ipsec 安全策略
IPSec協議簡介
針對Internet的安全需要,Internet工程任務組(IETF)頒佈了IP層安全標準IPSec。IPSec在IP層對數據包進行高強度的安全處理,提供包括訪問控制、無連接的完整性、數據源認證、抗重播(replay)保護(序列完整性(sequence integrity)的一個組成部分)、保密性和有限傳輸流保密性在內的服務。這些服務是基於IP層的,提供對IP及其上層協議的保護。
SA的定義
安全關聯(Security Association,SA)是兩個應用IPsec實體(主機、路由器)間的一個單向邏輯連接,決定保護什麼、如何保護以及誰來保護通信數據。它規定了用來保護數據包安全的IPsec協議、轉換方式、密鑰以及密鑰的有效存在時間等等。SA是單向的,要麼對數據包進行“進入”保護,要麼進行“外出”保護。 SA用一個三元組(安全參數索引SPI、目的IP地址、安全協議)唯一標識。
SA的作用
SA提供的安全服務取決於所選的安全協議(AH或ESP)、SA模式、SA作用的兩端點和安全協議所要求的服務。
des加密原理
DES 使用一個 56 位的密鑰以及附加的 8 位奇偶校驗位,產生最大 64 位的分組大小。這是一個迭代的分組密碼,使用稱爲 Feistel 的技術,其中將加密的文本塊分成兩半。使用子密鑰對其中一半應用循環功能,然後將輸出與另一半進行“異或”運算;接着交換這兩半,這一過程會繼續下去,但最後一個循環不交換。DES 使用 16 個循環,使用異或,置換,代換,移位操作四種基本運算。
esp
IPsec 封裝安全負載(IPsec ESP)是 IPsec 體系結構中的一種主要協議,其主要設計來在 IPv4 和 IPv6 中提供安全服務的混合應用。IPsec ESP 通過加密需要保護的數據以及在 IPsec ESP 的數據部分放置這些加密的數據來提供機密性和完整性。根據用戶安全要求,這個機制既可以用於加密一個傳輸層的段(如:TCP、UDP、ICMP、IGMP),也可以用於加密一整個的 IP 數據報。封裝受保護數據是非常必要的,這樣就可以爲整個原始數據報提供機密性。
tunnel協議
tunnel中文譯爲隧道,計算機網絡使用tunnel協議,當一個網絡協議(傳輸協議)封裝不同的有效載荷協議。通過使用tunnel1(例如)進行了一個不兼容的交付網絡的有效載荷,或通過一個不受信任的網絡提供一個安全的路徑。
tunnelOSI或TCP / IP分層協議模型如那些通常對比。傳遞協議通常(但不總是)在更高層次的模型相比,有效載荷的協議,或在同一水平。
如圖上的一個實驗
在交換機上配置
防火牆fw-1
配置默認路由
把端口加入區域
防火牆fw-2
默認路由
端口加入區域
防火牆fw-3
默認路由
端口加入區域
fw-1上配置訪問控制列表
協議加密類型des
協議校驗
policy1放入端口
fw-2
配置第二個隧道
fw-1
fw-3
測試
fw-1到fw-2
fw-1到fw-3
IPSec協議簡介
針對Internet的安全需要,Internet工程任務組(IETF)頒佈了IP層安全標準IPSec。IPSec在IP層對數據包進行高強度的安全處理,提供包括訪問控制、無連接的完整性、數據源認證、抗重播(replay)保護(序列完整性(sequence integrity)的一個組成部分)、保密性和有限傳輸流保密性在內的服務。這些服務是基於IP層的,提供對IP及其上層協議的保護。
SA的定義
安全關聯(Security Association,SA)是兩個應用IPsec實體(主機、路由器)間的一個單向邏輯連接,決定保護什麼、如何保護以及誰來保護通信數據。它規定了用來保護數據包安全的IPsec協議、轉換方式、密鑰以及密鑰的有效存在時間等等。SA是單向的,要麼對數據包進行“進入”保護,要麼進行“外出”保護。 SA用一個三元組(安全參數索引SPI、目的IP地址、安全協議)唯一標識。
SA的作用
SA提供的安全服務取決於所選的安全協議(AH或ESP)、SA模式、SA作用的兩端點和安全協議所要求的服務。
des加密原理
DES 使用一個 56 位的密鑰以及附加的 8 位奇偶校驗位,產生最大 64 位的分組大小。這是一個迭代的分組密碼,使用稱爲 Feistel 的技術,其中將加密的文本塊分成兩半。使用子密鑰對其中一半應用循環功能,然後將輸出與另一半進行“異或”運算;接着交換這兩半,這一過程會繼續下去,但最後一個循環不交換。DES 使用 16 個循環,使用異或,置換,代換,移位操作四種基本運算。
esp
IPsec 封裝安全負載(IPsec ESP)是 IPsec 體系結構中的一種主要協議,其主要設計來在 IPv4 和 IPv6 中提供安全服務的混合應用。IPsec ESP 通過加密需要保護的數據以及在 IPsec ESP 的數據部分放置這些加密的數據來提供機密性和完整性。根據用戶安全要求,這個機制既可以用於加密一個傳輸層的段(如:TCP、UDP、ICMP、IGMP),也可以用於加密一整個的 IP 數據報。封裝受保護數據是非常必要的,這樣就可以爲整個原始數據報提供機密性。
tunnel協議
tunnel中文譯爲隧道,計算機網絡使用tunnel協議,當一個網絡協議(傳輸協議)封裝不同的有效載荷協議。通過使用tunnel1(例如)進行了一個不兼容的交付網絡的有效載荷,或通過一個不受信任的網絡提供一個安全的路徑。
tunnelOSI或TCP / IP分層協議模型如那些通常對比。傳遞協議通常(但不總是)在更高層次的模型相比,有效載荷的協議,或在同一水平。
如圖上的一個實驗
在交換機上配置
防火牆fw-1
配置默認路由
把端口加入區域
防火牆fw-2
默認路由
端口加入區域
防火牆fw-3
默認路由
端口加入區域
fw-1上配置訪問控制列表
協議加密類型des
協議校驗
policy1放入端口
fw-2
配置第二個隧道
fw-1
fw-3
測試
fw-1到fw-2
fw-1到fw-3