带你认识IPSec ***

最新推荐文章于 2021-08-17 11:36:16 发布
最新推荐文章于 2021-08-17 11:36:16 发布
阅读量135 收藏
点赞数
原文链接:http://blog.51cto.com/13557013/2068218
版权

在无处不在的互联网当中,危险随处可见,例如:
广域网存在各种安全隐患 :
1.网上传输的数据有被窃听的风险
2.网上传输的数据有被篡改的危险
3.通信双方有被冒充的风险

那么,如何解决这些安全隐患呢?这是,我们就可以运用一种技术保障我们数据的安全,那就是×××,接下来,我们就来认识一下×××。

×××相关知识点概述:

×××定义:
×××(Virtual Private Network,虚拟专用网)
×××建立“保护”网络实体之间的通信
使用加密技术防止数据被窃听
数据完整性验证防止数据被破坏、篡改

×××的类型
1.站点到站点×××
2.远程访问×××

今天主要认识一下IPSec ×××,也就是站点到站点的×××
IPSec ×××连接需要三个步骤:
流量触发IPSec
建立管理连接(阶段一)
建立数据连接(阶段二)

IPSec ×××配置步骤:

阶段一 :

a、配置ACL
b、配置IPSec策略(转换集)
c、将端口映射应用在接口
那么上面提到的ISAKMP是什么,它和IKE又有什么关系呢?
首先要知道他们是internet密钥交换协议,(IKE,internet key exchange),解决了在不安全的网络环境(如:internet)中安全的建立或更新共享密钥的问题。IKE是一个混合协议,由三个协议组成,其中ISAKMP是IKE的核心协议。
ISAKMP:(英文是Internet Security And Key Management Protocol ) 因特网安全协议与密钥管理协议;网络技术人员通常认为IKE和ISAKMP是相同的概念,不做区分。

阶段一的配置(配置ISAKMP策略)
命令如下:
Router(config)#crypto isakmp policy priority
Router(config-isakmp)#encryption { des | 3des | aes } 指定加密算法
Router(config-isakmp)#hash { sha | md5 } 指定hash算法
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group { 1 | 2 | 5 }
Router(config-isakmp)#lifetime seconds

加密算法相关知识点:
对称加密算法:DES、3DES、AES
非对称加密算法 :
RSA(使用三维数学家名字的首字母来命名)
DSA(Didital Signature Algorithm,数字签名算法)
非对称加密算法:
公钥加密,私钥解密
私钥签名,公钥解密

算法的优、缺点
非对称加密算法最大的优势就在于其安全性 ,假如有两个数字分别为25 169和29 663,如果要求将两个数相乘,可以轻松地得出答案:746 588 047;但如果先给出的是746 588 047,要求猜出该数字是由哪两个数相乘得出的,就需要花费很长时间才可能得出答案,这就是非对称加密算法的安全性所在。更重要的是,私钥永远不可能被任何其他设备得到 ,非对称加密算法的缺点是计算过程复杂,它的计算效率要比对称加密算法低得多(大约要慢1 500倍)

如何解决使用对称加密算法的不安全性?
使用对称加密算法,密钥可能被窃听 使用非对称加密算法,计算复杂,效率太低,影响传输速度
解决方案 :通过非对称加密算法加密对称加密算法的密钥 然后再用对称加密算法加密实际要传输的数据

认证算法相关知识:
1、MD5(Message-digest Algorithm 5,信息-摘要算法) 创建了一个128位的签名,之前讲解的RIPv2 、OSPF等很多路由选择协议都使用该算法做验证 ,MD5执行速度较快,但其安全性相对SHA稍差一点
2、SHA(Secure Hash Algorithm,安全散列算法) 已成为美国国家标准,它可以产生160位的签名(20字节的长度)
3、目前,已有人证明不同的输入数值通过MD5计算可以得到相同的数字签名,说明MD5的签名可能具有一定程度的虚假性。SHA也出现类似的问题,并且有人宣称数字签名理论上是可以伪造的 因为存在这种安全隐患,现在已经开发了SHA-256和SHA-512等

