网络服务器安全协议,ipsec 网络安全协议
IPSec协议简介
1. IPSec协议
IPSec 是一系列网络安全协议的总称,它是由 IETF(Internet Engineering Task
Force,Internet工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整
性、数据来源认证、反重放、加密以及对数据流分类加密等服务。
IPSec 是网络层的安全机制。通过对网络层包信息的保护,上层应用程序即使没有
实现安全性,也能够自动从网络层提供的安全性中获益。这打消了人们对 ×××
(Virtual Private Network,虚拟专用网络)安全性的顾虑,使得 ××× 得以广泛应
用。
2. 加密卡
在实际应用中,IPSec对报文的处理包括进行 ESP协议处理、加密后给报文添加认
证头、对报文完成认证后删除认证头。为了确保信息的安全性,加密/解密、认证的
算法一般比较复杂,路由器 IPSec 软件进行加密/解密运算将会占用了大量的 CPU
资源,从而影响了整机性能。模块化路由器还可以使用加密卡(模块化硬件插卡)
以硬件方式完成数据的加/解密运算,消除了路由器 VRP 主体软件处理 IPSec 对性
能的影响,提高了路由器的工作效率。
(1) 加密卡进行加密/解密的工作过程是:路由器主机将需要加密/解密的数据发送
给加密卡,加密卡对数据进行加密/解密运算并给数据添加/删除加密帧头,然
后加密卡将完成加密/解密的数据发送回主机,由主机转发处理后的数据。
(2) 多块加密卡分流处理用户数据:模块化路由器支持多块加密卡,主机软件通过
轮循方式将用户数据发送给多块状态正常的加密卡进行分流处理, 实现多块加
密卡对用户数据的同步处理,从而提高了数据加密/解密的处理速度。
(3) 对于应用于加密卡侧的 IPSec,当该路由器所有加密卡都状态异常则加密卡将
无法进行 IPSec处理,此时若已经打开主机备份处理开关,并且 VRP主体软
件 IPSec模块支持该加密卡使用的加密/认证算法,则 VRP主体软件 IPSec
模块将替代加密卡进行 IPSec处理,实现对加密卡的备份。
3. IPSec对报文的处理过程
IPSec对报文的处理过程如下(以 AH协议为例):
(1) 对报文添加认证头:从 IPSec队列中读出 IP模块送来的 IP报文,根据配置选
择的协议模式(传输或是隧道模式)对报文添加 AH头,再由 IP层转发。
(2) 对报文进行认证后解去认证头:IP层收到 IP报文经解析是本机地址,并且协
议号为 51,则查找相应的协议开关表项,调用相应的输入处理函数。此处理
函数对报文进行认证和原来的认证值比较,若相等则去掉添加的 AH头,还原
出原始的 IP报文再调用 IP输入流程进行处理;否则此报文被丢弃。
4. 与 IPSec相关的几个术语
数据流:在 IPSec中,一组具有相同源地址/掩码、目的地址/掩码和上层协议
的数据集称为数据流。通常,一个数据流采用一个访问控制列表(acl)来定
义,所有为 ACL 允许通过的报文在逻辑上作为一个数据流。为更容易理解,
数据流可以比作是主机之间一个的 TCP 连接。IPSec 能够对不同的数据流施
加不同的安全保护,例如对不同的数据流使用不同的安全协议、算法或密钥。
安全策略:由用户手工配置,规定对什么样的数据流采用什么样的安全措施。
对数据流的定义是通过在一个访问控制列表中配置多条规则来实现, 在安全策
略中引用这个访问控制列表来确定需要进行保护的数据流。一条安全策略由
“名字”和“顺序号”共同唯一确定。
安全策略组:所有具有相同名字的安全策略的集合。在一个接口上,可应用或
者取消一个安全策略组, 使安全策略组中的多条安全策略同时应用在这个接口
上,从而实现对不同的数据流进行不同的安全保护。在同一个安全策略组中,
顺序号越小的安全策略,优先级越高。
安全联盟(Security Association,简称 SA):IPSec对数据流提供的安全服
务通过安全联盟 SA来实现,它包括协议、算法、密钥等内容,具体确定了如
何对 IP 报文进行处理。一个 SA 就是两个 IPSec 系统之间的一个单向逻辑连
接,输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全
联盟由一个三元组(安全参数索引(SPI)、IP 目的地址、安全协议号(AH
或 ESP))来唯一标识。安全联盟可通过手工配置和自动协商两种方式建立。
手工建立安全联盟的方式是指用户通过在两端手工设置一些参数, 然后在接口
上应用安全策略建立安全联盟。自动协商方式由 IKE生成和维护,通信双方基
于各自的安全策略库经过匹配和协商,最终建立安全联盟而不需要用户的干
预。
安全联盟超时处理:安全联盟更新时间有“计时间”(即每隔定长的时间进行
更新)和“计流量”(即每传输一定字节数量的信息就进行更新)两种方式。
安全参数索引(SPI):是一个 32 比特的数值,在每一个 IPSec 报文中都携
带该值。SPI、IP目的地址、安全协议号三者结合起来共同构成三元组,来唯
一标识一个特定的安全联盟。在手工配置安全联盟时,需要手工指定 SPI的取
值。 为保证安全联盟的唯一性, 每个安全联盟需要指定不同的 SPI值; 使用IKE
协商产生安全联盟时,SPI将随机生成。
安全提议: 包括安全协议、 安全协议使用的算法、 安全协议对报文的封装形式,
规定了把普通的 IP报文转换成 IPSec报文的方式。在安全策略中,通过引用
一个安全提议来规定该安全策略采用的协议、算法等。
IPSec的配置
IPSec的配置包括:
创建加密访问控制列表
定义安全提议
选择加密算法与认证算法
创建安全策略
在接口上应用安全策略组
加密卡实现 IPSec的配置包括:
创建加密访问控制列表
配置加密卡
使能 VRP主体软件备份
定义安全提议
选择加密算法与认证算法
创建安全策略
在接口上应用安全策略组
案例:
功能实现:建立安全隧道 两条,是10网段可以与20网段通信,10网段可以与30网段通信
首先配置交换机
配置 路由器R1 建立策略,安全提议,设置加密与认证的方式
R2上配置
R3上配置
测试
首先在10网段上进行测试
在20网段的pc上进行测试
在30网段上进行测试
网络服务器安全协议,ipsec 网络安全协议相关推荐
- 网络与系统安全笔记------网络安全协议
网络与系统安全笔记------网络安全协议 TCP/IP脆弱性 DNS欺骗 网络安全协议 网络接口层 网络层 传输层 应用层 IPSec IPv4 IPv6 功能 体系结构 安全关联(SA) 安全策略 ...
