防火墙——IPSec协议框架(IPSec1)

已于 2023-10-06 20:21:18 修改
阅读量6.7k 收藏 10
点赞数
分类专栏: # 网络安全FW理论讲解 文章标签: p2p 网络协议 网络
于 2022-05-17 10:41:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49864110/article/details/124816315
版权

目录

基本概念

安全联盟SA

IPSec对等体

基本概念

SA建立方式

SA唯一标识符

安全协议

AH和ESP协议类型比较

报文封装模式

加解密、验证算法

密钥交换

IPSec如何确定保护哪些数据流量

ACL方式

路由方式

基本概念

IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合

安全联盟SA

IPSec对等体

       运行IPSec协议的两个端点称为IPSec对等体

基本概念

       SA是通信对等体间对某些要素的约定

       SA定义了IPSec对等体间将使用的安全协议、数据封装模式、验证算法、加密算法、密钥、SA生存周期等参数。

       IPSec安全传输数据的前提是在IPSec对等体之间成功建立安全联盟

SA建立方式

手工方式建立SA

IKE自动协商方式建立SA

SPI生成方式

手工配置SPI

SPI随机生成

SA参数生成方式

手工建立SA所需的全部参数(加密、验证密钥等)

建立SA的参数由DH算法生成

SA生存周期

永久存在

生存周期由双方配置的生存周期参数控制

  1. IPSec SA的建立是单向的,并且其SA的个数还与安全协议有关
  2. 当只使用AH或ESP来保护两个对等体之间的流量,则对等体之间就有两个SA,每个方向上一个。
  3. 如果对等体同时使用了AH和ESP,那么对等体之间就需要四个SA,每个方向上两个,分别对应AH和ESP。

SA唯一标识符

              通过以下三元组来进行唯一标识

安全参数索引SPI

       SPI是一个32位比特的数值,指向一张安全关联表指针。封装在AH和ESP头部中

目的IP地址

目前仅允许单播地址,是SA的目的端点地址

安全协议号

       标识是AH还是ESP

安全协议

IPSec使用两种IP传输层的安全协议对传输报文进行封装来提供认证、加密等安全服务

AH和ESP协议类型比较

AH: 报头验证协议

在每一个数据包的标准IP报头后面添加一个AH报文头

ESP:封装安全载荷协议

在每一个数据包的标准IP报头后面添加一个ESP报文头,并在数据包后面增加一个ESP尾部

协议比较

报文封装模式

主要分为传输模式和隧道模式,将AH或者ESP的相关字段插入到原始IP报文中,以实现对报文的认证和加密。

注意:AH-ESP封装 :先根据ESP协议对报文进行封装,再根据AH协议进行封装

防火墙——图解常用隧道技术的数据报文解封装过程(详细)-CSDN博客

传输模式

AH头或ESP头被插入到IP头与传输层协议之间

由于未添加额外的IP头,所以原始报文中的IP地址在加密后的报文中可见

源目IP可能是私网地址(因为传输模式不对源目IP做任何操作)

一般用于VPN嵌套的情况(可以避免重复封装IP地址  例如L2TP over IPSec、GRE over IPSec)

封装模式

AH头或ESP头被插到IP头(旧IP头)之前,另外再AH头或ESP头前再生成一个新的IP头

由于添加额外的IP头,所以原始报文中的IP地址再加密后的报文中不可见

一般用于私网与私网互访没有VPN嵌套的情况

加解密、验证算法

加解密——IPSec采用对称加密算法进行数据加密和解密

验证——加密后的报文通过HMAC生成数字签名,将数字签名填写在ICV字段(AH头或ESP头部中的认证字段)中发送过去

密钥交换

在网络中安全的共享对称密钥,实现加密、验证等

密钥交换方式(同SA建立方式)

手工配置密钥(带外共享密钥)

在发送、接收端手工配置密钥进行交换,手工建立SA

动态分发密钥(使用密钥分发协议)

IKE使用DH在网络上安全的分发密钥,动态建立SA

IKE下章详细介绍

IPSec如何确定保护哪些数据流量

IPSec通过定义感兴趣流来筛选出来要保护的流量,让这些流量通过IPSec加密隧道传输

当数据匹配感兴趣流时,会进入感兴趣流对应的隧道,以此来控制不同的数据走不同的隧道

(例如:IPsec与多分支建立IPsec的实验中,总部配置多个ACL(感兴趣流)来使得不同的数据走不同的隧道,使得分支之间通过总部互通

IPSec多分支实验配置_多谢思考的博客-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/m0_49864110/article/details/124909846

ACL方式

手工方式和IKE自动协商方式建立的IPSec隧道是由ACL来指定要保护的数据流范围

ACL规则允许(permit)的报文将被保护,未匹配任何permit规则的报文将不被保护。

这种方式可以利用ACL的丰富配置功能,根据IP地址、端口、协议类型等对报文进行过滤进而灵活制定IPSec的保护方法。

路由方式

通过IPSec虚拟隧道接口建立IPSec隧道是根据目的地址来确定要保护的数据流范围

将所有路由到IPSec虚拟隧道接口的报文都进行IPSec保护,根据该路由的目的地址确定哪些数据流需要IPSec保护。

其中IPSec虚拟隧道接口是一种三层逻辑接口。


路由方式具有以下优点:

