7设置ipsec_IPsec详细介绍及适用场景解析

最新推荐文章于 2024-04-27 10:41:51 发布
最新推荐文章于 2024-04-27 10:41:51 发布
阅读量2.6k 收藏 9
点赞数 1
文章标签: 7设置ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35064596/article/details/112628227
版权

IPsec是IP通信提供安全性的一系列协议和服务的集合,工作在IP层,可以为上层协议和应用提供透明的安全服务。

IPsec提供两种安全机制:认证和加密

认证机制: 通过对IP报文进行Hash(如MD5, SHA-1等),接收方收到报文后,对报文进行同样的Hash算法得出同样的Hash值,从而确认报文未在中途发生篡改 (使用场景限于主机和主机之间,且中间没有NAT设备对报文IP进行转换,适用场景少,较少使用)。

加密机制:通过对数据进行加密运算(DES, 3DES, AES等加密算法)来保证数据的机密性,以防数据在传输过程中被窃听, 同时通过报文序列号方式确保报文不被重放,防止中间人攻击。

IPsec的两种安全机制工作协议:

17a7881f1a13cb284c34abf54c0bfb05.png

# AH与ESP的封装区别

AH协议(Authentication Headers,认证头协议):

IP协议号为51,工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。

ESP协议(Encapsulated Security Payload,封装安全载荷):

IP协议号为50,使用较广)提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时,作为可选项,用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。这三个加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法实现机制复杂,运算速度慢。对于普通的安全要求,DES算法就可以满足需要。

提供隧道和安全两种模式,满足不同的网络结构需求

隧道(tunnel)模式:

用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。

传输(transport)模式:

只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯 。

IPsec中一些关键名词

SA (Security Association,安全联盟):

IPsec 对数据流提供的安全服务通过安全联盟SA 来实现,它包括协议、算法、密钥等内容,具体确定了如何对IP 报文进行处理。一个SA 就是两个IPsec 系统之间的一个单向逻辑连接,输入、输出数据流分别由输入SA(安全联盟)与输出SA(安全联盟)分别处理。安全联盟由一个三元组(SPI、IP 目的地址、安全协议号---AH或ESP)来唯一标识。安全联盟可通过手工配置和自动协商两种方式建立。

