IPsec简介

 
IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上数据的传输提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:
              数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。
              数据完整性(Data Integrity):IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
             数据来源认证(Data Authentication):IPsec在接收方可以认证发送IPsec报文的发送方是否合法。
              防重放(Anti-Replay):IPsec接收方可检测并拒绝接收过时或重复的报文。
IPsec具有以下优点:
              支持IKE(Internet Key Exchange,因特网密钥交换),可实现密钥的自动协商功能,减少了密钥协商的开销。可以通过IKE建立和维护SA的服务,简化了IPsec的使用和管理。
              所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec,而不必对这些应用系统和服务本身做任何修改。
              对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络***。
IPsec的协议实现
 
IPsec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。关于IKE的详细介绍请参见“1.2  IKE简介”。
IPsec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。
IPsec协议中的AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供数据可靠性保证。
              AH协议(IP协议号为51)提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。
              ESP协议(IP协议号为50)提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时,作为可选项,用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。
在实际进行IP通信时,可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。同时使用AH和ESP时,设备支持的AH和ESP联合使用的方式为:先对报文进行ESP封装,再对报文进行AH封装,封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。
三:企业组网实现步骤:
 

 
 (1)配置A:
firewall zone trust add interface Ethernet 0/2 
quit 
firewall zone untrust add interface Ethernet 0/1 
quit 
interface Ethernet0/2
ip address 192.168.1.1 255.255.255.0
 
interface Ethernet0/1 
ip address 1.1.1.1 255.255.255.0 
quit
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 preference 60
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 
rule 20 deny ip source any destination any
 
quit acl number 3001
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
 
rule 20 deny ip source any destination any
 
quit 
ipsec proposal zhu-1
 
encapsulation-mode tunnel
 
transform esp
esp authentication-algorithm md5
 
esp encryption-algorithm des
 
display ipsec proposal
 
quit
ipsec proposal zhu-2
 
encapsulation-mode tunnel
 
transform esp
esp authentication-algorithm md5
 
esp encryption-algorithm des
 
display ipsec proposal
 
quit 
ike local-name fw1 
ike peer peer-1 exchange-mode aggressive pre-shared-key simple 12345 id-type name remote-name fw2 
quit 
ike peer peer-2 exchange-mode aggressive pre-shared-key simple 12345 id-type name remote-name fw3 
quit
ipsec policy policy1 10 isakmp
 
sec acl 3000 proposal zhu-1 ike-peer peer-1 
quit 
ipsec policy policy1 20 isakmp
 
sec acl 3001 proposal zhu-2 ike-peer peer-2 
quit
interface Ethernet0/1
 
ipsec policy policy1
 
 
 
(2)配置B: 
firewall zone trust add interface Ethernet 0/2 
quit 
firewall zone untrust add interface Ethernet 0/1 
quit  
 interface Ethernet0/2
ip address 192.168.2.1 255.255.255.0
 
interface Ethernet0/1
 ip address 2.1.1.1 255.255.255.0 
quit
ip route-static 0.0.0.0 0.0.0.0 2.1.1.2 preference 60
 acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
 
rule 20 deny ip source any dest any
 
quit 
ipsec propo zhu enca tunnel trans esp es auth md5 esp enc des 
quit 
ike local-name fw2 
ike peer peer-1
exchange-mode aggressive
 
pre-shared-key simple 12345
 
id-type name remote-name fw1
remote-address 1.1.1.1
quit 
ipsec policy policy2 10 isakmp
sec acl 3000 propo zhu ike-peer peer-1 
quit 
inter Ethernet0/1 
ipsec poli policy2
quit 
 
(3)配置C: 
interface Ethernet0/2 
ip address 192.168.3.1 255.255.255.0 
quit   
interface Ethernet0/1 
ip address 3.1.1.1 255.255.255.0 
quit
ip route-static 0.0.0.0 0.0.0.0 3.1.1.2 preference 60
acl number 3000
rule 10 permit ip source 192.168.3.0 0.0.0.255 dest 192.168.1.0 0.0.0.255
 
rule 20 deny ip source any dest any quit
 
 
ipsec propo zhu-3 enca tunnel trans esp es auth md5 esp enc des quit
 
 
ike local-name fw3
ike peer peer-2 exchange-mode aggressive pre-shared-key simple 12345 id-type name remote-name fw1 remote-address 1.1.1.1
quit
ipsec policy policy3 20 isakmp sec acl 3001 propo zhu-3 ike-peer peer-2
quit
inter Ethernet0/1
ipsec poli policy3 quit
 
(4)配置internet:
firewall zone untrust add interface Ethernet 0/1 add interface Ethernet 0/2 add interface Ethernet 0/3 
quit 
interface Ethernet0/1
ip add 1.1.1.2 24 
quit 
interface Ethernet0/2 
ip add 2.1.1.2 24   
quit             
interface Ethernet0/3 ip add 3.1.1.2 24   
quit