ipsec VPN 技术介绍(基础篇一)

最新推荐文章于 2024-06-19 18:04:09 发布
最新推荐文章于 2024-06-19 18:04:09 发布
阅读量6.3k 收藏 37
点赞数 8
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BUG_MeDe/article/details/130250855
版权

1,什么是ipsec

ipsec(Internet Protocol Security)是一直种实现vpn的技术之一,为IP网络提供安全和加密。

(由于IP报文本身没有集成任何的安全特性,IP数据包在公用的Internet网络中可能面临被[伪造]、[窃取]、[篡改]的风险)

通信双方通过IPsec建立 一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。

常见的VPN种类有:IPsec、SSL、GRE、PPTP和L2TP等。其中IPsec是通用性较强的一种VPN技术,适用于多种网络互访的场景。

        图:IPsec Site to Site(站点到站点)的组网

         ipsec保护的是点对点的通信,主机与主机、主机和网关之间,其工作在ip层(网络层),对ip层的数据包进行加密和验证。

2,ipsec如何工作的

大致分为四个阶段:

  • 识别感兴趣流(匹配ipsec规则)

        网络设备收到报文后,会将报文中的五元组信息与ipsec规则进行比较,进而判断该报文是否通过Ipsec隧道进行传输。(五源组:Source IP、Dest IP 、Source Port、Dest Port、传输层协议类型)

  • 安全协议协商-Security Association,以下简称SA

        SA:通信双方对某些协议要素的约定。

        包括:双方使用的安全协议、数据传输的封装模式、协议采用的加密和验证算法、数据传输的密钥,这些在双方协商过程中进行交换。只有SA协商成功,才能进行安全的数据传输。

        通信双方通过IKEv1/IKEv2协议,先协商建立IKE SA(用于身份验证和交换密钥信息),然后在此基础上协商建立 IPSEC SA(用于安全的数据传输),数据传输的过程中会所有到Ike SA 中协商的密钥。

  • 数据传输

        IPsec SA建立成功后,就可以使用Ipsec隧道进行数据的安全传输了,这一阶段会用到AH、ESP协议或AH+ESP协议对数据进行加密和验证。双方通过相同的加密算法和密钥,将数据进行加密或解密,同时得到数据的完整性校验值ICV,两端的ICV值相同代表数据完整,未被改变,可正常接收。

  • 隧道解除

        通常情况下,通信双方之间的会话老化(连接断开)即代表通信双方数据交换已经完成,因此为了节省系统资源,通信双方之间的隧道在空闲时间达到一定值后会自动删除。

3、IPsec 使用的3个重要的协议(基础)

/********************************************************************************/
 IKE (Internet Key Exchange,因特网密钥交换)
    基于UDP的应用层协议,用于SA协商,目前主要有两个版本v1/v2,v2在v1的基础上提高了安全性,简化了协商过程,提高了协商效率。
    IKE SA 的建立主要通过ISAKMP协议进行协商(IKE协议综合了多种协议:ISAKMP协议 Oakley协议 SKEME协议),
    其提供了DH算法,用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
    IKE SA和IPSec SA需要的加密密钥和验证密钥都是通过DH算法生成的,它还支持密钥动态刷新。

/********************************************************************************/
 AH (Authentication Header,认证头)
    AH协议用来对IP报文进行数据源认证和完整性校验,即用来保证传输的IP报文的来源可信和数据不被篡改,但它并不提供加密功能。
    AH协议在每个数据包的标准IP报文头后面添加一个AH报文头,AH协议对报文的完整性校验的范围是整个IP报文。

/********************************************************************************/
 ESP(Encapsulating Security Payload,封装安全载荷)
    ESP协议除了对IP报文进行数据源认证和完整性校验以外,还能对数据进行加密。
    ESP协议在每一个数据包的标准IP报头后方添加一个ESP报文头,并在数据包后方追加一个ESP尾(ESP Trailer和ESP Auth data)。
    ESP协议在传输模式下的数据完整性校验范围不包括IP头,因此它不能保证IP报文头不被篡改。

    AH和ESP可以单独使用,也可以同时使用。
    AH和ESP同时使用时,报文会先进行ESP封装,再进行AH封装;IPsec解封装时,先进行AH解封装,再进行ESP解封装。

协议总结:

        IKE协议用于SA的建立(IKE/IPsec)SA,IkE协议有两个版本,V2版本提供了更好的安全性和协商效率,后面将介绍IKE协商的几个阶段和模式。

        AH 验证头,不对数据进行加密,在对IP报文的封装中,在IP报文头前加入一个AH头,验证范围是整个ip报文。

        ESP 对数据进行加密,在IP报文头后加入一个ESP头,在数据包后方添加ESP尾。(后面介绍ESP报文封装格式)

IPsec 使用的端口:

        IPsec 的建立主要进行IKE的协商,为使IKE协商报文顺利通过,应放开500端口,在nat穿越模式下,还需要放开4500端口。

        由于AH和ESP是网络层协议不涉及端口,为了使IPsec隧道能正常建立,通常还要在网关设备上配置安全策略放开AH(IP协议号是51)和ESP(IP协议号是50)服务。

