IPSecVPN 的实施指南1.规划阶段:在实施 IPSecVPN 之前,需要对企业网络进行规划,确定 VPN 的使用场景、用户数量、网络带宽需求等。
此外,还需要选择合适的硬件设备和软件平台,以满足 VPN 部署的需求。
2.配置阶段:根据规划,对 VPN 设备进行配置,包括 IP 地址、子网划分、加密算法、认证方式等参数。
IPsec VPN概念和功能
IPsec VPN概念和功能IPsec简介IPsec(IP Security)是IETF IPsec工作组为了在IP层提供提供高质量的、可互操作的、基于密码学的通信安全而制定的一套协议族。
IPsec包括安全体系结构、安全协议和密钥协商三个部分,各部分关系如图1所示。
安全体系结构定义了主机或网关应提供的各种保护功能,以及相应的保护参数,并定义了两种安全协议:ESP和AH。
而安全协议(ESP、AH)定义了对通信的安全保护机制,它将使用加密和验证算法来完成对数据的机密性和完整性保护;密钥协商部分定义了如何为安全协议协商相关的安全参数,以及如何对通信实体的身份进行鉴别。
解释域是为了使通信双方保持对通信消息具有相同的解释而规定一些约束。
图1 IPsec体系结构IPsec提供的安全服务包括:•访问控制:IPsec从功能上来说与防火墙紧密相连,它提供类似防火墙功能的数据流过滤,对于特定数据流可以完成三种处理:进行隧道封装,直接通过,不允许通过;•数据源认证:用户通过简单的IP地址欺骗就可以冒充他人,而IPsec通过对数据源的认证来防止这种情况的发生;•数据机密性:不加改进的IP网络其在网上传输的任何信息都可被他人阅读,没有任何机密可言,而对于一些关键数据(例如电子商务中传输的数据、银行用户数据)却必须是对外不可见的,IPsec通过加密技术达到该目的;•数据完整性:IPsec通过认证算法达到对数据的完整性保护,从而能够发现在通信线路中被篡改的数据;•重放攻击保护:通过在AH、ESP中包含的序列号完成是否是重放数据的判断;•有限的数据流量保护:通过在AH、ESP中随机填充0-255之间的任意字节数,增加通信噪音,使线路窃听者无法通过流量分析来获取信息。
IPsec将安全协议与为这些安全协议协商安全参数的密钥管理协议相分离。
在IPsec中使用IKE(Internet Key Exchange)协议作为其密钥管理协议,完成安全关联(Security Association,简称SA)的协商。
IPsecVPN隧道协议
IPsecVPN隧道协议IPsecVPN(Internet Protocol Security Virtual Private Network)是一种通过互联网创建安全通信链路的协议。
它通过对数据进行加密和身份验证,确保在公共网络上的数据传输过程中不会被窃听、篡改或伪冒。
本文将介绍IPsecVPN隧道协议的原理、优势和应用场景。
一、原理IPsecVPN隧道协议基于IP协议,使用安全密钥和算法对数据进行加密、鉴别和完整性校验。
它通过在原始IP数据包上增加IPsec扩展头和尾,对数据进行保护。
其中,扩展头负责加密和鉴别,扩展尾负责完整性校验和反重放攻击的防范。
IPsecVPN的加密算法包括对称密钥加密和非对称密钥加密。
对称密钥加密使用相同的密钥进行加密和解密,传输效率高;非对称密钥加密使用公钥和私钥进行加密和解密,安全性高。
IPsecVPN根据通信双方的需求选择不同的加密算法和密钥协商方式,以保证通信的安全性和效率。
二、优势1. 安全性强:IPsecVPN采用多种安全协议和加密算法,可以有效防止信息泄露、篡改和伪造,提供安全的通信环境。
2. 灵活性高:IPsecVPN支持不同类型的网络拓扑和通信需求,能够灵活适应各种复杂的网络环境。
3. 跨平台支持:IPsecVPN协议是一个通用协议,可以在不同的操作系统和设备上实现,实现跨平台的安全通信。
4. 高性能:IPsecVPN协议在不影响通信质量的情况下,提供高速的数据传输速率,适用于大规模数据传输和实时通信。
三、应用场景1. 企业内部通信:IPsecVPN可以建立企业内不同办公点之间的安全通信链路,为不同地点的员工提供安全、稳定的远程访问服务。
2. 跨地域连接:对于跨地域的分支机构,IPsecVPN可以建立安全的互联网连接,实现分支机构间的数据互通和资源共享。
3. 移动办公:随着移动办公的普及,IPsecVPN可以为移动设备提供安全的连接,保护企业数据和用户隐私。
IPSecVPN详解(深入浅出简单易懂)
