IPSecVPN

最新推荐文章于 2024-07-17 14:39:25 发布
最新推荐文章于 2024-07-17 14:39:25 发布
阅读量101 收藏
点赞数
分类专栏: 学安全必备网络知识(不包括命令) 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73932844/article/details/132863812
版权

1**)知识点列举**

1.VPN概念

2.信息安全三要素

3.IPSec

4.对等体与隧道

5.SA

6.AH和ESP

7.封装模式

2**)学习流程**

(**1)VPN概念**

为了实现不同局域网内部之间互相访问,原先使用搭专线方法,现在使用虚拟专用网络

虚拟专用网络(virtual private network),在公用网络上建立专用网络,进行加密通信。可以实现在不安全的网络上,安全的传输数据和连接不同的局域网。

为什么会用到VPN?

为了让两个距离较远的局域网,可以随意访问对方的内网数据。

(**2)信息安全三要素**

①保密性**——保证数据在传输时不被泄露**

对称加密:加密和解密使用同一个密钥

密钥经过双方协商之后,明文传输 ——> 密钥容易泄露,数据并不是绝对的安全

算法:DES 3DES AES ———加解密速度块,但保密性差

非对称加密:加密和解密的密钥是不同的,分为公钥和私钥

每个人的公钥和私钥都是自己生成且独一无二的

公钥对公网公开,私钥自己私密保管不公开

数据加密:使用公钥进行加密,加密的数据只能使用对应的私钥解密

数字签名:使用私钥进行加密,加密的数据只能使用对应的私钥解密

算法:RSA算法、DSA算法、ECC算法、DH算法 ———保密性强,功能更强,但加解密速度慢

ipsecVPN数据数据加密过程?

首先,分部会发送公钥N给总部,总部收到以后,会使用公钥N加密对称密钥A,然后再发送给分部。这个时候加密的数据只有使用私钥P才能解密,所以只有分部才能解密,保证了数据传输的安全性。

②完整性**——保证数据在传输时不被篡改**

Hash函数(散列函数):将任意长度的信息转换成固定长度的哈希值,不同信息生成的哈希值是不同的

Hash算法:MD5/SHA(1/256/512)/SM3(国产)

③可用性**——保证授权用户能对数据进行可靠的访问**

(**3)IPSecVPN**

互联网安全协议(Internet Protocol Security),是一些相互关联的协议的集合,是框架不是协议

①认证头(AH)

②封装安全载荷(ESP)

③安全联盟(SA)

④密钥协议(IKE):网络密钥交换协议,属于一种混合型协议,由Internet安全关联和密钥管理协议

(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成

4)对等体与隧道**

IPSec对等体:建立隧道的两端

IPSec隧道:数据传输的通道

ipsec框架之ike 混合协议:   主导隧道的建立过程。

自动为IPsec协商密钥,建立IPsec安全联盟服务,简化IPsec的使用和管理,简化配置和维护工作。

5)SA**

安全联盟(Security Association),是通信对等体间对某些要素的协定,包括:对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密和验证算法,以及用于数据安全转换、传输的密钥和SA的生存周期等。

SA是单向的,in方向和out方向各需要一个SA

SA由三元组唯一标识:安全参数索引、目的IP地址、安全协议号(AH:51/ESP:50)

建立SA的方式:①手工方式 ②IKE自动协商

IKE身份认证:①预共享密钥认证 ②数字证书 ③数字信封

(*6)AH和ESP**

验证头部协议(Authentication Header),主要用于验证IP头部

AH封装:在报文第三层网络层和第四层传输层之间插入一个AH头,用协议号51标识,会对从网络层到应用层进行一个验证

封装安全载荷协议(Encapsulating Security Payload),主要用于加密

ESP封装:在报文第三层网络层和第四层传输层之间插入一个ESP头,用协议号50标识,会对从传输层到应用层进行一个验证,并进行加密

7)封装模式**

①传输模式

当全网拥有通信点的路由信息时使用传输模式

通常使用AH封装,不能跨越公网

可以验证数据的真实性,完整性,抗重放,不加密私有报头,使用摘要算法(单向的Hash函数)实现该特性

IPSec头放在原始IP头后

验证区域:IP头部+AH头部+TCP/UDP头部+数据(可变字段除外)

ESP头部+ TCP/UDP头部+数据+ESP尾部

AH不支持NAT和PAT(端口复用NAT,NAPT)

②隧道模式

当全网没有通信点的路由信息时使用隧道模式

通常使用ESP封装,可以跨越公网

可以验证数据的真实性,完整性,抗重放,加密所有私有报头(包括IP头)

IPSec头放在原始IP头前,另外生成一个新的IP头(VPN虫洞)放在IPSec头前

验证区域:新IP头部+AH头部+ IP头部+ TCP/UDP头部+数据(可变字段除外)

新IP头部+ESP头部+IP头部+TCP/UDP头部+数据+ESP尾部

普通的ESP只支持NAT,但不支持PAT,可以通过NAT穿越(NAT-T)来解决{华为防火墙默认开启NAT-T功能}

安全性:隧道模式隐藏源IP头信息,安全性更高

性能:隧道模式新增了额外的IP头,因此会占用更多的带宽

ipsecVPN容易遇到的问题总结:

