IPSEC ×××之配置详解篇

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

无止境系列文档将以网络安全为方向，以专题的形式每周天发布，希望大家支持。

【阅读说明】

为了方便大家阅读，特作如下说明：

1. 专业术语或者一些概念用红色标识。

2. 重要或者强调的语句用蓝色标识。

3. 总结的部分用绿色标识。

【主要内容】

1.  IPSEC ×××理解

2.  封装模式

3.  IKE两个阶段

4.  ipsec ***配置

【IPSEC ×××理解】

IPSEC 是一套保护IP数据在不同的地点间传输时安全性的功能特性集。

×××可以仅仅是两个端点间的一条隧道或链路。

IPSEC ×××就是有安全保护的×××。

IPSEC有四个功能特性：数据机密性，数据完整性，数据源认证，防重放。

前面两篇已经介绍了上述概念（防重放除外），IPSEC ×××是通过相应的协议封装来实现的。

IPSEC使用的协议：

1）IKE，Internet Key Exchange，互联网密钥交换。

2）ESP，Encapsulation Security Payload，封装安全负载。

3）AH，Authentication Header，认证头。

通过IKE，ESP，AH这三个协议来保证IPSEC所提供的特性。

一。IKE介绍

IKE是协商和交换安全参数和认证密钥的体系框架。

使用isakmp和oakley协议来完成对等体验证和密钥生成工作。

二。ESP介绍

提供数据机密性，完整性，数据源认证和可选的防重放功能的体系框架。

可选机密性方法：esp-des esp-3des

可选数据源认证和完整性方法：esp-md5-hmac esp-sha-hmac

三。AH介绍

提供数据完整性，数据源认证和可选防重放功能的体系框架。

注意：没有提供机密性保护。

可选验证和完整性方法：ah-md5-hmac  ah-sha-hmac

IKE是必须要用到的协议，AH和ESP可以根据需要选择其中一个，或者也可以同时选择两个，但是同时使用ESP和AH效果不比单个好，所以建议仅选一个。

【封装模式】

封装模式有两种： 传输模式和隧道模式

传输模式：不改变原有的IP包头

隧道模式：增加新的IP头

一。传输模式

 

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

二。隧道模式

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

从上述图中可以看出：

1.传输模式保护的是×××端点间传送的数据包内容，隧道模式下保护的是整个IP包。

2.AH验证的内容是二层头部之后的整个数据包，ESP对外层新IP头没有进行认证。

【IKE阶段】

SA（security association），安全关联。是两个对等体之间协商一致的一组安全服务（参数）。

双向SA：进站和出战用的同一组服务参数。

单向SA： 进站和出站用的是不同的服务参数，一个用于入站，一个用于出站。

IKE阶段一：

主要目的：建立IKE安全通道

作用：

1）在IPSEC对等体之间建立一个双向的SA

2）实现对等体的验证

建立SA需要协商的内容：

加密算法，hash算法，DH算法，身份认证方法，存活时间

IKE阶段二，建立IPSEC SA。

目的：协商IPSEC安全参数

建立单向SA需要协商内容：

加密算法，hash算法，安全协议，封装模式，存活时间

IKE的SA这里不讨论。这里再详细介绍一下IPSEC SA。

1.  SA由SPD (security policy database)和SAD(SA database)组成。

2.  图解表示：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

           图3-3

 

SAD：每个客户端都使用SAD来跟踪所参与的SA，对每个客户端来说，都有两个SA。

一个用于数据进来的时候的算法集，一个用于数据出去的时候所使用的算法集。

SPD：包含了每个SA达成一致的参数。包括：加密算法，验证算法，IPSEC模式，密钥生命期。

虽然两个阶段都有协商加密算法、hash算法等，但是作用是不一样的。第一个阶段主要是为了先建立一个安全通道，是对isakmp消息自身的保护措施，跟用户的数据没有关系。第二个阶段才是真正协商对数据进行加密、完整性检验和认证的算法。

虽然是分为两个阶段，但是第二个阶段是要利用第一个阶段SA的相关内容的，所以两个阶段也是互相联系的。

 

【ipsec ***配置】

这部分比较长，见附件完整版。

 

下周主要内容预告：IPSEC ×××之深入理解篇（主要分析AH和ESP报文格式)   敬请期待！

本文出自 “追求无止境。。。” 博客，转载请与作者联系！

转载于:https://blog.51cto.com/weeyu/217948

ipsec ***之配置详解篇相关推荐

1. vsftp配置详解篇

   在配置安装vsftpd过程中,我遇到了很多坑?查了上百篇博客,才把这些坑一一填满.这里记录是为了方便后来者查阅,我也是个小白.有问题请不要客气,直接喷就是了! vsftpd 就是very secure ...