IPSecVPN详解(深⼊浅出简单易懂)IPSec VPN详解1.IPSec概述IPSec(ip security)是⼀种开放标准的框架结构,特定的通信⽅之间在IP 层通过加密和数据摘要(hash)等⼿段,来保证数据包在Internet ⽹上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。
IPSec只能⼯作在IP层,要求乘客协议和承载协议都是IP协议1.1.通过加密保证数据的私密性★私密性:防⽌信息泄漏给未经授权的个⼈★通过加密把数据从明⽂变成⽆法读懂的密⽂,从⽽确保数据的私密性1.2.对数据进⾏hash运算来保证完整性★完整性:数据没有被⾮法篡改★通过对数据进⾏hash运算,产⽣类似于指纹的数据摘要,以保证数据的完整性对数据和密钥⼀起进⾏hash运算★攻击者篡改数据后,可以根据修改后的数据⽣成新的摘要,以此掩盖⾃⼰的攻击⾏为。
★通过把数据和密钥⼀起进⾏hash运算,可以有效抵御上述攻击。
DH算法的基本原理1.3.通过⾝份认证保证数据的真实性★真实性:数据确实是由特定的对端发出★通过⾝份认证可以保证数据的真实性。
常⽤的⾝份认证⽅式包括:Pre-shared key,预共享密钥RSA Signature,数字签名1.3.1.预共享密钥预共享密钥,是指通信双⽅在配置时⼿⼯输⼊相同的密钥。
1.3.2.数字证书★RSA密钥对,⼀个是可以向⼤家公开的公钥,另⼀个是只有⾃⼰知道的私钥。
★⽤公钥加密过的数据只有对应的私钥才能解开,反之亦然。
★数字证书中存储了公钥,以及⽤户名等⾝份信息。
2.IPSec框架结构2.1.IPSec安全协议IPSec安全协议描述了如何利⽤加密和hash来保护数据安全★AH (Authentication Header) ⽹络认证协议,只能进⾏数据摘要(hash) ,不能实现数据加密ah-md5-hmac、ah-sha-hmac★ESP (Encapsulating Security Payload) 封装安全载荷协议,能够进⾏数据加密和数据摘要(hash) esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac2.2.IPSec封装模式IPSec⽀持两种封装模式:传输模式和隧道模式◆传输模式:不改变原有的IP包头,通常⽤于主机与主机之间。
IPsecVPN隧道
IPsecVPN隧道IPsec(Internet Protocol Security)是一种用于保护互联网通信的协议套件。
通过建立加密的虚拟私人网络(VPN)隧道,IPsec提供了一种安全的通信方式,保护数据的机密性、完整性和可用性。
本文将介绍IPsecVPN隧道的原理、配置和应用场景。
一、IPsecVPN隧道原理IPsec协议套件由两部分组成,分别是认证头(Authentication Header,AH)和封装安全载荷(Encapsulating Security Payload,ESP)。
AH用于提供数据的完整性和认证,而ESP则提供了数据的机密性和保护。
在IPsecVPN隧道中,隧道由两个IPsec网关连接起来。
两个网关通过协商建立安全关联(Security Association,SA),确定加密算法、认证方式和密钥等参数。
在建立隧道后,数据通过加密和认证方式进行保护,并在两个网关之间传输,保证了数据的安全性。
二、IPsecVPN隧道配置1. 确定VPN隧道类型:IPsec提供了两种类型的VPN隧道,分别是站点到站点(Site-to-Site)和远程访问(Remote Access)。
站点到站点适用于连接两个不同网络的情况,而远程访问适用于允许外部用户安全访问内部网络的情况。
2. 配置IPsec网关:根据具体需求,配置IPsec网关的参数,包括密钥协商方式、加密算法、认证方式等。
同时,为每个VPN隧道配置唯一的标识符,以便于区分不同的隧道。
3. 配置IPsecVPN隧道:为每个VPN隧道配置本地和远程端的IP 地址、加密域和预共享密钥等参数。
这些参数将用于建立安全关联,并确定通信双方之间的加密和认证方式。
4. 测试连接:在完成IPsecVPN隧道配置后,进行连接测试,确保隧道能够正常建立和传输数据。
通过Ping命令或其他测试工具,验证两个IPsec网关之间的连通性和数据传输的可靠性。
三、IPsecVPN隧道应用场景1. 远程办公:利用IPsecVPN隧道,员工可以远程访问公司内部网络,安全地获取和共享公司资源,从而实现远程办公。
