ipsec协议(转)
2012-03-25 23:40:28
IPSec 协议简介
IPsec具有以下优点:
支持IKE(Internet Key Exchange,因特网密钥交换),可实现密钥的自动协商功能,减少了密钥协商的开销。可以通过IKE建立和维护SA的服务,简化了IPsec的使用和管理。
所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec,而不必对这些应用系统和服务本身做任何修改。
对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络攻击。
IPsec的协议实现
IPSec 通过AH (Authentication Header,认证头)和ESP (Encapsulating Security Payload,封装安全载荷)两个安全协议实现了上述目标。为简化 IPSec 的使用和管理,IPSec 还可以通过 IKE(Internet Key Exchange,因特网密钥交换协议)进行自动协商交换密钥、建立和维护安全联盟的服务。
IPsec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。
IPsec协议中的AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供数据可靠性保证。
(1) AH 协议(IP协议号为51)
AH 是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能;然而,AH 并不加密所保护的数据报。
(2) ESP 协议(IP协议号为50)
ESP 是封装安全载荷协议。它除提供AH 协议的所有功能外(但其数据完整性校验不包括 IP头),还可提供对 IP 报文的加密功能。
说明:
AH 和ESP 可以单独使用,也可以同时使用。对于AH 和ESP,都有两种操作模式:传输模式和隧道模式。
(3) IKE 协议
IKE 协议用于自动协商AH 和 ESP 所使用的密码算法,并将算法所需的必备密钥放到恰当位置。
说明: IKE 协商并不是必须的,IPSec 所使用的策略和算法等也可以手工协商。
IPSec 基本概念
1. 安全联盟
IPSec 在两个端点之间提供安全通信,端点被称为 IPSec 对等体。
IPSec 能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。通过 SA (Security Association,安全联盟),IPSec 能够对不同的数据流提供不同级别的安全保护。
安全联盟具有生存周期。生存周期的计算包括两种方式:
以时间为限制,每隔指定长度的时间就进行更新;
以流量为限制,每传输指定的数据量(字节)就进行更新。
2. 安全联盟的协商方式
安全联盟的协商方式有两种,一种是手工方式(manual),一种是 IKE自动协商(isakmp)方式。
手工方式(manual)配置比较复杂,创建SA所需的全部信息都必须手工配置,而且不支持一些高级特性(例如定时更新密钥),但优点是可以不依赖IKE而单独实现IPsec功能。
IKE自动协商(isakmp)方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护SA。
当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置SA是可行的。对于中、大型的动态网络环境中,推荐使用IKE协商建立SA
3. IPSec协议的操作模式
IPSec协议有两种操作模式:传输模式和隧道模式。SA中指定了协议的操作模式。在传输模式下,AH或 ESP被插入到IP头之后但在所有传输层协议之前,或所有其他 IPSec协议之前。在隧道模式下,AH或 ESP插在原始 IP头之前,另外生成一个新头放到 AH或 ESP之前。不同安全协议在传输模式和隧道模式下的数据封装形式(传输协议以 TCP为例)如下图所示:
4. 验证算法与加密算法
IPSec配置
acl acl-number
rule { normal | special }{ permit | deny } pro-number[source source-addr source-wildcard | any ][source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ][destination-port operator port1 [ port2 ] ] [icmp-type icmp-type icmp-code][logging]
AH16进制密钥 sa { inbound | outbound } ah hex-key-string hex-key
AH 字符密钥 sa { inbound | outbound } ah string-key string-key
ESP16进制密钥 sa { inbound | outbound } esp encryption-hex hex-key
ESP字符密钥 sa { inbound | outbound } esp string-key string-key
2. 自动协商配置
3.IPSec显示与调试
IPSec 提供以下命令显示安全联盟、安全联盟生存周期、安全提议、安全策略的信息以及 IPSec处理的报文的统计信息。
display命令可在所有视图下进行操作,debugging命令只能在用户视图下操作。
显示安全联盟的相关信息 display ipsec sa [ brief | remote ip-address | policy policy-name[ seq-number ] | duration ] [ secp [ slot/card/port ] ]
显示IPSec处理报文的统计信息 display ipsec statistics [ secp [ slot/card/port ] ]
显示安全提议的信息 display ipsec proposal [ name proposal-name ] [ secp [slot/card/port ] ]
显示安全策略的信息 display ipsec policy [ brief | name policy-name [ seq-number ] ] [secp [ slot/card/port ] ]
显示安全策略模板的信息 display ipsec policy-template [ brief | name policy-name [ seq-number ] ] [ secp [ slot/card/port ] ]
打开IPSec的调试功能 debugging ipsec { all | sa | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] | misc | secp-setting } [ secp [slot/card/port ] ]
禁止IPSec的调试功能 undo debugging ipsec { all | sa | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] | misc | secp-setting } [ secp [slot/card/port ] ]
ipsec协议(转)相关推荐
- ipsec协议_网工知识角轻松学网络|三分钟了解PPPOE协议
学网络,就在IE-LAB 国内高端网络工程师培养基地 PPPOE( Point-to-PointProtocol Over Ethernet)以太网上的点对点协议,是将点对点协议(PPP)封装在以太网 ...