DH算法相关知识
DH(Diffie-Hellman,迪菲-赫尔曼) 一般被用来实现IPSec中的Internet密钥交换(IKE)协议
通信双方交换公钥后,会用自己的密钥和对方的公钥通过DH算法计算出一个共享密钥,然后双方会使用这个共享密钥加密传输数据 从算法原理看,DH算法已经将对称加密算法和非对称加密算法综合在一起
DH算法
1.DH算法支持可变的密钥长度,其中DH组1的有效密钥长度为768,DH组2的有效密钥长度为1 024, DH组 5 的有效密钥长度为1 536
2.密钥的有效长度越长,安全性也就越强,同时CPU 的资源占用率也就越高 因此,选择合适的DH组要从网络的安全需求和设备本身的性能两方面考虑

阶段二

定义对等体间需要保护何种流量 定义用来保护数据的安全协议:AH、ESP 定义隧道模式
阶段2的安全协议
AH(认证头协议) 数据验证,对整个IP数据包
ESP(封装安全载荷协议) ESP对用户数据实现加密功能 ;ESP只对IP数据的有效载荷进行验证,不包括外部的IP包头

了解:IPSec ×××故障排查

查看阶段一管理连接的状态 show crypto isakmp sa 管理连接的五个状态
状 态 说 明
MM_NO_STATE ISAKMP SA建立的初始状态;管理连接建立失败也会处于该状态
MM_SA_SETUP 对等体之间ISAKMP策略协商成功后处于该状态
MM_KEY_EXCH 对等体通过DH算法成功建立共享密钥,此时还没有进行设备验证
MM_KEY_AUTH 对等体成功进行设备验证,之后会过渡到QM_IDLE状态
QM_IDLE 管理连接成功建立,即将过渡到阶段2的数据连接建立过程

了解:安全关联(SA)

安全关联(SA)
IPSec需要在两个对等体之间建立一条逻辑连接,这就要使用一个被称为安全关联的信令协议 因为IPSec需要无连接的IP协议在安全运行之前要成为面向连接的协议