IPSEC和SSL的区别
IPSec VPN和SSL VPN的比较与区别一、IPSec VPN以及SSL VPN简介IPSec VPN 简单来说就是采用IPSec协议来实现远程登录的一种VPN技术,IPSec是IETF(Internet Engineer Task Force)制定的安全标准,IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信。
需要指出的是IPSec是基于网络层的,不能穿越通常的NAT、防火墙。
SSL VPN 简单来说就是采用SSL协议来实现远程登录的一种新型VPN技术。
SSL(Security Socket Layer)协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。
值得一提的是,SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端,简化了客户端的操作。
二、二者之间的区别1、认证IPSec采用Internet Key Exchange(IKE)方式,通过数字凭证或是一组密匙来做认证;而SSL仅能使用数字凭证,所以如果两者都采用数字凭证的认证方式的话,它们的认证安全等级几乎是相同的。
用户控制方面,IPSec能明确使用收控的设备接入的移动用户;而SSL 则使用无法控制的设备接入的用户。
2、安全通道IPSec和SSL都采用对称式或非对称式这两种典型的加密算法来执行加密作业。
所以两者在安全通道方面并无太大的区别,区别仅在于应用方面。
3、关于系统攻击采用IPSec方式连接的话,内网所连接的应用系统都有可能被黑客监测到,并找到攻击机会。
而采用SSL方式连接的话,由于采用直接开始应用系统,没有网络层上的链接,所以黑客不容易监测到,攻击的机会也很小。
4 防病毒如果采用IPSec联机,一旦客户端遭到病毒感染,那么这个病毒就很可能会感染到内部网络所连接的每台电脑。
ipsecvpn安全接入技术要求与实施指南
ipsecvpn安全接入技术要求与实施指南一、IPSec VPN概述IPSec VPN(Virtual Private Network,虚拟专用网络)是一种通过公共网络(如互联网)构建安全的加密通道,实现远程用户与内部网络的远程接入技术。
IPSec VPN技术在我国得到了广泛的应用,为企事业单位提供了便捷、安全的远程办公解决方案。
二、IPSec VPN安全接入技术要求1.设备要求为确保IPSec VPN的安全接入,需要选用具备高性能、稳定可靠、支持多种加密算法的VPN设备。
同时,设备应支持严格的身份认证和访问控制功能,以防止未经授权的用户接入。
2.网络架构要求IPSec VPN网络应采用星型拓扑结构,以降低网络故障对业务的影响。
同时,应合理规划VPN网关的部署位置,确保网络的可靠性和安全性。
3.安全策略要求针对VPN网络的特点,应制定合理的安全策略,包括数据加密、身份认证、访问控制、入侵检测等。
同时,要确保安全策略的实施和持续优化。
4.身份认证和授权要求对VPN用户进行严格的身份认证和授权,确保只有经过授权的用户才能访问内部网络资源。
同时,要实现用户权限的动态调整,以满足不同业务场景的需求。
三、IPSec VPN实施流程1.设备选型与部署根据实际需求选择合适的VPN设备,并进行部署。
部署过程中要确保设备之间的连接稳定,网络拓扑结构合理。
2.网络配置与优化对VPN网络进行配置,包括IP地址规划、路由策略、QoS设置等。
同时,根据实际网络状况进行优化,确保网络性能。
3.安全策略配置与监控配置VPN安全策略,包括数据加密、身份认证、访问控制等。
同时,建立完善的监控体系,对VPN网络的安全状态进行实时监控。
4.身份认证与授权配置配置用户身份认证和授权策略,确保只有授权用户才能访问内部网络资源。
5.测试与验收在IPSec VPN实施完毕后,进行详细的测试与验收,确保网络性能、安全性和稳定性满足要求。
四、IPSec VPN运维与管理1.日常监控对VPN网络进行日常监控,包括设备状态、安全事件、网络性能等。
ipsecvpn配置名词解释
ipsecvpn 配置名词解释第一阶段IKE(Internet Key Exchange ,因特网密钥交换协议)设置大多数产商都把这个叫成VPNs Gateway 协商模式:可以选择主模式(Main) 或野蛮模式(Aggressive) 。
当选择主模式时,只能使用ip 地址作为ID 的类型。
