1.IPSEC簡介
IPSec 是包括安全協議(Security Protocol)和密鑰交換協議(IKE),由IETF(Internet Engineering TaskForce,Internet 工程任務組)開發的,可爲通訊雙方提供訪問控制、無連接的完整性、數據來源認證、反重放、加密以及對數據流分類加密等服務的一系列網絡安全協議的總稱,其中安全協議又包括AH(頭驗證協議)和ESP(安全封裝載荷);而IKE是一種基於ISAKMP(Internet Security Association and Key Management Protocol,互聯網安全關聯和密鑰管理協議)中TCP/IP框架,合併了Oakley(密鑰交換協議)的一部分和SKEME(密鑰技術協議)的混合協議。
2.IPSEC的安全特性
(1)不可否認性;
(2)抗重播性(Anti-Replay): IPsec接收方可根據數據包數據段前加入的32位序列號來檢測每個IP包的唯一性並拒絕接收過時或重複的報文,以防止***者截取破譯信息後,再用相同的信息包冒取非法訪問權(即使這種冒取行爲發生在數月之後)。
(3)數據完整性(Data Integrity): IPsec接收方利用md5,sha-1等哈希算法對發送方發送來的包進行認證,防止傳輸過程中數據被篡改,確保發出數據和接收數據的一致性。
(4)數據可靠性(Confidentiality):IPsec發送方在通過des,3des,aes等對稱加密算法在網絡傳輸包前對包進行加密,保證在傳輸過程中,即使數據包遭截取,信息也無法被讀。該特性在IPSec中爲可選項,與IPSec策略的具體設置相關。
(5)數據來源認證(Data Authentication):IPsec在接收端通過pre-shared key(預共享密鑰),證書,kerberos v5等可以認證發送IPsec報文的發送端是否合法。
3.IPSEC的工作模式
(1)隧道(tunnel)模式:用戶的整個IP數據包被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常,隧道模式應用在網絡與網絡之間。產生新的ip頭部。
(2)傳輸(transport)模式:只是傳輸層數據被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭後面。通常,傳輸模式應用在局域網內部,主機之間,並不產生新的ip頭部。
4.IPSEC安全機制中兩種協議的比較
IPSec 基於端對端的安全模式,在源 IP 和目標 IP 地址之間建立信任和安全性,主要由兩種安全協議來實現:
AH協議(IP協議號爲51)提供數據源認證、數據完整性校驗和抗重播功能,它能保護通信免受篡改,但不能防止竊聽,適合用於傳輸非機密數據。AH的工作原理是在每一個數據包上添加一個身份驗證報文頭,此報文頭插在標準IP包頭後面,對數據提供完整性保護,AH不支持NAT轉換,也不能防止被竊聽,適合用於傳輸非機密數據
ESP協議(IP協議號爲50)提供加密、數據源認證、數據完整性校驗和抗重播功能。ESP的工作原理是在每一個數據包的標準IP包頭後面添加一個ESP報文頭,並在數據包後面追加一個ESP尾。與AH協議不同的是,ESP將需要保護的用戶數據進行加密後再封裝到IP包中,以保證數據的機密性。
下圖更好的解釋了AH和ESP在IPSEC兩種工作模式下對數據包的加密與認證
案例1 h3c實現ipsec ***主模式
路由器、防火牆實現ipsec手動協商,isakmp動態協商案例配置
案例2 h3c實現ipsec野蠻模式
案例3 juniper實現ipsec的主模式
案例4 juniper實現ipsec的野蠻模式
因字數過多,見附件…… 望見諒