转载于:https://blog.51cto.com/13557013/2068218

weixin_34212189
关注
初识ISAKMP
JwLee的专栏
10-20 3399
在互联网环境中进行通信,由于双方都无法直接接触对方,而且互联网本身是一个开放的环境,因而信息的安全性难以得到保障。一般情况下,当我们讨论网络安全的时候,至少要考虑这几个问题:信息加密、身份认证和数据的完整性。对于某些特殊的场景,可能还需要考虑访问控制和信息的不可否认性等问题。   为了实现在互联网环境中进行安全通信,RFC2048定义了名为ISAKMP的安全框架。它结合了认证、密钥管理和安全关
IPSEC ×××建立详解(实验版)
weixin_34370347的博客
10-26 328
RT1: cryptoisakmppolicy10     //设置ISAKMP策略 encr3des           //使用3DES加密 hashmd5           //用MD5作为摘要算法 authenticationpre-share   //认证方式以预共享密钥 group2            //定义DH算...
IPSec 原理简介
qq_23930765的博客
08-17 2881
一、 概述 IPSec是一项标准的安全技术,它通过在数据包中插入一个预定义头部的方式,来保障上层数据的安全。IPSec主要应用于IP网络层的安全保护。 IPSec技术提供了如下安全特性: 完整性:确保数据在传输中没有被第三方篡改; 源认证:认证数据发送源,确保合法源发送; 私密性:对数据进行加密,即使第三方能够捕获加密后的数据,也不能恢复。 另外IPSec头部有1个序列号片段,单调增长,用来标识一个数据包,从而抵御重放攻击,即第三方将截获的数据包复制,反复发送消耗接收方系统资源的手段。接收方
IPsec XXX理论
openlab网工之路
01-23 592
广域网存在各种安全隐患: 网上传输的数据有被窃听的风险 网上传输的数据有被篡改的风险 通信双方有被冒充的风险 专用性与安全性 XXX建立“保护”网络实体之间的通信 1.使用加密技术防止数据被窃听 2.数据完整性验证防止数据被破坏,篡改 3.通过认证机制确认身份,防止数据被截获 XXX的连接模式 传输模式: 封装模式相对简单,传输效率较高 IP报头未被保护,所以在公网上这种数据是被丢弃的 结合其他的...
IPsec ***基础:认识IPsec ***
weixin_33910137的博客
10-30 177
1.IPSEC 提供了下列服务:数据的机密性----------这是通过加密来防止数据遭受窃听***。数据的完整性和验证--------通过HMAC功能来验证数据包没有被损坏,并通过一个有效地对等体收到。抗回放检测--------这是通过在数据包中包括加密的序列号确保来自中间人***设备的抗回放***不能发生。对等体验证--------这是为了在两个对等体之间传递之前。对方就...
抛弃IPSec *** 选择SSL ***的理由
weixin_34311757的博客
12-13 1426
抛弃IPSec ××× 选择SSL ×××的理由http://network.51cto.com 2006-08-23 11:24 IT168 我要评论(0)现在实现×××联网方案的主要技术是IPSEC ×××与SSL ×××,同样是×××远程联网,为何抛弃IPSec ××× 选择SSL ×××。在企业上网如火如荼地普及开后,下一波企业网络建设的投资热潮将是企业总分部之间的跨INTERN...
ipsec *** 基本原理剖析2
weixin_33736832的博客
04-10 76
3.安全协议(加密)   依然参照上述的通讯模型。   假定老张给老李的信件要通过邮政系统传递,而中间途径有很多好事之徒,很想偷看小张和小李(小张小李作生意,通的是买卖信息)通讯,或者破坏其好事。   解决这个问题,就要引进安全措施。安全可以让小李和小张自己来完成,文字用暗号来表示,也可以让他们的老爸代劳完成,写好信,交给老爸,告诉他传出去之前重新用暗号写一下。 ...
Ipsec *** 详解
weixin_33743248的博客
05-18 173
IPsec ××× IPSEC是一套比较完整成体系的×××技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解。 1. 为什么要导入IPSEC协议 导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSE...
【原创】IPSec***理论干货送上,大神勿扰
weixin_33843947的博客
08-11 74
众所周知,无论是复杂深奥的理论干货,还是晦涩难懂的语言文字,不管对错与否,只是因为我们没有达到那种高度,不能转化为属于自己的东西罢了,于是真正能懂的人还是很少,而且每个人对懂的定义不一样,只能细细去体会,慢慢去品味,只要有着自己的理解角度就好,下面我就以简单的IPSec×××理论入手,让大家去体验一下外行人中是如何入门的,菜鸟路过,大神勿扰!IPSec×××两个阶...
ipsec协议的详解
12-07
ipsec的介绍,有助于初学者认识该协议
计算机科学与技术专业认识实习报告.pdf
10-10
标题中提到的“计算机科学与技术专业认识实习报告”暗示了这份报告的性质是实习生对于计算机科学与技术领域所进行的实习经历的总结。这通常包含对实习单位技术环境、工作流程、项目内容的了解以及实习期间所从事的...
关于IPSec 的分析
嚴 帅的博客
03-05 2499