当用户端设备的IP 地址为动态获取的情况时,需要选择野蛮模式。
IKE 野蛮模式相对于主模式来说更加灵活,可以选择根据协商发起端的IP 地址或者ID 来查找对应的身份验证字,并最终完成协商。
验证方法AH(Authentication Header) :身份验证确认通信双方的身份。
目前在IKE 提议中,仅可用pre-shared-key 身份验证方法,使用该验证方法时必须配置身份验证字。
加密算法:1.包括DES 和3DES 加密算法,2.DES 算法采用56 bits 的密钥进行加密;3.3DES 算法采用168bits 的密钥进行加密;4.AES128(Advanced Encryption Standard ,即高级加密标准) 采用Rijndael 中的128bits 的密钥进行加密5.AES192(Advanced Encryption Standard ,即高级加密标准)采用Rijndael 中的192bits 的密钥进行加密6.AES256(Advanced Encryption Standard ,即高级加密标准) 采用Rijndael 中的256bits 的密钥进行加密一般来说,密钥越长的算法强度越高,受保护数据越难被破解,但消耗的计算资源会更多。
Diffie-Hellman 组标识(DH) :用户可以选择Group1 即768bit 或Group2 即1024bit 。
ISAKMP-SA 生存周期:IKE 使用了两个阶段为IPSEC 进行密钥协商并建立安全联盟。
第一阶段,通信各方彼此间建立了一个已通过身份验证和安全保护的通道,即ISAKMP 安全联盟( ISAKMP SA );第二阶段,用在第一阶段建立的安全通道为IPSEC 协商安全服务,即为IPSEC 协商具体的安全联盟,建立IPSEC SA , IPSEC SA用于最终的IP数据安全传送。
IPSecVPN与IPSec隧道模式
IPSecVPN与IPSec隧道模式IPSec(Internet Protocol Security)是互联网协议安全的一种标准,用于保护网络通信的安全性和保密性。
IPSec通过使用加密和认证机制,确保通过互联网进行的数据传输得到保护。
在实现IPSec功能时,可以采用两种主要的模式:IPSecVPN和IPSec隧道模式。
一、IPSecVPNIPSecVPN(IPSec Virtual Private Network)是一种通过加密和身份验证技术建立的虚拟专用网络。
通过IPSecVPN,不同网络之间的通信可以通过公共互联网进行,同时保持通信机密性和完整性。
它通常由以下几个关键组成部分构成:1. 加密算法和协议:IPSecVPN使用加密算法和协议来保证数据的安全性。
常见的加密算法包括AES(Advanced Encryption Standard)和3DES(Triple Data Encryption Standard),而加密协议包括ESP (Encapsulating Security Payload)和AH(Authentication Header)。
2. 身份验证机制:IPSecVPN使用身份验证机制来确认通信双方的身份,并防止未经授权的访问。
常见的身份验证方式包括预共享密钥(PSK)和数字证书。
3. 安全关联(SA):SA是IPSecVPN中的一个重要概念,用于协商和维护通信会话的安全参数。
SA包括加密算法、密钥、身份验证方法等。
4. 客户端和服务器:IPSecVPN通常包括客户端和服务器端。
客户端用于发起连接请求并与服务器建立VPN隧道。
5. VPN隧道:通过IPSecVPN,不同网络之间的通信数据会通过VPN隧道进行传输,确保数据的安全和隐私。
二、IPSec隧道模式IPSec隧道模式是一种将整个IP数据包封装在另一个IP数据包中的技术。
它通过在原始IP数据包的头部添加新的IP头部来创建一个隧道。
IPSecVPN介绍文档
不同类型VPN网络拓扑图
远程用 户
企业内 部
企业扩 展
VPN的优点
降低成本
利用现有的公共网络的基础设施为用户创建安全隧道,不需 要使用专门的线路,节省了专线的租金。
易于扩展
采用VPN,只是在节点处架设VPN设备,如果有新的内部网 络想加入安全连接,只需添加一台VPN设备改变相关配置即 可。
数字签名
加密技术的应用
密文
接收方 接收 Key
明文
MD5 or SHA-1
Hash散列
摘 要
Key
摘 要
接收者私钥
Key 摘 要
=?
