|
IPsec vpn:背景: 对保密性需求越来越高,传统的GRE、L2TP等技术不能满足客户需求。 IPsec:是一组基于网络层的,应用密码学的安全通信协议族。IPsec不是具体指哪一个协议。而是一个开放的协议族, IPsec设计目的为了在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。 IPsec VPN :基于IPsec协议族构建IP层的安全虚拟专用网。通过在数据包插入一个预定义的头部方式保障OSI上层协议数据的安全,主要保护TCP、udp、ICMP和隧道的IP数据包。 安全服务: 访问控制有限的流量保密等其他安全服务 不可否认向 重点攻击保护 数据源鉴别 完整性 机密性 安全框架: IKE协商:定义了安全参数如何协商,安全秘钥如何传输 DOI:定义解释协商内容 IPsec VPN 协议族: 传输模式: 主要应用场景:主机与主机之间端到端的数据保护 封装防护:不改变原有IP包头,在数据包头后插入IPsec包头,将原来的数据封装成保护的数据 IP包头中的协议字段会修改成IPsec的协议号,会重新计算IP的校验和 隧道模式: 主要应用场景:私网与私网之间通过公网进行通信,建立安全VPN通道 封装方式:增加新的IP(外网IP)头,后面是IPsec包头,之后再将原先的整个数据包进行封装(整个封装)
IPsec通信协议: AH:认证协议 数据认证和数据源的认证、抗重放服务 不提供任何保密性服务(他不加密保护任何数据包) 不论是传输模式还是隧道模式下,AH提供对数据包的保护时,它保护的是整个IP数据包(易变的字段除外,如IP头中的TTL和TOS字段)。 ESP:封装安全有效载荷 无连接数据完整性、数据源认证、抗重放服务神、数据保密、有限的数据流保护 保密服务通过使用密码算法加密IP数据包的相关部分来实现。 数据流保密由隧道模式下的保密服务提供。 ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证。 安全联盟SA 是通信对等体对某些要素的约定,通信的双方符合SA约定的内容就可以建立SA 三大要素:安全参数索引、母的IP地址、安全协议号 IKE背景: 用IPSec保护一个IP包之前,必须先建立安全联盟(SA)
IPSec的安全联盟可以通过手工配置的方式建立。但是当网络中节点较多时,手工配置将非常困难,而且难以保证安全性。这时就可以使用IKE (Internet KeyExchange)自动进行安全联盟建立与密钥交换的过程。Internet密钥交换(IKE)就用于动态建立SA,代表IPSec对SA进行协商。
IKE用途: IKE工作过程
·IKE经过两个阶段为IPSec进行密钥协商并建立安全联盟:
>第一阶段交换:通信各方彼此间建立了一个已通过身份验证和安全保护的通道,此阶段的交换建立了一个ISAKMP安全联盟,即ISAKMP SA(也可称为IKE SA)。第一阶段交换有两种协商模式:
主模式协商
野蛮模式协商
第二阶段交换:用已经建立的安全联盟(IKE SA)为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSec SA,产生真正可以用来加密数据流的密钥,'DSec SA用于最终的IP数据安全传送。
主模式:默认使用IP地址作为自己的身份标识默认是传递自己的出口地址做身份标识,校验对端的公网IP做对端的身份标识(自动生成双方的身份ID) 野蛮模式:可以视同用户名或者IP等作为双方身份标识,既可以手动配置身份ID | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-10-8 10:01
技术员1级 
