使用IPsec保证IP数据报文在网络上安全传输

已于 2022-07-18 15:15:17 修改
阅读量925 收藏 3
点赞数 1
分类专栏: 网络传输 文章标签: 网络 tcp/ip 安全
于 2022-07-18 14:48:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41225906/article/details/125843804
版权

文章目录

摘要

IPSec 主要由AH、ESP和IKE协议套件来实现IP数据报文的安全传输,AH提供认证和校验功能,ESP除了提供AH协议的所有功能外还提供对IP报文的加密功能。IPsec 有传输模式和隧道模式,其中隧道模式可以隐藏数据包的源ip地址。

一、IPsec架构

  • SA用来定义两个通信对等体间使用的数据封装模式、认证和加密算法、秘钥等参数。
  • 使用IKE只需要通信对等体间配置好IKE协商参数,IKE就能自动协商来创建和维护SA,适用于中、大型的动态网络环境中。
  • AH提供认证和校验功能,ESP提供除了AH的功能外还提供加密功能。

在这里插入图片描述

  • 隧道模式加密点不等于真实通讯地址,隐藏了源ip。

在这里插入图片描述

  • 传输模式加密点等于通讯点
    在这里插入图片描述

二、IPsec 手动配置

示例拓扑图

在这里插入图片描述

1、配置网络可达:

AR1:
interface GigabitEthernet0/0/0
 ip address 10.1.1.254 255.255.255.0
interface GigabitEthernet0/0/1
 ip address 20.1.1.1 255.255.255.0
ip route-static 30.1.1.0 255.255.255.0 20.1.1.2

AR2:
interface GigabitEthernet0/0/0
 ip address 20.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
 ip address 30.1.1.254 255.255.255.0
ip route-static 10.1.1.0 255.255.255.0 20.1.1.1

2、配置ACL识别感兴趣流

AR1:
acl number 3001  
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 30.1.1.0 0.0.0.255

AR2:
acl number 3001  
 rule 5 permit ip source 30.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

3、创建安全提议

AR1和AR2:
ipsec proposal tunnel
 encapsulation-mode tunnel //配置封装模式为隧道模式
 esp authentication-algorithm sha2-256  //配置认证算法是sha2-256
 esp encryption-algorithm aes-128  //配置加密算法是aes-128

在这里插入图片描述

4、配置安全策略

  • 安全策略将要保护的数据与安全提议绑定
AR1:
ipsec policy p1 10 manual //创建安全策略p1,手动方式
 security acl 3001 //绑定数据流ACL3001
 proposal tunnel //绑定名字为tunnel的安全提议
 tunnel local 20.1.1.1 //配置本地端口ip
 tunnel remote 20.1.1.2 //配置对端端口ip
 sa spi inbound esp 12345 //配置本端入方向SA的安全参数索引SPI,必须和对端的出方向SA的SPI值相同
 sa spi outbound esp 54321 //配置本端出方向SA的安全参数索引SPI,必须和对端的入方向SA的SPI值相同
  sa string-key inbound esp simple huawei //配置本端的入方向安全密钥,必须和对端的出方向安全密钥相同
 sa string-key outbound esp simple huawei //配置本端的出方向安全密钥,必须和对端的入方向安全密钥相同

AR2:
ipsec policy p1 10 manual
 security acl 3001
 proposal tunnel
 tunnel local 20.1.1.2
 tunnel remote 20.1.1.1
 sa spi inbound esp 54321
 sa string-key inbound esp simple huawei
 sa spi outbound esp 12345
 sa string-key outbound esp simple huawei