1.路由配置有误

2.ACL的掩码调用错误,例如:放行192.168.0.0 255.255.0.0这个段的时候反掩码写成了0.0.0.255

3.预共享密钥配置错误

4.接口调用错误

5.安全策略

アイシン
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
飞塔防火墙IPSECVPN配置简单步骤.pdf
12-25
飞塔防火墙IPSECVPN配置简单步骤.pdf
关于加密算法和IPSECvpn的理解.pdf
11-25
关于加密算法和IPSECvpn的理解.pdf
ipsec 详解
热门推荐
qq_40390383的博客
09-01 3万+
目录 加密算法 对称加密算法 非对称加密算法 DH算法 RSA 公钥+私钥 (成对出现) IPsec IPSec VPN简介 ipsec的工作模式 IPsec通信协议 1、AH协议(Authentication Header,认证报头) 2、ESP协议 IPSec vpn建立 IKE Ipsec数据传递图 对于ipsec vpn 最重要的是安全 安全 三要素 安...
IpsecVPN
m0_62665450的博客
04-26 1555
IpsecVPN是一种虚拟专用网络技术,用于在公共网络上建立私人网络连接。它可以在两个或多个网络之间创建一个安全的连接,使得用户可以像在同一网络中一样安全地访问数据和资源。这项技术广泛应用于企业网络中,使得远程工作的员工可以安全地连接到公司内部网络,访问公司资源,而不必担心数据泄露的风险。
IPSECvpn技术
m0_62738649的博客
08-08 30
这个隧道提供了安全的端对端通信,并使用在IKE协商中协商的加密、认证和完整性保护算法来保护数据。真正的加密和完整性保护是由IPsec提供的,这是一个独立的协议。IKE协商阶段二:在第二阶段中,双方在之前建立的安全关联上交换会话密钥,并协商加密、认证和完整性保护算法。这些算法将用于保护通过VPN隧道传输的数据。IKE协商阶段:在IKE通信的第一阶段中,两个端点之间交换身份验证信息,并创建一个共享的随机密钥。Vpn就是通过公网建立一个加密隧道,连接两个私网网络之间的通信需求,实现安全隐私的远程访问的通讯技术。
防火墙/ACL/IPsecVPN专题
flytalei的博客
04-23 928
软考中直接涉及分值约4-10分,主要掌握一些防火墙的基本配置命令和基于域间安全的配置。涉及的知识点主要有接口地址配置,区域安全策略配置,ACL配置等。
【华为】IPSecVPN
走马
05-10 788
传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec作为一种开放标准的安全框架结构,可以用来证IP数据报文在网络上传输的机密性,完整性和防重放。IPSec不是一个单独的协议,它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。安全联盟定义了IPSec对等体间将使用的数据封装模式,认证和加密算法,密钥等参数。安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA。:企业分支可以通过IPSec VPN接入到企业总部网络。IKE协议提供秘钥协商,建立和维护安全联盟SA等服务。
IPsecVPN配置命令
XX9566的博客
01-17 382
IPsecVPN
思科路由器ipsecvpn高级配置
IT技术
03-13 3796
完成: 所有的分支和总部都可以ipsecvpn互防,且都能上公网访问服务器。 分支和分支也能ipsecvpn访问,走的是总部跳转。 总部路由配置: bj-router#show running-config Building configuration… Current configuration : 1627 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime .
防御—IPsecVPN
tang_jun_yi的博客
10-05 328
身份认证是指确认一个实体是其所声称的实体的过程。在计算机和网络安全领域中,身份认证通常指通过验证用户提供的凭证(如用户名和密码、数字证书、生物特征等)来确认用户的身份。身份认证的作用是保护计算机和网络系统中的敏感信息和资源,防止未经授权的用户访问和操作。身份认证可以用于许多场景,例如:在网上购物或银行业务中,用户需要进行身份认证才能保护其账户和支付信息的安全;在企业网络中,身份认证可以确保只有经过授权的用户才能访问敏感信息和资源;在政府或军事系统中,身份认证可以保护国家机密和重要信息的安全。
山石网科PPPOE+IPsecVPN配置注意事项
normanhere的博客
04-27 396
隧道 有2种配置方法,一种是不配置IP地址,另外一种是配置IP地址 ,特别需要注意,如果配置IP地址(跑路由)那么隧道绑定这里也需要填写对端隧道口的路由信息(就是截图里面的网关必须写)其次分支机构因为是PPPOE拨号 ,所以 需要将自己指定为发起者 并且关闭对端存活检测(由于PPPOE分配到IP一来会发生变化,而来可能不是公网。同样的,如果隧道口配置了IP地址 则写静态路由的时候需要指定下一跳,如果不写隧道IP地址,下一跳空着。通过排查,首先排除隧道内NAT 详见图片1-2。最后安全策略放行,流量就通了。
华为路由器多台设备IPSecvpn隧道配置案例汇编.pdf
11-30
华为路由器多台设备IPSecvpn隧道配置案例汇编.pdf
ipsecvpn总结.pdf
11-28
ipsecvpn总结.pdf
毕业设计 基于DPDK的IPSecVPN实现源码+部署文档+全部数据资料(优秀项目).zip
04-23
毕业设计 基于DPDK的IPSecVPN实现源码+部署文档+全部数据资料(优秀项目).zip毕业设计 基于DPDK的IPSecVPN实现源码+部署文档+全部数据资料(优秀项目).zip 【备注】 1、该项目是个人高分毕业设计项目源码,已获...
SpringBoot整合SSE,实现后端主动推送DEMO
最新发布
zjy660358的专栏
07-17 149
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 388
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 653
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
gre over ipsecvpn的作用
07-12
GRE over IPSec VPN是一种在Internet上通过加密隧道连接不同网络的方法。它使用IPSec协议提供安全性和GRE协议提供多协议的封装和传输。GRE(通用路由封装)是一种用于封装和传输其他网络协议的协议。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

アイシン

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值