  1. 通过路由将需要IPSec保护的数据流引到虚拟隧道接口,不需使用ACL定义待加/解密的流量特征,简化了IPSec配置的复杂性。
  2. 支持动态路由协议。
  3. 通过GRE over IPSec支持对组播流量的保护。
静下心来敲木鱼
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
08-18
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
安卓手机的IPSec /PPTP/L2TP连接
热门推荐
Lin_ylcsxh_045的博客
02-17 2万+
安卓手机选择IKEv2/IPsec MSCHAPv2;IKEv2/IPsec PSK; IKEv2/IPsec RSA;PPTP;L2TP/IPsec PSK; L2TP/IPsec RSA; IPsec Xauth PSK; IPsec Xauth RSA; IPsec Hybrid RSA途径
IPsec VPN配置方式
最新发布
Mario_Ti的博客
03-09 1697
文章详细介绍了IPsec VPN配置方式,有手工方式以及IKE方式,其中IKE方式又有IKEv1、IKEv2以及点对点、点对多点的问题,其中模板方式是一种能够简化配置的方式。
IPSEC 建立点到多点SA.doc
05-09
IPSEC 建立点到多点的连接,满足固定ip和非固定ip的应用场合。
新软nusoft防火墙ipsec设定
08-06
nusoft 防火墙的各种设定文档
思科路由器和山石网科Hillstone防火墙对接IPSec.doc
09-29
IPSec是一个安全协议组,他可以为我们数据传输提供私密性(加密)、完整性校验(Hash)、源认证(Hmac或者数字签名技术)。IPSec 工作的时候会用到IKE(互联网密钥交换)协议,IKE有两个版本,目前版本1和版本2都被广泛使用。
网际层的安全协议——IPSec
Neonline254的博客
11-08 4696
IPSec——一种在网际层实现安全传输的机制,本文帮助你快速了解其基本工作方式。
IPsec IKEv1中预共享密钥下使用标识符进行表示出现的问题
qq_47529104的博客
05-04 6529
问题描述 如图所示,在IKEv1的主模式下使用标识符的方式而不是使用IP地址的方式去标识IPsec的双端就会导致主模式无法协商完成的情况,其主要原因就是主模式无法根据第一次数据报的交互中找寻到相关的预共享密钥用于后续的密钥生成,所以这就是主模式无法协商成功的原因以及野蛮模式出现的原因。 当使用IKEv2时 和上面的场景一模一样的配置,当我将版本切换成IKEv2后就可以进行正常的交互。 ...
Android 11 的新功能概览 和 API 概览
冯旭的博客
10-15 3217
功能和 API 概览 Android 11 面向开发者引入了一些出色的新功能和 API。以下几部分内容可帮助您了解适用于您的应用的功能并开始使用相关 API。 有关新增、修改和移除的 API 的详细列表,请参阅API 差异报告。如需详细了解新的 API,请访问Android API 参考文档— 新 API 会突出显示以方便查看。此外,如需了解平台变更可能会在哪些方面影响您的应用,请务必查看会影响以 Android R 为目标平台的应用和所有应用的 Android 11 行为变更,以及隐私权变更。 ...
IPSec简介
tangyangyu123的博客
06-25 1万+
1 IPSec协议简介针对Internet安全需求,IETF(因特网工程任务组)于1998年11月颁发了IP层安全协议IPSec。它不是一个单独的协议,而是一组协议IPsec是ip安全协议标准,是在IP层为ip业务提供保护的安全协议标准,其基本目的就是把安全机制引入IP协议IPSec在IPv6中必需支持,在IPv4中则是可选的。2 体系结构2.1 SA(安全关联)1)SA简介SA是IPSec提...
思科路由器对接山石网科防火墙——IPSec.doc
08-18
思科路由器对接山石网科防火墙——IPSec.doc
第10章 网络安全(4)_网络层安全IPSec
CherishPrecious的博客
11-23 889
5. 网络层安全IPSec 5.1 IPSec协议 (1)前面使用Outlook进行数字签名和数字加密是应用层实现的安全。安全套接字实现的安全是在应用层和传输层之间插入了一层来实现数据通信安全。而IPSec网络层实现的安全。不需要应用程序的支持,只要配置通信双方的安全规则,传输层的数据传输单元就会被加密后封装到网络层,实现数据通信安全。IPSec工作在OSI模型的网络层。 (2)IPSec...
华为路由器:ipsec技术
迷逝
11-18 1432
实验拓扑 R1 按照拓扑配置好IP地址 这里省略。 R2配置 [R2]ip route-static 0.0.0.0 0 10.10.10.2 #加一条路由,使得两个公网IP互通 [R2]acl 3000 [R2-acl-adv-3000]rule permit ip source 192.168.11.0 0.0.0.255 destination 192.16 8.12.0 0.0.0.255 创建ipsec的安全提议 [R2]ipsec proposal pokes [R2-ipsec
IPsec
weixin_41324527的博客
04-05 5361
1. IPsec 概述 IPSec(IP security)是一种开放标准的框架结构,特定的通信方之间在IP层通过加密和数据摘要(hash)等手段,来保证数据包在Internet网上传输时的私密性(confidentiality)、完整性(data integrity)和真实性(origin authentication)。 IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议。 通过加密保证数据的私密性 对数据进行hash运算来保证完整性 通过身份认证保证数据的真实性 预共享密钥 数字签名
安全设备-华为防火墙NAT环境配置IPSec
qq_43381463的博客
11-03 3031
在华为防火墙NAT环境下配置IPSec——NAT穿透
华为防火墙检测ipsec的命令
03-27
华为防火墙检测ipsec的命令包括: 1. display ike sa:显示IKE会话信息。 2. display ipsec sa:显示IPSec安全联盟信息。 3. display ipsec statistics:显示IPSec统计信息。 4. display ike statistics:显示IKE统计信息。 5. display ike peer:显示IKE对端信息。 6. display ipsec policy:显示IPSec策略信息。 7. display ike proposal:显示IKE提议信息。 8. display ike version:显示IKE版本信息。 9. display ike debugging:启用IKE调试信息。 10. display ipsec debugging:启用IPSec调试信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

静下心来敲木鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值