2. Nginx配置详解篇

   找出nginx的配置文件nginx.config whereid nginx nginx的配置文件如下: ########### 每个指令必须有分号结束.################# #user ...

3. spring之旅第四篇-注解配置详解

   spring之旅第四篇-注解配置详解 一.引言 最近因为找工作,导致很长时间没有更新,找工作的时候你会明白浪费的时间后面都是要还的,现在的每一点努力,将来也会给你回报的,但行好事,莫问前程!努力总不会 ...

4. 深入浅出Mybatis系列（四）---配置详解之typeAliases别名（mybatis源码篇）

   上篇文章<深入浅出Mybatis系列(三)---配置详解之properties与environments(mybatis源码篇)> 介绍了properties与environments, ...

5. mybatis 同名方法_MyBatis（四）：xml配置详解

   目录 1.我们将 数据库的配置语句写在 db.properties 文件中 2.在 mybatis-configuration.xml 中加载db.properties文件并读取 通过源码我们可以分析 ...

6. logback节点配置详解

   logback节点配置详解 一:根节点 <configuration></configuration> 属性 : debug : 默认为false ,设置为true时,将打印出 ...

7. PM配置详解之一：企业结构

   1.维护计划工厂 功能说明 在公司结构中定义维护工厂(通常已经作为后勤工厂存在)和维护计划工厂(简称计划工厂). 维护工厂:设备所安装的位置,如某机组安装在合营公司,那么合营公司就是此机组的维护工厂, ...

8. lvs keepalived 安装配置详解【转】

   lvs keepalived 安装配置详解 张映 发表于 2012-06-20 分类目录: 服务器相关 前段时间看了一篇文章,lvs做负载均衡根F5差不多,说实话不怎么相信,因为F5没玩过,也无法比较 ...

9. redis cluster 集群 安装 配置 详解

   redis cluster 集群 安装 配置 详解 张映 发表于 2015-05-01 分类目录: nosql 标签:cluster, redis, 安装, 配置, 集群 Redis 集群是一个提供在 ...

10. squid 的配置详解 （转）--SeriesI 收藏

    squid 的配置详解 (转)--SeriesI 收藏   使用过一段时间的SQUID代理,感觉虽然挺好用的单是过程还是挺曲折的,这个期间也在网络到处搜索了很多关于SQUID的说明文档,和教程.但是显 ...

最新文章

1. RabbitMQ 高频考点
2. 话里话外:信息化仅仅是信息化
3. 《漫画算法2》源码整理-6 两数之和 三数之和
4. c语言实现排列组合：实现matlab中的nchoosek函数
5. zookeeper 在 windows 下配置伪集群环境
6. 引入科研院所中科微研携手-林裕豪：从玉农业谋定农业大健康
7. Linux入门基础命令（四）
8. 利用TP-Link+花生壳建立属于自己的网站
9. 全球最值得模仿的500个网站（扫描版pdf）
10. 系统编程__2__父子进程的创建和回收
11. [转] 怎么固定KMPlayer窗口大小
12. 技术团队管理：需求之殇——你大妈不是你以前的大妈了，你大爷永远是你大爷
13. SV806 QT UI开发
14. T三茶说：客来敬茶，茶艺师教您如何奉茶！
15. c语言如何多核运行程序,对于多线程程序，单核cpu和多核cpu如何工作？
16. 关于在WIN10中使用照片查看器的问题
17. Android Studio配置gradle时或导入别人项目时提示Could not find com.android.tools.build:gradle
18. 中国人民银行招聘计算机水平,2019中国人民银行招聘计算机模拟试题及答案
19. Markdown语法详细整理
20. spss怎样使用计算机,spss如何进行反向计分？

热门文章

1. 计算机网络---数据链路层
2. 数据库中单个表数据备份
3. C# 编译或者解释？
4. Isolate -- Be Forget Feature Of The Object-Orient Programming
5. 影视.20190507
6. linux密码特殊字符识别
7. centos从安装到环境配置
8. 《软件工程实践》第一次作业 之第3题
9. java操作无符号数
10. Roland SRX Series for Mac - 罗兰SRX系列音频插件合集