我对ipsec的感觉

最新推荐文章于 2024-08-22 09:47:53 发布
最新推荐文章于 2024-08-22 09:47:53 发布
阅读量820 收藏
点赞数
分类专栏: linux_ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanzc1/article/details/79302807
版权

###################

linux中 ipsec的一些特点..


ipsec通信部分的功能是由linux内核中的模块来实现的. 协商相关的协议(listen udp 500, udp 4500)之类的是支持ike协议的守护进程来实现的. 

守护进程部分有几个程序可以选择.


图片来源:  http://www.docin.com/p-1200866853.html


SAD  ipsec SA设置 ,可以用setkey手动设置.也可以用racoon这样的程序通过协商来进行设置.

SPD  设置哪些数据要通过指定的SA条目进行发送和接收. 可以setkey手动设置. 还没看racoon或是racoon-tool来设置.


###################

我目前对ipsec的认识.

ipsec协议出现得比较早. 它不直接支持vpn接口,路由设置等功通.  从功能上相比是无法和后期的openvpn之类的程序相比.这个问题可能也是往往linux用户不太容易对它太感兴趣. 但很多网络设备,网络安全设备都还支持它.比较习惯使用它.

ipsec协议 相当复杂, 可以支持的网络方案也相对比较多. 学习和实际部署都比较麻烦.

ipsec 使用 ike aggressive 方式协商有点儿安全风险.(忘了看到的网址.)

ipsec协议通过 nat 是比较复杂的. 简单的来说 esp_tunnel方式 与 在其它安全通道中使用ipsec是可行的. 在出口做dnat配合协商的方式还是多少会有问题. ... 这个问题需要继续加深功力才能继续分析.


##################

我感觉ipsec比较有用的网络方案.

在公网之间服务器通信.可以使用手动设置或比较简单的设备. 保证服务器之间通信的安全性.比如为SQL数据库服务器提供安全通信方案时.

在其他VPN通道中使用ipsec实现加密.(实际应用应该是套在其它vpn协议外层的.)

和windows客户机或其它操作系统组建接入网络. 感觉复杂程度也是相当高.

与其他网络设备,网络安全设备对接. 这个有点儿话提太大了..


#################

其它信息.

intel cpu有些包领导了 aes加密指定. 这会不会使ipsec使用aes通信加速? 希望有时间测试试一下.

ipsec 的设置和组网方式. 种类太多了! 协议相关的rfc也实在是太多了!