手工建立安全联盟的方式是指用户通过在两端手工设置一些参数,

最低0.47元/天 解锁文章
云锋金融
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python实现ipsec开权限实例
12-23
这个工具的使用极大地简化了IPSec策略的管理和维护,特别是在需要大量规则配置的场景下。 Python的灵活性和强大功能使得开发者能够创建定制化的解决方案,以应对特定的需求。在这个案例中,Python不仅解决了`netsh`...
深信服最新内部培训资料IPSEC设备
12-02
本篇将深入解析深信服内部培训资料中的IPSec设备相关知识点,帮助读者理解和掌握这一关键领域的技术。 1. IPSec基础概念 IPSec是一种基于IP层的安全协议,由IETF(Internet Engineering Task Force)制定,旨在提供...
IPSec之IKEv1协议详解
热门推荐
曹世宏的博客
04-20 4万+
IKE简介 安全联盟SA: 定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。 SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的...
IPSec环境搭建与分析
GOOD__YOUTH的博客
10-11 1281
测试调试 网络拓扑 路由器配置为: 设置ipsec信息为: 隧道模式,配置远端路由网关192.168.151.73 即路由器2 IP 配置本地网端,与远端网段,设置ike协商 采用ESP中的封装安全荷载协议中的DES加密协议 完整性检测采用SHA1协议 配置密钥信息. 路由器1设置为初始者模式,路由器2设置为响应者模式,,通过抓包发现当设置为初始者模式时,路由器主动向对端建立ike协商,响应者模式则为被动状态等待ike连接请求。 测试可以PING通远端网段. 报文解析 主动模式 建立IKEV1协商
ipsec相关的RFC文档,是所有ipsec人需要知道的
最新发布
funtasty的专栏
04-27 651
IPsec and related standards » 历史记录 » 版本 109。
IPSec基础知识
weixin_51045259的博客
02-04 4308
IPSec简介 定义 IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。 通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全
openswan中ISAKMP交互过程关键函数接口
遇见你是我最美丽的意外
05-18 4994
1. ISAKMP交互过程中关键函数接口 下面分别说明不同的阶段和模式下的函数接口以及对应的报文。 2. 第一阶段(Phase I)主模式函数接口 发送端响应端main_outI1主模式第一包main_inI1_outR1主模式第二包main_inR1_outI2主模式第三包main_inI2_outR2主模式第四包main_inR2_outI3主模式第五包main_inI3_outR3主模式第六包main_inR3发送端响应端 3. 第一阶段(Phase I)野蛮模式函数接口 发送端响应端aggr_ou
传输模式和隧道模式对比
funtasty的专栏
04-15 1004
隧道模式:由于需要对整个数据包进行加密和认证,并且可能涉及地址转换等额外操作,因此相对而言,隧道模式的性能可能较传输模式稍低。总的来说,传输模式和隧道模式在安全通信的范围、适用场景和性能方面有所不同,具体选择取决于实际的网络需求和安全策略。隧道模式:适用于在两个网络之间创建安全的通信隧道,将整个通信流量都加密和保护,并且通常涉及到网络层地址的更改。传输模式:由于仅对数据负载进行加密和认证,因此相对于隧道模式而言,传输模式的性能更高,开销更低。传输模式:用于主机到主机或者主机到网关的通信。
自己抓的IPSEC的包
04-02
在这个场景中,用户可能是通过网络嗅探工具(如Wireshark或tcpdump)捕获了包含IPSec流量的数据包。 描述中的"NULL"没有提供额外信息,但我们可以从标签“源码”和“工具”推测,这可能涉及到解析和理解IPSec协议的...
深信服2019IPSEC&WOC高级A卷70分.rar
12-16
【标题解析】 "深信服2019IPSEC&WOC高级A卷70分.rar" 这个标题指的是深信服公司在2019年推出的针对IPSec(Internet Protocol Security)和WOC(Wireless Optimization Controller)技术的高级认证考试的一个练习卷或...
IKE 3
jianchaolv的专栏
08-24 2512
IKE第一阶段 IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列的计算,双方最终计算出共享密钥,并且即使第三方截获了交换中的所有数据,也无法计算出真正的密钥。其中的核心技术就是DH交换算法。 IKE协商第一阶段,参与通信的双方会生成4个秘密: SKEYID:后续三个都建立在它的基础上,由它推算出。 SKEYID_d:用于为ipsec衍生出加密的材料。 SKEYID_a
IPSEC详解
qq_45782298的博客
05-05 3万+
1、什么是IPSec IPSec(Internet Protocol Security)协议族是IETF(Internet Engineering Task Force)制定的一些列协议,它为IP数据包提供了高质量的、基于密码学的安全传输特性。特定的通信双方在IP层通过加密与数据源认证等方式,保证IP数据报在网络上传输的私有性、完整性和防重放。 私有性:指对用户数据进行加密,用密文形式进行传送。 完整性:指对接收的数据进行认证,以判定报文是否被篡改。 防重放:指防止恶意用户通过重复发送捕获到的数据包进行攻击
IPSEC 中的AH,ESP,SPI用途
Jesse的黑洞
12-12 9154
IPSEC的加密通信中包含了两个协议,分别为AH(Authentication header验证包头),ESP(Encapsulating security payload,封装安全包头)协议。 AH负责执行封包的完整性验证 ESP则是负责执行封包的加密动作。 不管AH包头或是ESP包头,其内都包含有一个SPI字段,而该SPI值就是告知接收端主机要使用IPSEC数据库
IPsec技术介绍(转)
Better Me的博客
02-03 3万+
目  录 IPsec IPsec简介 IPsec的协议实现 IPsec基本概念 加密卡 IPsec虚拟隧道接口 使用IPsec保护IPv6路由协议 IKE IKE简介 IKE的安全机制 IKE的交换过程 IKE在IPsec中的作用 IPsec与IKE的关系 IPsec IPsec简介 IPsec(IP Security)是IETF制定的三层隧道加密协议,
IPsec IKEv1 协商(预共享密钥认证,数字签名认证,公钥认证)
qq_47529104的博客
04-04 4659
主模式(预共享密钥身份认证) 主模式阶段一 (SA的协商) HDR, SA --> Ci SAi <-- HDR, SA Ci Cr SAr HDR就是指协议的首部,其中SA就是通信双方协商的安全联盟,我比较喜欢叫它安全套件,因为SA就是多个安全内容的集合,Ci,Cr就是通...
IKE协商过程中Commit位的作用
遇见你是我最美丽的意外
05-28 455
Commit位的作用 在ISAKMP协议的头部中有一个commit标记位, 这个commit位是干什么用的? 这个问题比较有意思, 虽然做了2年的IPsec,但是这个标志位我并没有注意过。问题来源是这样的: 我看到第一张图的时候,注意到报文发送之间差了将近10s, 因此第一感觉是报文丢了(没更具体到最后一个包),重发导致的。 但是当我看到第二个图的时候,好像出问题了: 这个明显不是由于报文丢弃重发的。 不过这个时候,我依然没有上心,只是感觉可能是环境或者抓包出错导致的;因为我以前也遇到过更奇葩的情况,例
IPsec SA 创建步骤——IKE协议
bytxl的专栏
09-16 9686
http://hi.baidu.com/wjjuseezugdgkre/item/08e82ce8dade97226dabb80e IPsec SA creation steps There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to creat IPSEC-S
IPSec IKE 笔记
qq_32778651的博客
05-15 308
1.IKE 3次交换 Initiator Responder ----------- ----------- HDR, SA --> <-- HDR, SA HDR, [ HASH(1), ] <Ni_b&g.
揭开IPSec谜团:初学者指南
"Demystifying the IPSec Puzzle" 是一本针对初学者编写的非常出色的IPSec技术教材。该书旨在帮助读者理解和解析长期以来相对狭窄的计算机安全领域,这个领域以前主要由理论计算机科学家、电气工程师和应用数学家...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值