BUG_MeDe
关注
  • 8
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
这样图解IPSec,非常适合大家学习讨论。
qq_43416206的博客
12-28 399
如上图所示,不难看出,IPSec 技术在原始IP 头部和 IP 负载之间插入了一个IPSec 头部,这样可以对原始的IP负载实现加密,同时还可以实现对IPSec 头部和原始IP 负载的验证,以确保数据的完整性。一般都是在出现纠纷后,例如,张三抵赖不还的时候,李四就可以把欠条拿出来,给法官这些有权威的第三方来进行验证,如果他们确认此欠条上的签名确实来自张三无疑,张三就不能再否认欠李四钱这一既定事实了。非对称密钥算法密钥数量少,密钥分发方便并且不存在安全隐患,但是加密速度奇慢,不可能用于大流量数据的加密。
IPsec VPN概述
Yo_ol的博客
04-12 369
IPsec VPN是一种通过Internet连接两个或多个远程网络的虚拟专用网络协议,提供了强大的安全性和隐私保护机制。IPsec VPN基于IP协议并使用加密技术来确保数据传输的机密性、完整性和身份认证。 本章会介绍IPsec VPN的工作原理、IPsec VPN的类型以及优势和缺点、IPsec VPN的安全性、IPsec VPN的部署方式、IPsec VPN的性能和扩展性、IPsec VPN的未来发展、部署IPsec VPN的实验过程。
IPSec VPN详解
rendongxingzhe的博客
08-15 7749
AH对数据包和认证密钥进行Hash计算,接收方收到带有计算结果的数据包后,执行同样的Hash计算并与原计算结果比较,传输过程中对数据的任何更改将使计算结果无效,这样就提供了数据来源认证和数据完整性校验。与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。分为两个阶段,第一个阶段是建立管理连接,第二个阶段是建立数据连接。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。
IPSec原理及应用
xnbr0215的博客
06-19 599
如果该数据包的源地址、目标地址、协议类型或端口号等与SPD中的某个条目匹配,则该数据包需要进行特定的保护措施,例如加密或认证。AH协议可以使用不同的哈希算法来计算数据包摘要,以确保数据包的完整性,同时还可以验证数据包的来源。通过解密和分析IPSec加密的数据包,审计机构可以获取网络流量的详细信息,从而发现潜在的安全风险。SPD是IPsec中非常重要的组成部分,因为它定义了网络流量的处理规则,决定哪些数据包需要进行保护,哪些不需要保护。每个SA都是唯一的,用于标识特定的通信双方和特定的安全服务。
IPSec VPN的原理与配置
2301_78256093的博客
06-14 8955
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
IPSEC VPN详解
weixin_57507186的博客
04-22 1万+
IPSEC 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。IPSEC VPN基于IPSEC构建在IP层实现的安全虚拟专用网。VPN-- virtual private network 虚拟私有网,利用隧道技术实现
IPSec VPN原理与配置
热门推荐
qq_61946091的博客
06-15 1万+
IPSec
IPSEC VPN详解+100%理解(大学生易读版)
qq_74338624的博客
10-26 5288
还在为ipsec庞大的知识体系苦恼吗,来这,有着最清晰的思路带你梳理解决
HCL模拟器IPSec VPN实验
05-13
HCL模拟器IPSec VPN实验
IPsec vpn ha 配置和截图
最新发布
07-02
IPsec vpn ha 配置和截图
配置IPSec技术介绍.pptx
10-13
配置IPSec技术介绍.pptx
深信服IPSec VPN MIG 4.3用户手册
05-04
深信服IPSec VPN MIG 4.3用户手册
ipsec VPN技术基础二)
BUG_MeDe的博客
06-04 3170
双方响应IKE安全提议报文,同时在自己配置的ipsec 安全规则中寻找匹配的安全规则,主要匹配:加密算法、认证算法、身份认证方法、DH组标识,需要双方具有相同的匹配,才能协商成功。其中的数据是加密的。启用PFS后,在进行IPSec SA协商时会进行一次附加的DH交换,重新生成新的IPSec SA密钥,提高了IPSec SA的安全性。该ISAKMP协商使用的主模式,IKE SA协商双方发送了6个报文,后面的IPsec SA的协商使用的快速模式。:保护一个网络中的设备的安全,通常是两台网关设备。
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8659
路由器基础(十二):IPSEC VPN配置
安全防御之IPsec VPN
weixin_67259816的博客
04-14 5062
文章主要是对IPSEC的总结和实践。包括架构的理解,流程的分析,在路由器和防火墙上的配置。
防火墙—IPSec VPN(NAT 穿透-双侧 NAT)
weixin_44080599的博客
06-05 3910
奇安信防火墙 IPSEC VPN 详解
IpsecVPN
m0_62665450的博客
04-26 1575
IpsecVPN是一种虚拟专用网络技术,用于在公共网络上建立私人网络连接。它可以在两个或多个网络之间创建一个安全的连接,使得用户可以像在同一网络中一样安全地访问数据和资源。这项技术广泛应用于企业网络中,使得远程工作的员工可以安全地连接到公司内部网络,访问公司资源,而不必担心数据泄露的风险。
防火墙上配置IPsec vpn (超详细附带思路看完就会)
weixin_52557120的博客
06-18 9876
在防火墙上配置ipsec vpn ,按照思路去配置一般不会出现差错,防火墙其实就是默认拒绝所有流量的路由器,可以这么理解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值