发送者公钥
接收方将通过明文Hash出来的摘要,与解密得到的摘要做对 比,两者相同,则说明此明文正确可靠;否则明文不可信。
IPSec 封装技术
IPSec VPN
在网络层对数据提供私密性,完整性,来源可靠验证服务
关键字:机密性、完整性、真实可靠及不可否认
VPN的类型
远程访问(Access VPN)
适用于企业内部人员流动频繁或远程办公的情况。通过拨入 当地的ISP进入Internet在连接企业的VPN网关,用户与网关 之间建立一条安全隧道,即可完成远程用户(Remote)的 安全访问。
企业内部(Intranet VPN)
Virtual,是针对传统企业的“专用网络”而言的。传统的专 用网络往往需要建立自己的物理专用线路,使用昂贵的长途 拨号等。而VPN则是利用公共网络资源和设备建立一个逻辑 上的专用通道,实现物理专用网络的功能。 Private,表示VPN是被特定的企业或用户私有的,并不是任 何公共网络上的用户都能使用已经建立的VPN通道。在该通 道内传输的数据经过了加密和认证,保证了传输内容的机密 性。 Network,表示是一种专门的组网技术和服务,需要相应的 网络设备。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IPsecVPNipsec 是iP security 的缩写,即IP 安全性协议,他是为IP 网络提供安全性服务的一个协议的集合,是一种开放标准的框架结构,工作在OSI 七层的网络层,它不是一个单独的协议,它可以不使用附加的任何安全行为就可以为用户提供任何高于网络层的TCP/IP 应用程序和数据的安全。
主要提供如下的保护功能:1. 加密用户数据,实现数据的私密性2. 验证IP 报文的完整性,使其在传输的路上不被非法篡改3. 防止如重放攻击等行为4. 即可以确保计算机到计算机的安全,也可以确保两个通信场点(IP 子网到子网)的安全5. 使用网络设备特点的安全性算法和秘钥交换的功能,以加强IP 通信的安全性需求。
6. 它是一种VPN 的实施方式。
ipsec 不是一个单独的协议,它给出了应用于IP 层上网络数据安全的一整套体系结构。
该体系结构包括认证头协议(AH )•封装安全负载协议(ESP),密钥管理协议(IKE)和用于网络认证及加密的一些算法等。
ipsec 规定了如何在对等体之间选择安全协议,确定安全算法和秘钥交换,向上提供了访问控制,数据源认证,数据加密等网络安全服务。
关于IPSEC 的传输模式与隧道模式ipsec 的传输模式:一般为OSI 传输层,以及更上层提供安全保障。
传输模式一般用于主机到主机的IPsec ,或者是远程拨号型VPN 的ipsec ,在传输模式中,原始的IP 头部没有得到保护,因为ipsec 的头部插在原始IP 头部的后面,所以原始的IP 头部将始终暴漏在外,而传输层以及更上层的数据可以被传输模式所保护。
注意:当使用传输模式的ipsec 在穿越非安全的网络时,除了原始的IP 地址以外,在数据包中的其他部分都是安全的。
ipsec 的隧道模式:它将包括原始IP 头部在内的整个数据包都保护起来,它将产生一个新的隧道端点,然后使用这个隧道端点的地址来形成一个新的IP 头部,在非安全网络中,只对这个新的IP头部可见,对原始IP头部和数据包都不可见。
在这样的网络环境中,就会在路由器VPNA 和VPNB的外部接口产生一个隧道端点,而他们的接口地址正式这个隧道端点的地址。
也是形成IPsec隧道模式中的新IP头部。
隧道模式一般应用于连接场到场的ipsec 的VPN.理解VPN的机密性,完整性,认证< 请参考理解加密、认证、DH算法文档>机密性是数据私密性。
加密方法:DES<数据加密标准>:是一种应用很广泛的传统加密算法标准,一种对称式加密算法,DES 使用一个56位的秘钥以及8位的奇偶校验位,产生最大64位的分组大小。
3DES<三重数据加密标准>:它相当于是对每个数据块执行三次标准的DES加密算法,产生出现3DES加密算法的原因是,现代化计算机的运算能力越来越强,标准的DES加密的密钥长度变得更容易暴力破解。
