ipsec 安全策略
IPSec协议简介
针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP层安全标准IPSec。IPSec在IP层对数据包进行高强度的安全处理,提供包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务。这些服务是基于IP层的,提供对IP及其上层协议的保护。
SA的定义
安全关联(Security Association,SA)是两个应用IPsec实体(主机、路由器)间的一个单向逻辑连接,决定保护什么、如何保护以及谁来保护通信数据。它规定了用来保护数据包安全的IPsec协议、转换方式、密钥以及密钥的有效存在时间等等。SA是单向的,要么对数据包进行“进入”保护,要么进行“外出”保护。 SA用一个三元组(安全参数索引SPI、目的IP地址、安全协议)唯一标识。
SA的作用
SA提供的安全服务取决于所选的安全协议(AH或ESP)、SA模式、SA作用的两端点和安全协议所要求的服务。
des加密原理
DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位,产生最大 64 位的分组大小。这是一个迭代的分组密码,使用称为 Feistel 的技术,其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES 使用 16 个循环,使用异或,置换,代换,移位操作四种基本运算。
esp
IPsec 封装安全负载(IPsec ESP)是 IPsec 体系结构中的一种主要协议,其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性。
tunnel协议
tunnel中文译为隧道,计算机网络使用tunnel协议,当一个网络协议(传输协议)封装不同的有效载荷协议。通过使用tunnel1(例如)进行了一个不兼容的交付网络的有效载荷,或通过一个不受信任的网络提供一个安全的路径。
tunnelOSI或TCP / IP分层协议模型如那些通常对比。传递协议通常(但不总是)在更高层次的模型相比,有效载荷的协议,或在同一水平。
如图上的一个实验
![clip_image002[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826776erYe.jpg "clip_image002[5]")
在交换机上配置
![clip_image004[4]](https://s1.51cto.com/attachment/201308/18/7598919_1376826804ldln.jpg "clip_image004[4]"){kind=small}
![clip_image006[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826815uJLc.jpg "clip_image006[5]"){kind=small}
![clip_image008[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826817JdjA.jpg "clip_image008[5]"){kind=small}
![clip_image010[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826818yjJ1.jpg "clip_image010[5]"){kind=small}
![clip_image012[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826824vbXC.jpg "clip_image012[5]"){kind=small}
![clip_image014[5]](https://s1.51cto.com/attachment/201308/18/7598919_13768268255IUQ.jpg "clip_image014[5]"){kind=small}
防火墙fw-1
![clip_image016[5]](https://s1.51cto.com/attachment/201308/18/7598919_13768268313WcR.jpg "clip_image016[5]"){kind=small}
配置默认路由
![clip_image018[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826833cywI.jpg "clip_image018[5]"){kind=small}
把端口加入区域
![clip_image020[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826834lSAS.jpg "clip_image020[5]"){kind=small}
![clip_image022[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826839pLa1.jpg "clip_image022[5]"){kind=small}
防火墙fw-2
![clip_image024[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826842TRwP.jpg "clip_image024[5]"){kind=small}
![clip_image026[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826845zVHG.jpg "clip_image026[5]"){kind=small}
默认路由
![clip_image028[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826846BFAG.jpg "clip_image028[5]"){kind=small}
端口加入区域
![clip_image030[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826848fcvS.jpg "clip_image030[5]"){kind=small}
![clip_image032[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826854DHV8.jpg "clip_image032[5]"){kind=small}
防火墙fw-3
![clip_image034[5]](https://s1.51cto.com/attachment/201308/18/7598919_13768268566jm0.jpg "clip_image034[5]"){kind=small}
![clip_image036[5]](https://s1.51cto.com/attachment/201308/18/7598919_13768268600C7E.jpg "clip_image036[5]"){kind=small}
默认路由
![clip_image038[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826862Db17.jpg "clip_image038[5]"){kind=small}
端口加入区域
![clip_image040[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826863EI6I.jpg "clip_image040[5]"){kind=small}
![clip_image042[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826876nRnx.jpg "clip_image042[5]"){kind=small}
fw-1上配置访问控制列表
![clip_image044[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826878HR6I.jpg "clip_image044[5]"){kind=small}
![clip_image046[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826886CFlj.jpg "clip_image046[5]"){kind=small}
![clip_image048[5]](https://s1.51cto.com/attachment/201308/18/7598919_13768268962yct.jpg "clip_image048[5]"){kind=small}
![clip_image050[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826902asuQ.gif "clip_image050[5]"){kind=small}
![clip_image052[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826906B4Yk.gif "clip_image052[5]"){kind=small}
协议加密类型des
![clip_image054[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826928Mc9W.jpg "clip_image054[5]"){kind=small}
协议校验
