IPSec基础知识

最新推荐文章于 2024-04-29 16:24:53 发布
最新推荐文章于 2024-04-29 16:24:53 发布
阅读量4.9k 收藏 19
点赞数 9
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43710889/article/details/113981428
版权

文章目录

IPSec基础知识

IPSec (Internet 协议安全)是一个工业标准网络安全协议,为IP 网络通信提供透明的安全服务,保护TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。

IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现Internet 上数据的安全传输。

IPSec特性

1.访问控制:通信对等体认证机制,对于通信的对等体进行认证,从而完成访问控制功能。

2.无连接的完整性、数据来源验证:通过报文认证,防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生–个加密校验和,接收方在打开包前先计算校验和,若包遭篡改导致校验和不相符,数据包即被丢弃。验证数据源,以保证数据来自真实的发送者(IP报文头内的源地址)。

3.防重放:通过AH或者ESP的防重放窗口结合认证,来抵御重放攻击。确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权。

4.机密性(加密):通过ESP的加密功能以及ESP协议的报文填充功能来完成。在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读出。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。

IPSec组成部分

IPSec包括认证头协议AH(AuthenticationHeader)、封装安全载荷协议ESP(Encapsulating Security Payload)、因特网密钥交换协议IKE (Internet Key Exchange),用于保护主机与主机之间、主机与网关之间、网关与网关之间的一-个或多个数据流。

其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换。

IPSec对等体

IPSec用于在协商发起方和响应方这两个端点之间提供安全的IP通信,通信的两个端点被称为IPSec对等体。其中,端点可以是网关路由器,也可以是主机。

IPSec隧道

IPSec为对等体间建立IPSec隧道来提供对数据流的安全保护。一对IPSec对等体间可以存在多条IPSec隧道,针对不同的数据流各选择一条隧道对其进行保护,例如有的数据流只需要认证、有的需要认证和加密。