- ipsec 网络安全协议
IPSec协议简介 1. IPSec协议 IPSec 是一系列网络安全协议的总称,它是由 IETF(Internet Engineering Task Force,Internet工程任务组)开发的 ...
- ipv6协议与网络服务器有关,IPv6与IPv4协议网络中的双工通信差异
我们都知道IPv6与IPv4协议网络的本质区别.那么在进行双向会话通信过程中两者有什么差异呢?下面我们就来详细说一下这方面的内容.Ipv6和IPv4协议动态NAT一样,NAT-PT只能用于由IPv6网 ...
- 配置×××服务器使用L2TP/IPSEC协议
配置×××服务器使用L2TP/IPSEC协议<?XML:NAMESPACE PREFIX = O /> 在ISA2006中配置了×××地址池,选择了×××协议,创建了防火墙策略,检 ...
- 网络协议 — IPSec 安全隧道协议族
目录 文章目录 目录 IPSec 安全隧道协议族 封装协议 Authentication Header 协议 Encapsulating Security Payload 协议 封装模式 Transp ...
- 网络安全——网络层IPSec安全协议(4)
作者简介:一名云计算网络运维人员.每天分享网络与运维的技术与干货. 座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页 目录 前言 一.IPSec安全协议 1.IPSec提供的安全服务 ...
- 计算机网络4小时速成:网络安全,被动攻击,主动攻击,对称加密,公钥秘钥,数字签名,鉴别,网络层安全协议IPsec,传输层安全协议SSL,防火墙,入侵检测系统
计算机网络4小时速成:网络安全,被动攻击,主动攻击,对称加密,公钥秘钥,数字签名,鉴别,网络层安全协议IPsec,传输层安全协议SSL,防火墙,入侵检测系统 2022找工作是学历.能力和运气的超强结合 ...
- 公寓宽带服务器无响应,利用RLDP协议解决网络环路故障
在接入网络中,终端用户水平参差不齐,特别是在学生公寓中私接乱拉的情况比较普遍,很容易产生环路,造成局部网络瘫痪.虽然通过生成树协议能够解决部分环路的问题,但是受设备功能等其他方面制约,依然存在一些弊端 ...
- 网络安全协议配置练习题2
一. 单选题(共1题,5分) 1. (单选题, 5分)[单选题]以下关于IPSec中密钥交换的描述,错误的是哪一项? A. 带外共享密钥过程中,需要管理员手工配置静态的机密和验证密钥. B. 带外共享 ...
最新文章
- 【LaTeX】E喵的LaTeX新手入门教程(1)准备篇
- vector notes
- 00075_BigInteger
- 球球大作战为什么显示服务器神游,球球大作战不能玩怎么解决_球球大作战不能玩解决方案详细分析_好特教程...
- webpack打包后引用cdn的js_JS逆向:Webpack打包后的代码怎么搞?猿人学爬虫比赛第十六题详细题解...
- 微信小程序view动态长度_微信小程序实现动态获取元素宽高的方法分析
- Java 练习:编写 Java 程序,输入年份和月份,使用 switch 结构计算对应月份的天数。月份为 1、3、5、7、8、10、12 时,天数为 31 天。月份为 4、6、9、11 时,天数为 3
- HTML+CSS+JS实现 ❤️发光糖果泡泡动画特效❤️
- Latex笔记(一)—— 复杂表格的制作
- linux 参数扩展,Shell Bash 中的参数扩展
- 理解 Visual C++ 应用程序的依赖项(msdn)
- [RK3399][Android7.1] 调试笔记 --- 查看开机上一次kernel log
- python的下划线
- C++ Web编程实战
- Pascal VOC2012
- 实现了一个跨平台的 YUV 文件图片查看器
- CDD数据库文件制作(二)——DTC配置
- 32位/64位处理器:*char与*int的区别?不同类型的指针+1的区别?
- Study「Photoshop」:勾线图
- NBUT - 1077 骨牌铺方格 【递推】
热门文章
- 使用logstash将Mysql中的数据导入到ElasticSearch中(详细步骤,win_Elasticsearch)
- 基于分代的垃圾回收算法
- 【MySQL数据库】一天学会MySQL笔记——MarkDown版
- zookeeper的ZAB协议学习
- 【题意分析】1024 Palindromic Number (25 分)_38行代码AC
- 视频讲解——零基础玩转微信小程序
- [Leetcode总结] 104.二叉树的最大深度
- Web前端开发笔记——第二章 HTML语言 第七节 表格标签
- 柔性体没有应变_柔性应变和压力传感器
- c语言第七章函数调用题库,c语言题库7-函数.doc