ipsec 安全策略
IPSec协议简介
针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP层安全标准IPSec。IPSec在IP层对数据包进行高强度的安全处理,提供包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务。这些服务是基于IP层的,提供对IP及其上层协议的保护。
SA的定义
安全关联(Security Association,SA)是两个应用IPsec实体(主机、路由器)间的一个单向逻辑连接,决定保护什么、如何保护以及谁来保护通信数据。它规定了用来保护数据包安全的IPsec协议、转换方式、密钥以及密钥的有效存在时间等等。SA是单向的,要么对数据包进行“进入”保护,要么进行“外出”保护。 SA用一个三元组(安全参数索引SPI、目的IP地址、安全协议)唯一标识。
SA的作用
SA提供的安全服务取决于所选的安全协议(AH或ESP)、SA模式、SA作用的两端点和安全协议所要求的服务。
des加密原理
DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位,产生最大 64 位的分组大小。这是一个迭代的分组密码,使用称为 Feistel 的技术,其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES 使用 16 个循环,使用异或,置换,代换,移位操作四种基本运算。
esp
IPsec 封装安全负载(IPsec ESP)是 IPsec 体系结构中的一种主要协议,其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性。
tunnel协议
tunnel中文译为隧道,计算机网络使用tunnel协议,当一个网络协议(传输协议)封装不同的有效载荷协议。通过使用tunnel1(例如)进行了一个不兼容的交付网络的有效载荷,或通过一个不受信任的网络提供一个安全的路径。
tunnelOSI或TCP / IP分层协议模型如那些通常对比。传递协议通常(但不总是)在更高层次的模型相比,有效载荷的协议,或在同一水平。
如图上的一个实验
在交换机上配置
防火墙fw-1
配置默认路由
把端口加入区域
防火墙fw-2
默认路由
端口加入区域
防火墙fw-3
默认路由
端口加入区域
fw-1上配置访问控制列表
协议加密类型des
协议校验
policy1放入端口
fw-2
配置第二个隧道
fw-1
fw-3
测试
fw-1到fw-2
fw-1到fw-3
IPSec协议简介
针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP层安全标准IPSec。IPSec在IP层对数据包进行高强度的安全处理,提供包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务。这些服务是基于IP层的,提供对IP及其上层协议的保护。
SA的定义
安全关联(Security Association,SA)是两个应用IPsec实体(主机、路由器)间的一个单向逻辑连接,决定保护什么、如何保护以及谁来保护通信数据。它规定了用来保护数据包安全的IPsec协议、转换方式、密钥以及密钥的有效存在时间等等。SA是单向的,要么对数据包进行“进入”保护,要么进行“外出”保护。 SA用一个三元组(安全参数索引SPI、目的IP地址、安全协议)唯一标识。
SA的作用
SA提供的安全服务取决于所选的安全协议(AH或ESP)、SA模式、SA作用的两端点和安全协议所要求的服务。
des加密原理
DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位,产生最大 64 位的分组大小。这是一个迭代的分组密码,使用称为 Feistel 的技术,其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES 使用 16 个循环,使用异或,置换,代换,移位操作四种基本运算。
esp
IPsec 封装安全负载(IPsec ESP)是 IPsec 体系结构中的一种主要协议,其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性。
tunnel协议
tunnel中文译为隧道,计算机网络使用tunnel协议,当一个网络协议(传输协议)封装不同的有效载荷协议。通过使用tunnel1(例如)进行了一个不兼容的交付网络的有效载荷,或通过一个不受信任的网络提供一个安全的路径。
tunnelOSI或TCP / IP分层协议模型如那些通常对比。传递协议通常(但不总是)在更高层次的模型相比,有效载荷的协议,或在同一水平。
如图上的一个实验
在交换机上配置
防火墙fw-1
配置默认路由
把端口加入区域
防火墙fw-2
默认路由
端口加入区域
防火墙fw-3
默认路由
端口加入区域
fw-1上配置访问控制列表
协议加密类型des
协议校验
policy1放入端口
fw-2
配置第二个隧道
fw-1
fw-3
测试
fw-1到fw-2
fw-1到fw-3