5、应用安全策略

AR1:
interface GigabitEthernet0/0/1
ipsec policy p1

AR2:
interface GigabitEthernet0/0/0
ipsec policy p1

6、验证

display ipsec statistics esp
  • 可以看到经过加密的数据包数量

在这里插入图片描述

总结

以上阐述了IPsec 的几种协议套件、架构和手动配置的方法,相信会对你入门和加深理解IPsec 的原理提供很大的帮助。

微瑟秋风
关注
专栏目录
CIAA 网络安全模型 — 数据传输安全
烟云的计算
05-10 3252
后续,当 Server 向 Client 发送数据时,中间人故技重施的将数据劫持,用一开始劫持的 Public Key 进行解密后,对数据进行篡改,然后再使用非法的 Private Key 对数据进行加密发送给 Client,而 Client 也会使用非法的 Public Key 进行解密。CA 通常是可信任的第三方机构,能够对数据签名证书的真实性和有效性进行认证,全球性的 CA 机构有:Symantec、Comodo,GlobalSign,DigiCert,GeoTrust 等等。
网络协议 — IPSec 安全隧道协议族
烟云的计算
05-25 3886
安全封装协议(Encapsulating Security Payload,ESP)也是一种封装协议,与 AH 不同的是,ESP 会将 IP 数据包中的 Payload 进行加密后再封装到 IP 数据包,以保证数据的机密性,但 ESP 没有专门对 IP Header 的内容进行保护。在对身份保护要求较高的场合,则应该使用主模式。值得注意的是,IKE 不是简单的在网络传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
IPSEC安全传输总结------何为安全?如何保障企业的数据安全传递?
热门推荐
ZhangPengFeiToWinner的博客
11-27 1万+
IPSEC(IP Secure) VPN:做一个安全的隧道。 什么是安全安全的黄金三角(机密性、完整性、认证<即合法性>) 另外还需要防止的一些不安全因素:防重放攻击、防中间人攻击。 1> 机密性:对原始的数据进行改头换面,出来数据所发出的源和他要去往的目的地,其他人一概不能识别该数据。 实现机密性对应的两种算法: 对称加密算法:对于数据的加、解密使用的是同一把密钥。 ...
ipsec 安全策略
weixin_33918114的博客
08-18 798
ipsec 安全策略 IPSec协议简介 针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP安全标准IPSecIPSecIP层对数据包进行高强度的安全处理,提供包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务。...
IPSEC安全策略
weixin_33755649的博客
02-23 723
IPSEC安全策略 2008-11-09 15:10:53  标签:安全 IPSEC 策略    [推送到技术圈] 一、 安全策略的含义 策略位于安全检查规范的最高一级,是决定系统的安全要素。安全策略定义了系统中哪些行为是允许的,哪些是不允许的。按ISO安全参考模型,安全策略建立在授权行为这一概念之上。按授权...
IP报文字段
m0_53804791的博客
12-11 3284
ip报文字段4位版本号4位首部长度8位服务类型16位总长度16位标识, 3位标志, 13位片偏移8位生存时间TTL 4位版本号 代表是ipv4, 还是ipv6协议 4位首部长度 代表ip报文头部长度, 变长的 8位服务类型 就是代表这个ip更注重于什么要求 16位总长度 ip报文的总长度, 最大为2的16次方为64K, 和UDP一样最大长度为64K 但是他们两个有个区别是, UDP不支持自动的拆包和组包 想要实现需要用户自己在应用层实现. 但是ip协议, 支持自动的拆包和组包 下面要介绍的三个字段则
网络安全IPSec安全策略
本散修的一些学习心得与笔记,道友请自便。
01-03 1607
使用Windows Server 2003系统。实现IPSec安全策略。
你知道在网络中存在哪些安全隐患吗?IPsec如何保护网络安全
11-19 5659
你知道在网络中存在哪些安全隐患吗? 你知道IPsec如何解决这些安全隐患吗? 你知道IPsec的隧道模式和传输模式区别是什么吗? 你知道华为设备如何配置IPsec吗? 别慌!不知道也没有关系,今天学姐就来跟大家讲一讲~ 网络世界存在哪些安全隐患 1、数据泄露 互联网是开放的,大家都接入互联网,确实让我们的生活和工作更加便利,但是黑客也更容易窃取数据,个人数据被盗会导致各种电信诈骗电话,企业数据被盗可能导致核心研发机密被不法分子获取,带来更大的经济损失。 2、数据篡改 ..
网络安全自学教程》- TCP/IP协议栈的安全问题和解决方案
最新发布
wangyuxiang946的博客
06-18 9413
TCP/IP协议栈的安全问题和解决方案
网络安全协议之IPSec协议
buctwx的博客
03-06 1794
IPSec协议
IP网络报文透明加解密(for windows)
08-14