塞子
关注
专栏目录
IPSec
weixin_37123068的博客
05-18 580
IPsec(InternetProtocol Security)是IETF(InternetEngineering Task Force,Interne,工程任务组)制定的三层隧道加密协议,工作在网络层,提供机密性(Confidentiality)、完整性(Data Integrity)、数据来源验证(Data Authentication)、防重放(Anti-Replay、拒绝过时或重复的),...
IPsec分析/测试/
dj443100的博客
11-27 855
一 局域网拓扑图 局域网环境搭建步骤: (升级最新版本 ,恢复出厂设置后) 1 两台网关wan口直连,分别接两台pc , 2 局域网网络测试,正常情况下PC1 和PC2 互通 ,测试通过在进行ipsec的配置 (参考 http://blog.csdn.net/zhangyang0...
ipsec
liuningning00的博客
02-28 587
第一阶段 R2(config)#crypto isakmp policy 10 (保护优先级10) R2(config-isakmp)#encryption aes(封装加密aes) R2(config-isakmp)#authentication pre-share (认证域共享秘钥) R2(config-isakmp)#hash sha(哈希选sha) R2(config-isakmp)#gr
vowfi中IPSEC port 500、4500端口解释
最新发布
qq_25467441的博客
08-22 281
是 Internet Security Association and Key Management Protocol (ISAKMP)刚开始用500,后面对方监测到有NAT,马上就把端口改到4500,同时追加UDP封装到IKE和ESP上面。2.UDP PORT 4500是 UDP-encapsulated ESP and IKE端口号。关于IPSEC 500、4500端口的问题,经过查阅相关RFC,做以下澄清。标准IPSEC建立过程中,只有500,没有4500
IPSEC
weixin_43385243的博客
09-15 243
IPSEC 私密性: 对称算法:加密的是数据,通信双方用公共的钥匙。40~256 非对称算法:加密的是对称算法的钥匙,它有一对钥匙,通常为公钥,私钥,公钥通常让对端或通信一端都有,但私钥只属于自己,当A与B通信时,A将自己的对称算法的钥匙用B的公钥加密,然后发送给B,B收到A的加密报文,用自己的私钥解密,从而得到A的对称算法的钥匙。 当A正常通信时,A把密文、钥匙用B的非对称算法公钥加密...
看了一次strongswan ipsec的设置.
塞子 迷糊地....
07-15 1356
测试使用 strongswan与 hillstone防火墙建立ipsec连接
HCIE-Security Day28:IPSec:实验(三)总部采用ISAKMP方式安全策略组与分支机构之间建立IPSec PN
小梁的博客
03-20 741
ISAKMP方式IPSec安全策略适用于对端IP地址固定的场景,一般用于分支的配置。 ISAKMP方式IPSec安全策略直接在IPSec安全策略视图中定义需要协商的各参数,协商发起方和响应方参数必须配置相同。配置了ISAKMP方式IPSec安全策略的一端可以主动发起协商。 如果说isakmp方式中ike的协商过程让我们感觉到采用手工配置的方法更简单,更好理解ipsec,那么我们使用总部分支的结构来理解isakmp的方式,就会发现比手工方式还是简单一些的。 需求和拓扑 某企业分为总部和两个分支...
Linux网络协议栈9--ipsec收发流程
bigsheng2的博客
02-04 2594
IPSec协议帮助IP层建立安全可信的数据传输通道。当前已经如strongswan、openswan等比较成熟稳定的开源项目做协议层的控制。但他们最终都是使用的内核的XFRM框架做报文的封装发送和接收解封,只不过内核的转发表项数据是由他们生成的。 XFRM,是transfrom的简写。 ######IPSec解封流程 流程路径:ip_rcv() --> ip_rcv_finish() --> ip_local_deliver() --> ip_local_deliver_fini
山石网科-Hillstone-路由模式的IPSEC-***之配置终结篇
weixin_34306446的博客
07-29 2875
首先,当然第一件事情,是要理清思路了,这一点对一个工程师来讲是必须且非常重要的一步。第一步,新建IPsec-***。第二步,配置第一阶段相关参数。(高级可选参数,DPD对端存活检测/NAT穿越都可以勾选上,这个不是协商参数)第三步,配置第二阶段相关参数。注意(如果俩端都是山石设备,即可以不用配置代理ID,选择自动即可,若不是,请填写代理ID。PS:代理ID只是协商让IPsec...
IPsec
IT界的无名小卒
02-28 947
上一篇文中,向大家介绍了VPN的类型和功能,其中讲到了IPsec的VPN加密模式。那么本文我们就来看一下IPsec是怎么对VPN数据进行加密的。本文内容同样摘自Cisco安全培训。 IPsec 技术 IPsec 是一种 IETF 标准 (RFC 2401-2412),定义了如何通过 IP 网络保护 VPN。IPsec 为源与目的地之间的 IP 数据提供保护和认证。IPsec 可以保护第 4 层至第 7 层的流量。 IPsec 使用 IPsec 框架,可提供以下重要安全功能: 保密性 - IPsec会使用加
使用IPsec
Uchiha Itachi 的专栏
05-09 757
      这里实验使用的两台windows xp,一台在vmware上,通过桥接在一个局域网内。>gpedit.msc打开组策略编辑器。>本地计算机策略>windows>安全策略>IP策略将右边的“安全服务器”设定为“指派”,然后修改IP,ICMP报文的安全策略都为“需要安全”,然后在”身份认证方法“选单中新建一个方法,选择最下面一个“使用此字符串(共享密钥)”,然后在另一台机器上也做同
什么是IPsec
weixin_41999297的博客
12-29 3422
什么是IPsec?什么是IPsec?什么是IPsec VPN?IPsec是如何工作的?IPsec的3个重要协议- IKE/AH/ESPIKE(Internet Key Exchange,因特网密钥交换)AH(Authentication Header,认证头)ESP(Encapsulating Security Payload,封装安全载荷)IPsec使用的端口IPsec VPN和SSL VPN对比配置部署安全性访问控制 什么是IPsecIPsec(Internet Protocol Security)
IPSEC详解
热门推荐
qq_45782298的博客
05-05 3万+
1、什么是IPSec IPSec(Internet Protocol Security)协议族是IETF(Internet Engineering Task Force)制定的一些列协议,它为IP数据提供了高质量的、基于密码学的安全传输特性。特定的通信双方在IP层通过加密与数据源认证等方式,保证IP数据报在网络上传输的私有性、完整性和防重放。 私有性:指对用户数据进行加密,用密文形式进行传送。 完整性:指对接收的数据进行认证,以判定报文是否被篡改。 防重放:指防止恶意用户通过重复发送捕获到的数据进行攻击
IPsec介绍
u014023993的专栏
01-21 2263
目录 1. IPsec概述 2. 安全体系 2.1 Authentication Header(AH) 2.2 Encapsulating Security Payload(ESP) 2.3 Security association(SA) 3. 运行模式 3.1 传输模式 3.2 隧道模式 4 Security Association(SA) 4.1 SA概述 4.2 SA...
IPSEC简析
qq_36169917的博客
08-18 242
简介 ipsec不是单一的协议,而是由一系列开放的标准构成。 工作在网络层 ipsec可以实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能 也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等问题 IPSEC体系结构 ipsec概述 安全协议 定义加密和验证算法 AH(验证头):提供数据完整性校验、数据源验证、可选的抗重播服务,但是不支持机密性保护 ESP(封装安全载荷):提供ah所有功能,还能提供加密服务。ah和esp可以组合使用。
Linux IPsec隧道技术详解
"基于Linux的IPSec之路" 在讲解基于Linux的IPSec之前,我们先了解下Tunnel技术。Tunnel技术是解决多办公点间私有网络互访的一种方法,它通过创建隧道来传输内网数据,使得私有IP地址能够在公网中路由。在第1章中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值