8、防火墙IPSec VPN技术

心里.有我

已于 2024-09-30 15:30:43 修改

阅读量451

点赞数 18

分类专栏：安全IA 文章标签：网络

于 2024-09-30 15:30:27 首次发布

本文链接：https://blog.csdn.net/m0_64351799/article/details/142657567

版权

安全IA 专栏收录该内容

8 篇文章 0 订阅

订阅专栏

IPSec不是一个单独的协议，由一系列安全协议组成，保证端到端IP通信的安全性。

IPSec VPN基于安全协议AH验证头、ESP封装安全载荷实现对数据的保护，包括机密性、数据完整性校验、身份验证等安全特性

1、AH不支持加密，仅仅支持完整性校验算法，MD5、SHA-1、SHA-2等

2、ESP在AH基础上可支持加密算法，DES、3DES、AES、SM1/4等

IPSec VPN如果需要对数据做加密，算法、安全协议手工配置，系统内置，对于数据加解密的对称密钥如何得到？

1、手工配置，不建议、管理维护复杂、配置量大，容易泄露

2、通过IKE实现对称密钥生成，两台建立IPSec VPN的设备之间会交互控制报文动态在互联网上推导出一致的密钥，过程绝对安全。

IKE（互联网密钥交换协议）核心是DH算法，建立IPSec VPN的设备之间通过DH算法交互，动态生成、分发，用于保护数据的对称密钥。

IKE也不是一个单独协议，是一个协议框架，由其他协议、算法组成，IKE有两个版本，IKEv1/v2

IKEv1交互框架：

阶段一：

主模式，交互效率低，安全性比较高 6个包交互

野蛮模式，交互效率高，安全性不急主模式 3个包交互

阶段二，3个包交互，称之为快速模式

A<----------->B

阶段一，主模式，6个包交互，建立IKE SA

----->1

2<-------

(交互协商保护IKE自己的安全算法，两边必须一致，一般手工配置)

----->3

4<-------

(执行IKEv1 DH交换，协商出保护IKE自己、以及阶段2、以及后续针对业务流加密的安全密钥和相关密钥材料)

注意：只要阶段1第3、4个包交互完成，保护自己后续报文交互的密钥（包括阶段2）就可以生成

----->5* *表示加密

6<-----*

（建立IKE SA的双方，设备之间进行验证对方的身份，防止非法设备接入，身份信息是被加密传输的）

阶段二，快速模式，3个包交互，建立IPSec SA，该阶段交互受阶段1保护（协商对数据流的保护，例如：安全协议AH or ESP、安全算法、对数据的封装模式（隧道模式 or 传输模式），结合阶段1推导出相关密钥材料，实现对数据流的加解密）

----->1*

2<-----*

------>3*

SA安全联盟：

1、IKE SA 不会直接保护数据流，保护自己，阶段1、2交互推导以及材料

2、IPSec SA 直接实现对数据流的保护，协商保护数据流安全协议、算法（加密；认证）、流量封装模式

IPSec site to site配置思路：

1、配置被保护的数据流，需要定义哪些流量需要被IPSec所保护

acl number 3000

rule 5 permit icmp source 10.1.12.0 0.0.0.255 destination 10.1.23.0 0.0.0.255

2、配置IKE安全提议，即协商阶段一相关安全算法，必须一致

ike proposal 1  //都是默认
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256

3、配置IKE对等体关系，调用IKE安全提议，决定与对端哪台墙建立IKE SA

ike peer to_fw2
undo version 2
pre-shared-key Huawei@123
ike-proposal 1
remote-address 10.1.102.1

4、配置IPSec安全提议，定义被保护的数据流采用什么安全协议、算法、封装模式

ipsec proposal 1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256

5、配置IPSec安全策略，调用被保护的数据流，IKE对等体，IPSec安全提议；该IPSec策略在相关接口调用

ipsec policy policy_1 10 isakmp
security acl 3000
ike-peer to_fw2
proposal 1
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 10.1.101.1 255.255.255.0
service-manage ping permit
ipsec policy policy_1

默认情况下，IPSec配置完成后，IKE SA、IPSec SA建立需要被保护的数据流出发，或者可以在IPSec策略下执行一条命令，接口绑定了IPSec策略，无法流量触发，两台设备自动发起IKE协商建立SA信息。

实际上IPSec SA是一个逻辑的双向通道，只要IPSec SA在设备上建立了，包含出、入方向IPSec安全联盟，即单向通道，每条SA如何标识？

通过IPSec SA三要素，分别是SPI、安全协议、目的地址；本地out SA对应对方对方的in SA，本地in SA对应对方的out SA。

A<------>B

out ------ in 使用对称密钥k1加解密

in ------ out 使用对称密钥k2加解密

IPSec安全策略：

1、在防火墙上需要放行业务流量，根据业务流的源IP、目的IP确定安全区域

2、放行关于建立IKE SA、IPSec SA的安全策略，要求双向放行，因为两台墙都可以作为SA的发起方以及接受方；SA建立好之后，基于IPSec SA的安全协议封装流量，可以是ESP or AH（ESP或者是AH的流量出方向不受安全策略匹配，类似出向GRE不受控一样，被VPN封装后的数据不受策略匹配控制）

3、对于接受方收到AH、ESP流量，是需要匹配安全策略，然后解封装、解密得到明文业务数据，针对明文业务数据还是需要匹配安全策略。