![clip_image056[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826932Zgwq.jpg "clip_image056[5]"){kind=small}
![clip_image058[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826934H31E.jpg "clip_image058[5]"){kind=small}
![clip_image060[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826936WJSW.jpg "clip_image060[5]"){kind=small}
![clip_image062[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826949r3RK.jpg "clip_image062[5]"){kind=small}
![clip_image064[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826960lHrf.jpg "clip_image064[5]")
policy1放入端口
![clip_image066[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826966WBL3.gif "clip_image066[5]")
fw-2
![clip_image068[5]](https://s1.51cto.com/attachment/201308/18/7598919_13768269708JiX.gif "clip_image068[5]")
![clip_image070[5]](https://s1.51cto.com/attachment/201308/18/7598919_137682697783rg.gif "clip_image070[5]")
![clip_image072[5]](https://s1.51cto.com/attachment/201308/18/7598919_137682699237P5.gif "clip_image072[5]"){kind=small}
![clip_image074[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376826998MrQi.gif "clip_image074[5]"){kind=small}
![clip_image076[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827003Ami9.gif "clip_image076[5]")
配置第二个隧道
fw-1
![clip_image078[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827011WZSC.gif "clip_image078[5]")
![clip_image080[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827015O7Rp.gif "clip_image080[5]"){kind=small}
![clip_image082[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827018pxWN.gif "clip_image082[5]"){kind=small}
![clip_image084[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827025AnBP.gif "clip_image084[5]")
![clip_image086[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827032oGAc.gif "clip_image086[5]")
![clip_image088[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827042g0Mv.gif "clip_image088[5]")
![clip_image090[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827047Dove.gif "clip_image090[5]"){kind=small}
![clip_image092[15]](https://s1.51cto.com/attachment/201308/18/7598919_13768270507iV6.gif "clip_image092[15]")
![clip_image094[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827054HAyT.gif "clip_image094[5]")
fw-3
![clip_image096[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827057C593.gif "clip_image096[5]")
![clip_image098[5]](https://s1.51cto.com/attachment/201308/18/7598919_13768270619kob.gif "clip_image098[5]")
![clip_image100[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827081Q7nW.gif "clip_image100[5]")
![clip_image102[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827090asLx.gif "clip_image102[5]")
![clip_image104[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827108Qzdl.gif "clip_image104[5]")
测试
fw-1到fw-2
![clip_image106[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827115pADa.gif "clip_image106[5]")
fw-1到fw-3
![clip_image108[5]](https://s1.51cto.com/attachment/201308/18/7598919_1376827121pFYz.gif "clip_image108[5]")
IPSec协议简介
针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP层安全标准IPSec。IPSec在IP层对数据包进行高强度的安全处理,提供包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务。这些服务是基于IP层的,提供对IP及其上层协议的保护。
SA的定义
安全关联(Security Association,SA)是两个应用IPsec实体(主机、路由器)间的一个单向逻辑连接,决定保护什么、如何保护以及谁来保护通信数据。它规定了用来保护数据包安全的IPsec协议、转换方式、密钥以及密钥的有效存在时间等等。SA是单向的,要么对数据包进行“进入”保护,要么进行“外出”保护。 SA用一个三元组(安全参数索引SPI、目的IP地址、安全协议)唯一标识。
SA的作用
SA提供的安全服务取决于所选的安全协议(AH或ESP)、SA模式、SA作用的两端点和安全协议所要求的服务。
des加密原理
DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位,产生最大 64 位的分组大小。这是一个迭代的分组密码,使用称为 Feistel 的技术,其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES 使用 16 个循环,使用异或,置换,代换,移位操作四种基本运算。
esp
IPsec 封装安全负载(IPsec ESP)是 IPsec 体系结构中的一种主要协议,其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性。
tunnel协议
tunnel中文译为隧道,计算机网络使用tunnel协议,当一个网络协议(传输协议)封装不同的有效载荷协议。通过使用tunnel1(例如)进行了一个不兼容的交付网络的有效载荷,或通过一个不受信任的网络提供一个安全的路径。
tunnelOSI或TCP / IP分层协议模型如那些通常对比。传递协议通常(但不总是)在更高层次的模型相比,有效载荷的协议,或在同一水平。
如图上的一个实验
在交换机上配置
防火墙fw-1
配置默认路由
把端口加入区域
防火墙fw-2
默认路由
端口加入区域
防火墙fw-3
默认路由
端口加入区域
fw-1上配置访问控制列表
协议加密类型des
协议校验
policy1放入端口
fw-2
配置第二个隧道
fw-1
fw-3
测试
fw-1到fw-2
fw-1到fw-3
转载于:https://blog.51cto.com/7608919/1275819
2531
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