- 什么是IPsec协议
IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH).封装安全载荷协议Encapsulating ...
- 配置×××服务器使用L2TP/IPSEC协议
配置×××服务器使用L2TP/IPSEC协议<?XML:NAMESPACE PREFIX = O /> 在ISA2006中配置了×××地址池,选择了×××协议,创建了防火墙策略,检 ...
- 4. 根据UDP端口号抓IPsec协议默认的500/4500端口报文
根据UDP端口号抓IPsec协议默认的500/4500端口报文 另外, 根据IP报头之中的1个字节协议类型字段区分UDP/TCP UDP编码0x11=17 TCP编码为0x06=6 -- 另外, 抓I ...
- (十一)IPSec协议
IPSec协议 网络层安全协议IPSec是由IETF制定,为IPv4(可选)和IPv6(强制)协议提供基于加密安全的一个安全协议组.IPSec主要功能: 1)认证:确保通信的数据接收方能确定数据发送方 ...
- IPSec基础-IPSec协议类型
IPSec提供了两种安全机制:认证和加密.认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改.加密机制通过 对数据进行编码来保证数据的机密性,以防数据在传输过程中 ...
- IPSec 协议族的理解
IPSEC IPSec,IP Security,是 IETF 制定的一系列协议,端到端的确保 IP 层通信安全的机制/框架,用于保证在 Internet 上传送数据的安全保密性能 因为 IPv4 缺乏 ...
- linux ipsec内核,XFRM -- IPsec协议的内核实现框架
IPsec协议帮助IP层建立安全可信的数据包传输通道.当前已经有了如StrongSwan.OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送. XFRM ...
- 【计算机网络系列】IPSec 协议
IPsec 虚拟私密网络 关键技术 隧道技术 数据加密 身份认证 密钥管理 访问控制 网络管理 隧道技术 构建 虚拟私密网络 的核心技术 隧道:通过Internet提供安全的点到点(或端到端)的数据传 ...
最新文章
- java游戏开发--连连看-让程序运行更稳定、更高效
- 安卓菜单选项 Popup_Menu / Context_Menu / Option_Menu
- HttpURLConnection 发送post请求。并将结果以JSONObject对象返回的轮子
- ios plist 国际化_Java与iOS对话:Java对象与Apple plist序列化
- markdown-Macdown
- ios--小结系列六
- git 上传项目到github
- WordPress采集插件-WordPress文章自动采集发布
- 学习语文必须掌握的知识点思维导图
- FlexBuilder安装和HelloWorld例子
- 计算机分析桁架受力,空腹悬挑桁架受力分析
- Macbook reset PRAM
- 所有的IT男都会蛮光头?来看看编程语言之父们的头发
- 数据库系统SQL编程-02
- 基于单片机原理的暖风机控制系统设计-毕设课设资料
- 华为模拟器eNSP配置DHCP自动分配IP地址
- c#用canny算子做边缘提取_matlab-如何进行边缘检测/边缘提取(对弹孔进行边缘检测)
- 零基础学UI设计难吗?
- spring data JPA常用注解
- 被误以为外国佬开发的4款国产软件,早年默默无闻,如今声名鹊起
热门文章
- 模块20135304——刘世鹏
- 转:性能测试中的性能测试指标与用户体验分析
- Asp.net 邮件传输(转)
- matlab三参数拟合函数,数据拟合,有三个参数,提示拟合参数太多,谢谢您啦!...
- hdu4291 暴力循环节+矩阵快速幂
- 【Linux 内核】进程管理 task_struct 结构体 ① ( task_struct 结构体引入 | task_struct 代码示例 )
- 【Android 逆向】IDA 工具使用 ( 同步指定的 IDA View 视图 | Hex View 数据格式 | 过滤设置 )
- 【计算机网络】网络层 : 网络层简介 ( 功能 | 拥塞控制 )
- 【DBMS 数据库管理系统】数据仓库中 数据追加 ( 时标方法 | DELTA 文件法 | 前后映像文件法 | 日志文件法 )
- tree树的展示,check树的展示,json数据转zree树格式数据