IP网络报文透明加解密系统测试版(for windows) 一、简介: IP网络报文透明加解密系统采用内核级实现透明加解密保证程序性能达到最 佳,加密IP报文保证数据网络传输过程安全性。 二、功能说明 1.测试版本不支持指定特定IP加密,密码协商,密钥的定期自动更换等功能 2.测试版本加密算法采用与0x01异或来模块AES分组加密,正式版本可以支持 AES,DES等多种密码算法,根据需求也可以支持硬件加密算法。 3.正式版本TCP性能可以做进一步优化,提高TCP传输的效率 。 使用说明: 机器A(加密模块)《-------------------》机器B(加密模块) 两台机器同时加载IP网络报文透明加解密模块,此时机器A和机器B之间网络通信的IP报文将采用密文形式传输防止别人窃取数据,从而保证数据传输过程中的安全
IP网络报文透明加解密系统
07-19
IP网络报文透明加解密系统测试版 一、简介: IP网络报文透明加解密系统采用内核级实现透明加解密保证程序性能达到最 佳,加密IP报文保证数据网络传输过程安全性。 一、运行环境 1. fedora 13 系统(内核版本:2.6.33.3-85.fc13.i686.PAE)下运行。 二、功能说明 1.测试版本不支持指定特定IP加密,密码协商,密钥的定期自动更换等功能 2.测试版本加密算法采用与0x01异或来模块AES分组加密,正式版本可以支持 AES,DES等多种密码算法,根据需求也可以支持硬件加密算法。 3.正式版本TCP性能可以做进一步优化,提高TCP传输的效率 。 使用说明: ./start.sh #加载IP网络报文透明加解密模块 ./stop.sh #卸载IP网络报文透明加解密模块 机器A(加密模块)《-------------------》机器B(加密模块) 两台机器同时加载IP网络报文透明加解密模块,此时机器A和机器B之间网络通信的IP报文将采用密文形式传输防止别人窃取数据,从而保证数据传输过程中的安全。 需要其它linux系统测试,欢迎把系统版本和内核版本留给我。
IP Sec中的加密机制
weixin_33881041的博客
11-08 1090
IP Sec中的加密机制是通过IKE来实现的,在看《IPSec及IKE原理》的时候对哈希算法和Diffie-Hellman密钥交换算法有点不太清楚,就到网上找了找关于这两个算法的文章。 哈希(Hash)值 哈希算法将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文...
使用IP安全策略(IPSec)提高服务器安全
acura的专栏
09-13 641
现如今的网络非常不安全,有很多国外的IP(肉鸡,傀儡机)对你的服务器进行端口扫描,发现漏洞,然后进行暴力破解,一旦攻入成功,你的服务器就变成他们的新肉鸡或者植入木马病毒对你进行勒索。如果你想服务器端口只想被国内IP访问,那么我今天分享一个利用IPSec策略的脚本工具,Windows系统下(从2000,2003,2008,2012,2016,2019,2022)都可以使用
利用IPSec使用策略和规则提升网络安全
weixin_34123613的博客
12-31 200
  利用IPSec使用策略和规则提升网络安全性   首先,认识一下IPSec协议:   IPsec是跨平台的一项增强系统安全的策略软件,兼容性很强,既可以运行于windows上,也可以运行与UNIX(Linux)上。IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷...
IPSec安全策略及实现
11-08 2544
陈   坚    王   闽(福州大学数学与计算机学院 福建 350002)(福建省科技信息研究所 福州 350003)  摘 要 介绍了IPSec的相关协议和原理,阐明了安全策略系统的体系结构以及安全策略和安全联盟的定义和表示方法。最后,介绍了IPSec数据流的处理流程。关键词 IPSec 安全策略 安全联盟1 IPSec协议简介  针对Internet的
ipsec ip替换_Ipsec协议实现与IP实现的整合(2)
weixin_39587010的博客
12-20 257
接上篇讲述的ipsec。原文链接:http://linux.chinaunix.net/techdoc/net/2008/02/01/977926.shtml2.1.11 发送处理2.1.11.1 实现思想首先要判断是否需要进行分片处理。转发的IP包,或者是本地产生的经过IPSec处理过的IP包的长度有可能大于发送接口的MTU,此时必须进行分片处理。分片结束后将IP包交给链路层处理模块,...
建立点到多点的IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 2289
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
手把手教您配置IPSec安全策略(转)
cuankuangzhong6373的博客
05-24 4687
网络安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络安全性,IP安全IPSec)协议应运而生。Windows 2000/XP/2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微瑟秋风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值