简介: IPsec是一组基于网络层的,应用密码学的安全通信协议族,它不是具体的哪个协议,而是一个开放的协议族。 作用:在IPv4和IPv6环境中为网络层流量提供灵活的安全服务。 IPsec VPN:是基于IPsec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入头部来保证OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。 VPN只是IPsec协议...
【安全与效率】:探索***mon.primitives在加密应用中的性能优势
!...# 1. mon.primitives概述与基础 在当今的数字世界中,数据安全是至关重要的。为了确保数据安全,了解和应用加密技术是必不可少的。mon.primitives是一个强大的加密库,它提供了多种加密原语和实用功能,以确保数据...
CRM后台原型模板 #产品原型#Axure# 文件大小6.21M,系统业务分为12个核心模块:管理中心、系统公告、企业设置、组织
09-28
CRM后台原型模板 #产品原型#Axure# 文件大小6.21M,系统业务分为12个核心模块:管理中心、系统公告、企业设置、组织架构、职务权限、员工管理、模块管理、产品管理、业务设置、字段设置、字典管理、日志管理等。 对于想做产品的同学或者想深入了解CRM后台系统的朋友,极具研究学习价值和办公使用价值 致力于让产品人专注产品本身,不受原型实现的困扰~ 适合人群:互联网产品经理、学习使用axure的同学
metasploit_in_termux-master.zip
09-28
metasploit_in_termux-master.zip
基于C#、CSS、JavaScript和HTML的甜品网站设计源码
09-28
该项目是一款甜品主题的网站设计源码,由806个文件组成,涵盖296个JPG图片、142个C#源代码文件、126个DLL库文件、44个ASPX页面文件、20个配置文件、18个缓存文件、17个PNG图片文件、16个可执行文件、14个PDB调试文件、14个JPEG图片文件。代码主要采用C#、CSS、JavaScript和HTML语言编写,适用于甜品行业的在线展示和销售需求。
数字政府智慧政务大数据治理平台、大数据资源中心技术解决方案Word(266页).docx
09-28
数据治理是确保数据准确性、可靠性、安全性、可用性和完整性的体系和框架。它定义了组织内部如何使用、存储、保护和共享数据的规则和流程。数据治理的重要性随着数字化转型的加速而日益凸显,它能够提高决策效率、增强业务竞争力、降低风险,并促进业务创新。有效的数据治理体系可以确保数据在采集、存储、处理、共享和保护等环节的合规性和有效性。 数据质量管理是数据治理中的关键环节,它涉及数据质量评估、数据清洗、标准化和监控。高质量的数据能够提升业务决策的准确性,优化业务流程,并挖掘潜在的商业价值。随着大数据和人工智能技术的发展,数据质量管理在确保数据准确性和可靠性方面的作用愈发重要。企业需要建立完善的数据质量管理和校验机制,并通过数据清洗和标准化提高数据质量。 数据安全与隐私保护是数据治理中的另一个重要领域。随着数据量的快速增长和互联网技术的迅速发展,数据安全与隐私保护面临前所未有的挑战。企业需要加强数据安全与隐私保护的法律法规和技术手段,采用数据加密、脱敏和备份恢复等技术手段,以及加强培训和教育,提高安全意识和技能水平。 数据流程管理与监控是确保数据质量、提高数据利用率、保护数据安全的重要环节。有效的数据流程管理可以确保数据流程的合规性和高效性,而实时监控则有助于及时发现并解决潜在问题。企业需要设计合理的数据流程架构,制定详细的数据管理流程规范,并运用数据审计和可视化技术手段进行监控。 数据资产管理是将数据视为组织的重要资产,通过有效的管理和利用,为组织来经济价值。数据资产管理涵盖数据的整个生命周期,包括数据的创建、存储、处理、共享、使用和保护。它面临的挑战包括数据量的快速增长、数据类型的多样化和数据更新的迅速性。组织需要建立完善的数据管理体系,提高数据处理和分析能力,以应对这些挑战。同时,数据资产的分类与评估、共享与使用规范也是数据资产管理的重要组成部分,需要制定合理的标准和规范,确保数据共享的安全性和隐私保护,以及建立合理的利益分配和权益保障机制。
ssm9292农产品供销服务系统.zip
最新发布
09-28
技术选型 【后端】:Java 【框架】:ssm 【前端】:vue/jsp 【JDK版本】:JDK1.8 【服务器】:tomcat7+ 【数据库】:mysql 5.7+ 包含:项目源码、数据库脚本、项目功能介绍文档等,该项目源码可作为毕设使用。 项目都经过严格调试,确保可以运行! 具体项目介绍可查看博主文章
谈谈你对网络安全协议的认识和理解简答题
06-07
网络安全协议是为了保障网络通信的机密性、完整性和可用性而制定的一系列协议标准。网络安全协议主要包括认证协议、加密协议、密钥管理协议和安全传输协议等。 认证协议用于验证通信双方的身份,常用的认证协议有基于口令的认证协议、基于数字证书的认证协议和基于双因素认证的认证协议等。 加密协议用于保护通信内容的机密性,常用的加密协议有对称加密协议和非对称加密协议等。 密钥管理协议用于生成、分发和管理加密所需的密钥,常用的密钥管理协议有Diffie-Hellman密钥交换协议和RSA密钥交换协议等。 安全传输协议用于保障数据在传输过程中的安全性,常用的安全传输协议有SSL/TLS协议和IPSec协议等。 网络安全协议在网络通信中起到重要的保障作用,可以有效地保障数据的机密性、完整性和可用性,防止信息泄漏、篡改和破坏等安全问题的发生。同时,网络安全协议也是一个不断发展的领域,随着新的技术和攻击手段的出现,网络安全协议也需要不断更新和完善,以应对不断变化的安全挑战。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值