最低0.47元/天 解锁文章
南岸青栀*
关注
  • 9
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
IPSEC基础知识
04-23
IPSEC知识文档
IPSEC ××× 的NAT穿越(1)
weixin_33969116的博客
12-09 208
  IPSec是基于网络层的,不能穿越通常的NAT、防火墙,这篇文章就是要讨论,在需要NAT网络的环境中,如果使用IPsec ××× 隧道技术。 IPsec 协议有两种运行模式:   IPSec隧道模式   IPSec传输模式   隧道模式通常是建立在双方的网关之间的。传输模式下,IPSec主要对上层的传输进行封装保护,通常情况下,传输...
【All In One】一文详解IPsec隧道
最新发布
诗酒趁年华
04-29 637
IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,用于在不安全的网络上(一般是互联网),建立安全的网络通信,一个很常见的场景就是,我们可以通过IPsec隧道将分公司和总部的内网连接起来,使分支的员工安全的访问总部的资源,按照传统的做法,公司需要租用运营商的专线,专门拉一条网线将总部和分公司组网,虽然更安全,体验更好,但这个价格也灰常的恐怖。当没有感兴趣的流量时,那么隧道最终被会被拆除,只有下次系统检测到感兴趣的流量来临时,隧道才会重新建立。
传输模式隧道模式对比
funtasty的专栏
04-15 664
隧道模式:由于需要对整个数据包进行加密和认证,并且可能涉及地址转换等额外操作,因此相对而言,隧道模式的性能可能较传输模式稍低。总的来说,传输模式隧道模式在安全通信的范围、适用场景和性能方面有所不同,具体选择取决于实际的网络需求和安全策略。隧道模式:适用于在两个网络之间创建安全的通信隧道,将整个通信流量都加密和保护,并且通常涉及到网络层地址的更改。传输模式:由于仅对数据负载进行加密和认证,因此相对于隧道模式而言,传输模式的性能更高,开销更低。传输模式:用于主机到主机或者主机到网关的通信。
IPsec传输模式隧道模式中的点到点和端到端本质区别
qq_47529104的博客
05-01 3288
拿这个图来说吧,端到端指的是FW或者路由器这类VPN网关之间创建的IPsec隧道,主要用于保护网关背后的局域网而创建出来的隧道,且这类网络场景中主要使用的是隧道模式,其原因不言而喻,主要就是因为FW需要保护内部网络,分支与总部之间如果需要通信,它们的数据报文都需要打上额外的IP首部,这个IP首部是由VPN网关来决定的,新的IP首部的目的地址就是VPN网关对外开放的IP地址,也正是因为新的IP首部的目的地址是VPN网关对外开放的公网接口,VPN网关才能接收这个IPsec的相关报文进行解封解密的操作,然后才..
ipsec传输模式隧道模式关系
funtasty的专栏
04-15 367
隧道模式用于在两个网络之间创建安全的通信隧道,将整个 IP 数据包(包括 IP 头部和有效载荷)都加密和认证后传输传输模式隧道模式都是 IPsec 的工作模式,用于提供加密、认证和数据完整性保护服务,但它们适用于不同的通信场景。隧道模式可以包含传输模式:在隧道模式下,每个传输模式的通信流量都被封装在加密的隧道传输传输模式适用于端到端的通信,例如主机到主机之间的通信或者主机到网关的通信。传输模式通常用于端到端的通信,而隧道模式通常用于网络到网络的通信。
网络安全——网络层IPSec安全协议(4)
A_991128a的博客
03-13 597
在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议。
IPsec 实操配置(隧道模式
weixin_62248541的博客
04-16 1万+
文章目录 目录 文章目录 前言 一、实验环境 二、实验步骤 1.配置全网可达 2.配置ACL识别兴趣流 3.配置安全提议 进入AR1和AR3分别配置安全提议(AR1与AR3需做相同的配置) 4.创建安全策略 分别在AR1和AR3上创建安全策略,在安全策略中就可以调用之前所配置的acl和安全提议(均选择手工配置) 配置SA(安全联盟),实现IPsec对等体之间相关安全参数的协商 配置共享认证密钥 5.应用安全策略 6.抓包验证(Wireshark) 总结 前言 我的第.
SANGFOR_IPSEC认证培训(初级和高级)
05-09
SANGFOR_IPSEC认证培训(初级和高级)里面的资料均是PPT,是介绍IPSEC基础知识和使用方法,感兴趣的童鞋可以学习
H3C路由器技术专题之IPsec篇.chm
02-27
1.基础知识篇 1.1 理解篇 1.2 IPsec基本原理 2.典型配置案例资料 2.1 ACG常见IPSEC对接案例 2.2 ERG2路由器IPSEC对接 2.3 GRE over ipsec 2.4 IPSEC主备隧道场景 2.6 V5_V7常见对接常规场景 2.7 V5常规...
最新软考网络工程师配置高频知识点手册
11-17
最新2023年,软考,网络工程师,下午题,实验,华为路由器、交换机,代码配置,高频知识点,91页 重点版,高清!最全! 第一部分:基础实验 实验一:登录华为设备 实验二:ACL 原理及应用 实验三:NAT 原理及应用 ...
网络安全知识点总结 期末半开卷
03-01
"网络安全知识点总结" 网络安全是指网络系统的硬件、软件及其系统中的数据,不因偶然的或者恶意的原因而遭受破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。网络安全的本质是网络上的信息安全,...
IPSec隧道
Fsy-LLing的博客
08-18 8981
谈到IPSec 隧道还得回顾一下隧道的基础概念(当然我们平时爬出去所用的也是这个)。 隧道全称:专用虚拟网,依靠ISP和NSP在公共基础网络(也就是互联网)上构建的安全通信网络,这条专线是逻辑上的,并不是物理的。 专用:可以根据客户的需求定制符合自身需求的网络 虚拟:用户不需要拥有实际的长途数据线路,直接在公共基础网络的基础上构建的。 那么为什么这么多种类的,比如GRE,L2TP等,要大力推举IPSec呢。比如说Gre的不支持用户的身份认证(第一道门都没有,如果黑客进入,连验证都不需要了),只会对数据进行简
IPSEC传输模式隧道模式区别
weixin_34202952的博客
07-14 9468
