查看: 3702|回复: 51

H3C IPSec基本原理及配置指导 H3C安全技术配置文档

  [复制链接]

1040

主题

1186

帖子

1万

积分

分区版主

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

贡献
32
技术
24
活跃
5
在线时间
39 小时
擅长技术
思科华为
发表于 2014-2-12 15:53:10 | 显示全部楼层 |阅读模式


H3C IPSec基本原理及配置指导  H3C安全技术配置文档


文档节选:IPSec 基本原理及配置指导
一、IPSec 描述:
1、IPSec 在RFC2401 中描述了IP 得安全体系结构IPSec,以便保证在IP 网络
数据传输的安全性。
2、IPSec 在IP 层对IP 报文提供安全服务。
3、IPSec 并非单一协议,而是由一系列的安全开放标准构成。
4、IPSec 实现于OSI 参考模型的网络层,因此,上层的协议都可以得到IPSec
的保护。
5、IPSec 是一个可扩展的体系,不受任何一种算法的局限,可以引入多种开放
的验证算法。
6、IPSec 的缺点是难部署,协议体系复杂,不支持组播,只能对点对点的数据
进行保护,不利于语音视频实时性高的应用。
二、IPSec 体系结构
1、IPSec 使用两种安全协议来提供通信安全服务:
i. AH(验证头):AH 提供完整性保护和数据源验证以及可选的抗重播
服务,但是不能提供机密性保护。
ii. ESP(封装安全载荷):ESP 可以提供AH 的所有功能,而且还可以
提供加密功能。
2、AH 和ESP 可以单独使用,也可以一起使用,从而提供额外的安全性。
3、安全协议AH 和ESP 都具有两种工作模式:
i. 传输模式:用于保护端到端的安全性。
ii. 隧道模式:用于保护点到点的安全性。
4、IPSec 通过两种途径获得密钥:
i. 手工配置:管理员预先手工配置,这种方法不便于随时更改,安全
性较低,不易维护。
ii. 通过IKE 协商,通信双方可以通过IKE 动态生成并交换密钥,获得更
高的安全性。
5、IPSec SA(安全联盟)
i. SA 提供IPSec 数据流安全服务的基础概念。
ii. SA 是通信双方就如何保证通信安全达成的一个协定。具体确定了对
IP 报文进行处理。
iii. SA 是单向的,入站数据流和出站数据流分别由入站SA 和出站SA
处理。
iv. 一个SA 由(SPI,IP 目的地址,安全参数索引)构成。
v. SA 可以手工配置,也可以通过IKE 自动协商生成。
vi. SA 的生存时间有“以时间进行限制”和“以流量进行限制”。
vii. IPSec 把类似“对哪些数据提供哪些服务”这样的信息储存在SPD
(安全策略数据库)中,而SPD 中的项指向SAD(安全联盟数据库),
如果,一个需要加密的出站数据包,系统会将他与SPD 进行比较,
如果匹配一项,系统会使用该项对应的SA 以及算法进行对数据包的
加密。否则,需要新建一个SA。
6、IKE
i. 无论是AH 还是ESP,在对一个IP 包进行操作之前,首先必须要建
立一个IPSec SA,IPSec SA 可以手工建立,也可以通过IKE 协商建
立。
ii. IKE 可以为IPSec 提供自动协商交换密钥,建立SA 服务,能够简化
IPSec 的使用和管理,大大的简化了IPSec 的配置和管理。
iii. IKE 不在网上直接传送密钥,而是通过DH 交换,最终计算出双方的
共享密钥。
iv. IKE 可以定时更新SA,也可以定时更新密钥,而且各个SA 之间没有
关系。
v. IKE 采用了ISAKMP 所定义的密钥交换框架体系。
7、IKE 与IPSec 的关系
i. IPSec 利用SPD 来判断一个数据包是否需要安全服务,当需要安全
服务时,就会去SAD 去查找相应的IPSec SA,IPSecSA 有两种生
成方式,一种是通过管理员手工配置,另外一种是通过IKE 协商完成。
ii. IKE 为IPSec 提供PFS 特性。
iii. IKE 不仅用于IPSec,他是一个通用的交换协议,可以用于交换任何
的共享密钥。例如RIP、OSPF 的安全协商服务。
8、IKE 的协商阶段
i. IKE 也使用SA(IKE-SA),与IPSec SA 不同,IKE SA 是用于保护一
对节点之间通信的密钥和策略的一个集合。
ii. IKE 的两个协商阶段:
1. 阶段1:IKE 使用DH 交换建立共享密钥,在网络上建立一个IKE
SA,为阶段2 协商提供保护。其交换模式分为主模式和野蛮模
式。


购买主题 已有 1 人购买  本主题需向作者支付 3 金币 才能浏览

0

主题

627

帖子

7337

积分

论坛VIP原价+免回复特权

Rank: 8Rank: 8

贡献
0
技术
0
活跃
-3
在线时间
0 小时
发表于 2014-3-16 11:12:50 | 显示全部楼层
学习CCNA,CCNP,CCIE技术就来www.santongit.com!

0

主题

633

帖子

1万

积分

论坛VIP原价+免回复特权

Rank: 8Rank: 8

贡献
0
技术
0
活跃
-1
在线时间
0 小时
发表于 2014-3-22 22:31:38 | 显示全部楼层
微软,Linux,操作系统技术尽在www.santongit.com!

0

主题

641

帖子

7358

积分

论坛VIP原价+免回复特权

Rank: 8Rank: 8

贡献
0
技术
0
活跃
-1
在线时间
0 小时
发表于 2014-4-7 15:42:29 | 显示全部楼层
微软,Linux,操作系统技术尽在www.santongit.com!

0

主题

218

帖子

622

积分

Mib

Rank: 4

贡献
0
技术
0
活跃
-4
在线时间
0 小时
发表于 2014-4-13 01:37:54 | 显示全部楼层
这个你能信?反正我信了!

0

主题

561

帖子

2805

积分

论坛VIP原价+免回复特权

Rank: 8Rank: 8

贡献
0
技术
1
活跃
-2
在线时间
0 小时
发表于 2014-4-13 23:36:47 | 显示全部楼层
什么?你说的这个是真的?

0

主题

99

帖子

672

积分

论坛贵宾VIP-永久权限

Rank: 8Rank: 8

贡献
0
技术
0
活跃
117
在线时间
12 小时
发表于 2016-5-6 13:45:57 | 显示全部楼层
谢谢楼主分享啦

0

主题

2186

帖子

1万

积分

Dib

Rank: 12Rank: 12Rank: 12

贡献
0
技术
0
活跃
3048
在线时间
216 小时
发表于 2016-8-20 09:44:32 | 显示全部楼层
很棒呢,值得一看

0

主题

936

帖子

6271

积分

Yib

Rank: 10Rank: 10Rank: 10

贡献
-100
技术
0
活跃
1301
在线时间
58 小时
发表于 2016-8-20 21:22:28 | 显示全部楼层
ipsec确实需要好好看看啊
使用 高级模式(可批量传图、插入视频等)
您需要登录后才可以回帖 登录 | 立即注册

快速回复 返回顶部 返回列表