网络安全——ipsec

网络安全——ipsec

Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保

在 Internet 协议 (IP) 网络上进行保密而安全的通讯，它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的***

Ipsec是一个协议集合（包括一些加密协议像des、3des 、aes的对称加密，还有一些安全协议AH和ESP等）

Ipsec隧道属于一个三层隧道把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。

下面看ipsec能提供给我们什么

安全服务：

Ipsec能提供的安全服务有身份验证、数字证书、抗重播、保密性：

身份验证：能够提供的身份验证有以下几种

提供一种机制pre-shared key 预控制密钥

数字证书（相对麻烦但是更加安全）

Kerveros  v5

完整性：ipsec协议提供一种摘要可以通过md5和sha，来保证信息没有被修改

抗重播：给发出的包一个编号，防止重播

保密性：对数据包进行加密，加密方式有des 、3des、aes对称加密

安全协议：

Ipsec所提供的安全协议：

AH验证（不能过nat）头协议,可以保证身份验证、数字证书、抗重播这三个安全服务，协议号为51

Esp安全封装载荷，可提供四种安全服务身份验证、数字证书、抗重播、保密性，协议号为50

下面来说一下它们的工作模式：

AH:

AH：分为隧道模式和传输模式

传输模式

中间没有***服务器，用在局域网内部，在传送中不产生新的ip头

处理数据的方式：

AH头包含：摘要值，32计数器，spi安全联盟（sa）索引值

隧道模式

中间必须有一个或两个***服务器，在数据包传送时会产生新的ip头

处理方式：

由于产生了一个新的ip头，所以在nat转换中不能被实现

Esp:

传输方式

esp头内容有：32计数器、spi值

esp验证内容是一些验证信息

Esp尾部内容：在进行块加密块数不够时来补齐，esp尾部就是这些补齐数据

传输方式在进行加密时只对数据和ESP尾进行加密，验证时对ESP头、数据、ESP尾都要验证 

隧道方式

在传送时产生新的ip头

隧道方式对原始ip头和数据还有ESP尾部进行加密，在验证时要看包的ESP头、原始ip头和数据还有ESP尾部

Ipsec的实现：

实现ipsec可以通过路由器、防火墙当然我们还是优先使用防火墙，因为它在稳定性和安全性上都优于路由器

当数据流通过接口时，通过接口上应用的防控列表筛选出要通过匹配的流，筛选出要通过隧道的流让它匹配安全策略，其他的比如去往internet的就不再走ipsec隧道

实现ipsec隧道所需要的内容：

1.流：具备相同的五元素（源、目标、协议、源端口号、目标）的一系列包，通过隧道的流是要匹配安全策略的

筛选出流要靠匹配访问控制列表

2.安全提议：

提供ipsec的工作方式是隧道模式还是传输模式，安全协议若是AH，还要提供AH摘要的方式是MD5还是sha，若是esp还要提供像摘要、加密方式，加密方式又分为des、 3des、aes，这些都是需要我们配置好的

3.安全策略：通过设置的acl加上安全提议来筛选要应用到ipsec的数据

4.把策略应用到接口

下面就是我们的一个案例：

配置命令：

创建加密访问控制列表

acl acl-number [ match-order config | auto ]

rule { normal | special }{ permit | deny }  pro-number  

[source  source-addr source-wildcard | any ]  [source-port operator port1 [ port2 ] ]

[ destination  dest-addr dest- wildcard | any ]

 [destination-port  operator port1 [ port2 ] ]

 [icmp-type icmp-type icmp-code]

 [logging]

定义安全提议

 ipsec proposal proposal-name

设置安全协议对报文的封装模式

 encapsulation-mode { transport | tunnel }

设置安全提议采用的安全协议

 transform { ah| ah-esp| esp }

设置加密卡 ESP 协议采用的加密算法        

 esp-new encryption-algorithm { 3des | des | aes }

 设置 ESP 协议采用的认证算法      

 esp-new authentication-algorithm { md5| sha1 }

手工创建安全策略           

 ipsec policy policy-name sequence-number {manual |isakmp}

设置安全策略引用的加密访问控制列表

security acl access-list-number

指定安全隧道的本端地址

  tunnel local ip-address

指定安全隧道的对端地址

 tunnel remote ip-address

配置安全策略中引用的安全提议

 proposal proposal-name

手工配置时：

配置AH/ESP 协议输入安全联盟的 SPI

 sa inbound { ah | esp } spi spi-number

配置AH/ESP 协议输出安全联盟的 SPI

 sa outbound { ah | esp } spi spi-number

配置AH 协议的认证密钥

 sa { inbound | outbound } ah hex-key-string  hex-key

配置AH 协议的认证密钥（以字符串方式

sa { inbound | outbound } ah string-key string-key

配置 ESP 协议的认证密钥（以 16 进制方

sa { inbound | outbound } esp authentication-hex hex-key

配置 ESP 协议的加密密钥（以 16 进制方

sa { inbound | outbound } esp encryption-hex hex-key

用 IKE 创建安全策略联盟，进入安全策略

ipsec policy policy-name sequence-number isakmp

设置安全策略引用的加密访问控制列表

  security acl access-list-number

指定安全隧道的本端地址

  tunnel local ip-address

指定安全隧道的对端地址

 tunnel remote ip-address

配置安全策略中引用的安全提议

 proposal proposal-name

在接口上应用安全策略组

ipsec policy policy-name

实验拓扑：

实验设备（huawei）：

防火墙三台、pc三台、三层交换机一台

实验目的：

使来自pc3的数据包通过匹配防火墙的安全策略，分别通过它们所形成ipsec隧道到达pc1和pc2

参考配置：

fw1

fw2

fw3

Sw1

验证图：

Pc1   ping   pc3

Pc2   ping   pc3