IPSEC ××× 原理 加密设备是否等于通信设备 使用条件 举例 传输模式 在原始IP头部和IP负载之间插入一个ESP头部,并且在最后面加上ESP尾部和ESP验证数据部分 加密设备等于通信设备 相互通信的设备IP地址必须在其间的网络可路由 内部网络的主机要安全的访问内部服务器资源。 隧道模式...
IPSec
weixin_60719780的博客
10-22 3336
第二阶段AH的传输模式隧道模式
IPSec隧道模式传输模式的装包与拆包
湫一
12-21 3099
文章目录隧道模式下的ESP协议运作过程装包过程拆包过程传输模式下的ESP协议运作过程-装包和拆包装包过程拆包过程 隧道模式下的ESP协议运作过程 装包过程 对原始IP报文的处理: 添加ESP尾部 Padding:加密算法是块加密的话,就需要填充 Pad length:补上填充长度 Next header:用于标明原报文的协议类型,IPv4 or IPv6。 对ESP尾部和原始IP数据报...
1. 全面讲解 IPSec 基本原理
weixin_38387929的博客
06-02 8384
转者注: 此篇转载 曹世宏 先生博文;本人在自己 IPSec 实践应用基础上,对此篇博文内容增加章节编号;在 封装协议章节中、删减两种抓包图片。 IPSec 通讯两端是互为 client 、server 的方式,双方对等加密和认证。 1. IPSec 概念简介 什么是IPSecIPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性
技术点详解---IPSec穿越NAT
热门推荐
bytxl的专栏
10-16 2万+
IPSec在NAT环境中的部署是VPN的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续VPN部署方案做下铺垫。 IPSec VPN穿越NAT会遇到哪些问题 IPSec VPN穿越NAT遇到的问题主要有2个: 1.   穿越NAT后的身份确认:在IP网络中IP地址是最好的身份标识,IPSec VPN中标准身份标识也是IP地址,如上图所示,从前几期专栏的介绍中我们可以得知,NAT处
帮我写gre over ipsec vpn实验文档
04-24
当然可以!下面是gre over ipsec vpn实验文档的基本步骤: 1.准备工作 在进行实验之前,你需要具备以下知识和技能: •网络基础知识(TCP/IP协议、子网掩码、IP地址、路由等) •GRE协议和IPSec协议的基本概念 •使用telnet工具访问路由器的基本操作 •使用Wireshark抓包分析的基本操作 •使用VPCS模拟本地主机的基本操作 此外,你还需要准备以下设备: •两台路由器(建议使用Cisco路由器) •一台计算机(用来运行Wireshark抓包工具) •两个VPCS(用来模拟本地主机) 2.配置GRE隧道 首先,你需要在两台路由器上配置GRE隧道。 具体步骤如下: (1)在Router1上创建一个隧道接口,并将Tunnel0接口的IP地址设置为192.168.100.1/24。 # configure terminal # interface tunnel 0 # ip address 192.168.100.1 255.255.255.0 # tunnel source fa0/0 # tunnel destination 10.0.0.2 # exit (2)在Router2上创建一个隧道接口,并将Tunnel0接口的IP地址设置为192.168.100.2/24。 # configure terminal # interface tunnel 0 # ip address 192.168.100.2 255.255.255.0 # tunnel source fa0/0 # tunnel destination 10.0.0.1 # exit 3.配置IPSec协议 接下来,你需要在两台路由器上配置IPSec协议,以加密隧道内的数据流。 具体步骤如下: (1)在Router1上创建IPSec策略,启用AH(认证头)协议,并将其应用到Tunnel0接口上。 # configure terminal # crypto isakmp policy 1 # encr aes # authentication pre-share # group 2 # exit # crypto isakmp key cisco123 address 10.0.0.2 # exit # crypto ipsec transform-set GRE-AH esp-aes esp-sha256-hmac # crypto map GRE 10 ipsec-isakmp # set peer 10.0.0.2 # set transform-set GRE-AH # match address VPN-TRAFFIC # exit (2)在Router2上创建IPSec策略,启用AH协议,并将其应用到Tunnel0接口上。 # configure terminal # crypto isakmp policy 1 # encr aes # authentication pre-share # group 2 # exit # crypto isakmp key cisco123 address 10.0.0.1 # exit # crypto ipsec transform-set GRE-AH esp-aes esp-sha256-hmac # crypto map GRE 10 ipsec-isakmp # set peer 10.0.0.1 # set transform-set GRE-AH # match address VPN-TRAFFIC # exit 4.测试GRE over IPSec VPN隧道 最后,你可以通过ping命令测试GRE over IPSec VPN隧道是否正常。 具体步骤如下: (1)在VPCS1上ping VPCS2的IP地址。 C:\> ping 192.168.1.2 如果VPN隧道正常工作,你会得到一个回复。 (2)在Wireshark中查看VPN隧道内的通信内容。 选择Tunnel0接口,启动抓包功能,并在VPCS1上执行ping命令。你可以看到通过VPN隧道传输的所有数据包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南岸青栀*

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值