3des的设计用来提供一种相对增加DES的秘钥长度来避免暴力破解的可能性,他不是一种新型的加密算法,而是对DES的加强与扩展,3DES使用3条56位的密钥对数据执行3次加密,它的应用比DES更安全。
AES<advaneed encryption standard 高级加密标准>:它被设计用于替代传统的标准加密算法的标准,AES加密数据块和密钥长度可以是128位,192位,256位中的任意一个。
他的安全机制高于DES,3DES.数据完整性<data integrity>: 它是用于确保被VPN传递的数据,在传输的过程中,没有被篡改,数据完整性本身并不提供数据机密性保障,数据完整性通常使用HASH 算法来确保数据在传输过程中的安全性。
简单描述HASH 的一个过程把原始消息+ 共享安全秘钥放进HASH 函数里面生成一个摘要值,然后把这个摘要值附加到原始的消息中,传送给目标,目标将收到的消息加上共享安全秘钥放进HASH 函数里生成摘要值,如果生成的摘要值一样,说明数据在传输过程中没有被篡改过,验证就通过了。
首先,HASH 是一个不可逆的算法,这就好比把一个完整的水杯摔到地上,虽然地上产生了很多碎片,但是你不可能根据这些碎片重新还原成原始的杯子。
在思科的IOS 系统中,常使用两种HASH 算法,HMAC-MD5 和HMAC-SHA-1HMAC-MD5 : 使用128 位共享安全秘钥。
变长消息和128 位共享安全秘钥组合在一起运行HMAC-MD5, 它将输出一个128 位的哈希值。
该值被附加在原始消息的后面发往远端。
HASH-SHA-1 :使用160 位共享安全秘钥。
变长消息和160 位共享安全秘钥组合一起运行HMAC-SHA-1, 它将输出一个160 位哈希值。
该值被附加在原始消息的后面发往远端,HAMC-SHA-1 安全性高于HMAC-MD5.数据源认证是指验证VPN 的数据发送源,它由VPN 的每个端点来完成,以确保与其通信的对端身份,值得注意的是数据源的验证是无法单独实现的,它必须依赖于数据完整性验证。
IPsec 的AH 认证头部与ESP 封装安全载荷IPsec 是一个标准开放式框架,可用它为IP 及上层协议(UDP/TCP )提供安全保障;IPsec 协议族通过两个协议提供安全性服务:验证头(AH )和封装安全载荷(ESP);ESP 用来保障数据的私密性;AH用来保障数据的完整性;我们可以选择使用AH或者ESP,或者同时使用两者。
AH (Authentication Header ):认证头部,它使用IP协议号51,它主要提供数据完整性验证,保护数据回放攻击。
AH功能可以保证整个数据报文的完整性,当然那些易发生变化的字段(TTL)除外。
AH在传输模式和隧道模式下对IP报文的保护情况如下图所示:无论ipsec处于传输模式或者是隧道模式,AH都可以保证整个数据报文的完整性。
AH的传输模式被验证AH的隧道模式被验证需要注意:此时,前面在描述IPsec的传输模式中说道:因为IPsec的头部插在原始IP头部的后面,所以原始的IP头部始终暴漏在外面,没有得到保护,可是在上面的图中,又说:无论IPsec处于传输模式或者隧道模式,AH可以保证整个数据报文的完整性,这不是自相矛盾吗?注意,前面所提到的原始IP头部将始终暴漏在外,没有得到保护,是指的可见性(或者是私密性),而这里AH指的是数据完整性。
ESP( Encapsulate security payload )圭寸装安全载荷,它使用IP协议号50 ,ESP提供数据机密性保障,另外也可以要求接收方主机使用防重放保护功能,通常ESP使用DES、3DES、AES完成数据加密。
ESP可以独立使用,也可以与AH 一起使用,但是同时使用ESP与AH 并没有特别的优势,因为ESP具备IPSEC所提到的所有功能,包括认证。
如果选择了ESP 的认证和加密,加密将在认证之前进行,这样做的原因是它可以使接收方主机快速的检测并拒绝重放攻击或者虚假伪造的数据包,在数据解密之前,接收方主机可以对发来的数据包进行认证,这样可以降低被DOS攻击的危险。
