IPsec 在企业网中的应用
IPSEC在企业网中的应用
1.IPSEC简介
IPSec 是包括安全协议(Security Protocol)和密钥交换协议(IKE),由IETF(Internet Engineering TaskForce,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务的一系列网络安全协议的总称,其中安全协议又包括AH(头验证协议)和ESP(安全封装载荷);而IKE是一种基于ISAKMP(Internet Security Association and Key Management Protocol,互联网安全关联和密钥管理协议)中TCP/IP框架,合并了Oakley(密钥交换协议)的一部分和SKEME(密钥技术协议)的混合协议。
2.IPSEC的安全特性
(1)不可否认性:"不可否认性"可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。
(2)抗重播性(Anti-Replay): IPsec接收方可根据数据包数据段前加入的32位序列号来检测每个IP包的唯一性并拒绝接收过时或重复的报文,以防止***者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。
(3)数据完整性(Data Integrity): IPsec接收方利用md5,sha-1等哈希算法对发送方发送来的包进行认证,防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。
(4)数据可靠性(Confidentiality):IPsec发送方在通过des,3des,aes等对称加密算法在网络传输包前对包进行加密,保证在传输过程中,即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。
(5)数据来源认证(Data Authentication):IPsec在接收端通过preshared key(域共享密钥),证书,kerberos v5等可以认证发送IPsec报文的发送端是否合法。
3.IPSEC的工作模式
(1)隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。
(2)传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
4.IPSEC安全机制中两种协议的比较
AH协议(IP协议号为51)提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。,但因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment offset,TTL以及header checksum。所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。因此AH不支持NAT转换。
ESP协议(IP协议号为50)提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。
先介绍一下ipsec,导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。
转载于:https://blog.51cto.com/5649551/963585
IPsec 在企业网中的应用相关推荐
- ipsec在企业网中的应用(IKE野蛮模式)
ipsec在企业网中的应用(IKE野蛮模式) 案例: 本实验采用华为三台F100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的***通道的建立.Fw1是总部,实现fw1可以与fw2的内部 ...
- IPsec在企业网中的应用
IPsec的原理: "Internet 协议安全性 (IPSec)"是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全 ...
- IPSec ××× 在企业网中的应用
IPSec: IPSec ×××即指采用IPSec协议来实现远程接入的一种×××技术,IPSec全称为Internet Protocol Security,是由Internet Engineering ...
- 邮件服务器在企业网中的应用
简介: 电子邮件是因特网上最为流行的应用之一.如同邮递员分发投递传统邮件一样,电子邮件也是异步的,也就是说人们是在方便的时候发送和阅读邮件的,无须预先与别人协同.与传统邮件不同的是,电子邮件既迅速,又 ...
- 查找企业网中非法接入的WIFI设备
一.企业网络安全管理面临的新问题 现在计算机和移动智能设备越来越普及,有一些企业网用户不再满足于只让实名登记的.有实际办公用途的计算机上网,他们把家中的笔记本.智能手机.平板电脑带到单位,通过非法架设 ...
- 查找企业网中非法接入的WIFI设备(原创)
一.企业网络安全管理面临的新问题 现在计算机和移动智能设备越来越普及,有一些企业网用户不再满足于只让实名登记的.有实际办公用途的计算机上网,他们把家中的笔记本.智能手机.平板电脑带到单位,通过非法架设 ...
- 查找企业网中非法接入的WIFI设备(转帖)
转自:http://www.mamicode.com/info-detail-546312.html 一.企业网络安全管理面临的新问题 现在计算机和移动智能设备越来越普及,有一些企业网用户不再满足于只 ...
- snmp在企业网中的应用
一.snmp简介 snmp概念 SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP),用来对通信线路进行管理.随后,人 ...
- VRRP在企业网中的应用(H3C设备)
一:实验原理 ①VRRP概述: 随着Internet的发展,人们对网络的可靠性的要求越来越高.对于局域网用户来说,能够时刻与外部网络保持联系是非常重要的. 通常情况下,内部网络中的所有主机都设置一条相 ...
最新文章
- Nginx源码分析--基本数据类型的别名
- 独家 | 一文读懂神经网络(附解读案例)
- SAP S4HANA MRP LIVE
- Openstack在controller节点 nova image-list HTTP500
- 用什么擦地最干净脑筋急转弯_脑筋急转弯:手机的反义词是什么?答案让人笑得肚子疼!...
- 【12306图片验证12小时内被破解,验证安全的出路到底在哪?】
- 深度强化学习入门介绍
- Mysql数据库(四)——mysql索引相关知识
- NHibernate学习之基础配置
- Pandas数据操作
- Matlab R2020a版安装下载详细操作步骤【Matlab 140期】
- Mysql入门经典.pdf下载
- 魔兽世界服务器卡 邮件寄不出去,魔兽世界怀旧服邮件收不到怎么办 WOW怀旧服邮件取不出来解决方法...
- 程序员为什么更容易脱发?
- 电脑引导,电脑常见开机引导错误的解决方法
- 程序员自我修改之读书学习
- vue引入svg图片
- Matlab数字图像处理学习记录【9】——表示与描述
- tensorflow和cuda以及cudnn版本对齐
- 谷歌浏览器解决跨域问题 --disable-web-security --user-data-dir
热门文章
- excel导入mysql命令行_使用命令行将Excel数据表导入Mysql中的方法小结
- matlab建立的发动机的模型,基于MATLAB∕Simulink的摩托车发动机仿真模型建立.pdf
- ci框架中引入css,php ci框架中载入css和js文件失败的原因及解决方法
- 微型计算机按原理可分为那几种,东师微型机原理与应用19秋在线作业2题目【标准答案】...
- Spring MVC过滤器-委派过滤器代理(DelegatingFilterProxy)
- 哇!Flash影片剪辑导出静止的问题被解决了!
- AJAX全套(JSONP、CORS)
- [Java] [Lock] [Synchronized VS ReentrantLock]
- 大数据如何影响百姓生活
- 第二阶段冲刺-个人总结04