ipsec 安全策略

ipsec 安全策略

IPSec协议简介

针对Internet的安全需要，Internet工程任务组(IETF)颁布了IP层安全标准IPSec。IPSec在IP层对数据包进行高强度的安全处理，提供包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护（序列完整性(sequence integrity)的一个组成部分）、保密性和有限传输流保密性在内的服务。这些服务是基于IP层的，提供对IP及其上层协议的保护。

SA的定义

安全关联（Security Association，SA）是两个应用IPsec实体（主机、路由器）间的一个单向逻辑连接，决定保护什么、如何保护以及谁来保护通信数据。它规定了用来保护数据包安全的IPsec协议、转换方式、密钥以及密钥的有效存在时间等等。SA是单向的，要么对数据包进行“进入”保护，要么进行“外出”保护。 SA用一个三元组（安全参数索引SPI、目的IP地址、安全协议）唯一标识。

SA的作用

SA提供的安全服务取决于所选的安全协议（AH或ESP）、SA模式、SA作用的两端点和安全协议所要求的服务。

des加密原理

DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，产生最大 64 位的分组大小。这是一个迭代的分组密码，使用称为 Feistel 的技术，其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能，然后将输出与另一半进行“异或”运算；接着交换这两半，这一过程会继续下去，但最后一个循环不交换。DES 使用 16 个循环，使用异或，置换，代换，移位操作四种基本运算。

esp

IPsec 封装安全负载（IPsec ESP）是 IPsec 体系结构中的一种主要协议，其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性。

tunnel协议

tunnel中文译为隧道，计算机网络使用tunnel协议，当一个网络协议（传输协议）封装不同的有效载荷协议。通过使用tunnel1（例如）进行了一个不兼容的交付网络的有效载荷，或通过一个不受信任的网络提供一个安全的路径。

tunnelOSI或TCP / IP分层协议模型如那些通常对比。传递协议通常（但不总是）在更高层次的模型相比，有效载荷的协议，或在同一水平。

如图上的一个实验

在交换机上配置

防火墙fw-1

配置默认路由

把端口加入区域

防火墙fw-2

默认路由

端口加入区域

防火墙fw-3

默认路由

端口加入区域

fw-1上配置访问控制列表

协议加密类型des

协议校验

policy1放入端口

fw-2

配置第二个隧道

fw-1

fw-3

测试

fw-1到fw-2

fw-1到fw-3

IPSec协议简介

针对Internet的安全需要，Internet工程任务组(IETF)颁布了IP层安全标准IPSec。IPSec在IP层对数据包进行高强度的安全处理，提供包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护（序列完整性(sequence integrity)的一个组成部分）、保密性和有限传输流保密性在内的服务。这些服务是基于IP层的，提供对IP及其上层协议的保护。

SA的定义

安全关联（Security Association，SA）是两个应用IPsec实体（主机、路由器）间的一个单向逻辑连接，决定保护什么、如何保护以及谁来保护通信数据。它规定了用来保护数据包安全的IPsec协议、转换方式、密钥以及密钥的有效存在时间等等。SA是单向的，要么对数据包进行“进入”保护，要么进行“外出”保护。 SA用一个三元组（安全参数索引SPI、目的IP地址、安全协议）唯一标识。

SA的作用

SA提供的安全服务取决于所选的安全协议（AH或ESP）、SA模式、SA作用的两端点和安全协议所要求的服务。

des加密原理

DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，产生最大 64 位的分组大小。这是一个迭代的分组密码，使用称为 Feistel 的技术，其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能，然后将输出与另一半进行“异或”运算；接着交换这两半，这一过程会继续下去，但最后一个循环不交换。DES 使用 16 个循环，使用异或，置换，代换，移位操作四种基本运算。

esp

IPsec 封装安全负载（IPsec ESP）是 IPsec 体系结构中的一种主要协议，其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性。

tunnel协议

tunnel中文译为隧道，计算机网络使用tunnel协议，当一个网络协议（传输协议）封装不同的有效载荷协议。通过使用tunnel1（例如）进行了一个不兼容的交付网络的有效载荷，或通过一个不受信任的网络提供一个安全的路径。

tunnelOSI或TCP / IP分层协议模型如那些通常对比。传递协议通常（但不总是）在更高层次的模型相比，有效载荷的协议，或在同一水平。

如图上的一个实验

在交换机上配置

防火墙fw-1

配置默认路由

把端口加入区域

防火墙fw-2

默认路由

端口加入区域

防火墙fw-3

默认路由

端口加入区域

fw-1上配置访问控制列表

协议加密类型des

协议校验

policy1放入端口

fw-2

配置第二个隧道

fw-1

fw-3

测试

fw-1到fw-2

fw-1到fw-3