ESP在传输模式与隧道模式下对IP报文的保护情况如下:ESP的磁道模式被验证IPSEC的AH是不具备加密功能的,只有ESP才具备。
关于IPSEC的安全关联安全关联是IPsec保障数据安全最重要的概念之一,它表示两个IPsec对等体之间的安全策略的协定,它描述了对等方如何使用IPsec来保护网络流量。
安全对等体两端的SA必须相同,才能完成协商。
这和某单生意的合同,正常情况下,合同总是一式两份,而且两份合同必须相同。
如图所示:注意IPsec的安全关联(SA)总是一种单向的行为,但往往通信是双向的过程,所以IPsec将会为一个完整的通信建立两个SA,一个用于通信的进入,一个用于通信的外出。
配置IPsec传输集,就是配置IPsec安全关联(SA)的一种体现,当然安全关联还包括了定义感兴趣加密流量。
关于IPsec传输集的配置如下:IPsec传输集的配置:R1 (config ) #crypto ipsec transform-set vpnset ah-sha-hmacesp-aes理解in ternet key excha nge (IKE)作用IKE提高了IPsec的安全性和灵活性,让IPsec的协商更加智能化。
说白了就是对IPsec SA实施了二重保护。
IKE提供了IPsec对等体的验证、协商密钥、保护了IPsec SA的协商,可以说是IPsec的第二重安全保障,关于IKE的作用如下:丄消除了安全对等体两端把IPsec安全参数手工放入到加密表。
丄允许为IPsec安全关联(SA )指定一个生存期丄允许在IPsec会话期间改变加密密钥J 允许IPsec更简便的方式使用PKI架构,例如数字证书的使用丄允许对等体的动态验证⑷賂由制1发向私的数据得到 Ipscc EA 的保护(2)R1与曲的IKE 进行揺商(3> IKE 协商完成R1和R2都在本地有--个完整的SA理解IKE 的传输集IKE 使用大量的独立的安全参数,来保障协商的安全,但它并不是试图去单独协商每个 安全参数,而是将这些不同的安全参数组合成一个集合,这个集合叫IKE 传输集,或者叫做IKE 的安全策略,这与IPsec 的安全关联一样,如果两个对等体设备之间没有相同的安全参 数集,那么它的IKE 协商将会失败,IKE 的传输集有5个重要参数: 丄IKE 的加密算法:常用的加密算法(DES 、3DES 、AES )J IKE 的验证算法:常用的验证算法( MD5、SHA-1)丄IKE 的密钥:主要用于完成对等体身份验证,其中包括使用预共享密钥、 RSA 签名(数字证书),Nonce (—次性密码)。
在初级IPsecVPN 学习阶段,只要学会预共享密钥 配置IKE 即可。
丄 Diffie-Hellman版本:它是创建 VPN 最重要的问题之一,交换密钥,它使用 DH 算法建立只有协商两端才知道的一个共享安全密钥。
允许 VPN 的两端通过非安全的通道共享密钥。
思科的设备支持3组Diffie-Hellman ,分别是768比特素数的组1 ; 1024比特素数的组2 ; 1536比特素数的组5,素数最大,生成的密钥就越长,安全性越高,仃)路由器Ki [»JK2发送出站 数据包时还没有T & SA素数越大,密钥计算的时间越长。
丄IKE的生命周期:时间或者比特数。
R1 (config ) #crypto isakmap policy 1 // 指定IKE 传输集策略1R1 ( config-isakmp )#encryption aes // 指定IKE 的加密方式R1 ( config-isakmp )#authentication pre-share // 指定IKE 的验证方式为预共享R1 ( config-isakmp )#hash sha // 指定IKE 的验证算法为SHA-1R1 ( config-isakmp )#lifetime 40000 // 指定IKE 的生命周期简述IPsec的工作过程第一步:首先是IPsec通信的发送方感知要加密的数据流量,如果满足所定义的加密数据流量的规划就进入IPsec的第二步,该过程将被IPsec配置中的ACL所定义;否则,将使用正常路由的方式来转发数据。