IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。
IPSec的安全特性主要有:
不可否认性 "不可否认性"可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。
反重播性 "反重播"确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。
数据完整性 防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。
数据可靠性(加密) 在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。
认证 数据源发送信任状,由接收方验证信任状的合法性,只有通过认证的系统才可以建立通信连接。
以上信息,来自于互联网,请尊重版权。接下来,笔者将和您共同探讨企业中的IPSEC简单应用。
实验环境:某企业有两家分公司,为了便于各分公司之间及分公司与总部之间联系,同时出于成本和安全的考虑,要求使用IPSEC等技术。
实验拓扑:
实验设备:
华为路由器两台
华为三层交换机一台
测试机三台(XP)
实验步骤:
一、在总部上路由器R1上进行配置。
1.配置各接口地址。
出于管理方便的考虑,把E0接口的地址设置为辅助地址。
2.配置分部2之间的相关参数
配置acl
配置协商
配置策略
由于一个接口只能应用一个策略,因此,当需要设置两条规则时,应该给它们使用同一条策略,但是属于不同的序号。
3.配置分部3之间的相关参数
配置acl
配置协商
配置策略和共享密钥
由于一个接口只能应用一个策略,因此,当需要设置两条规则时,应该给它们使用同一条策略,但是属于不同的序号。
5.应用到接口上。
二、在枝干交换机上进行配置。
1.配置vlan,并添加相应的端口。
2.配置vlan的地址。
三、在分部路由器R2上配置。
1.配置各接口地址。
出于管理方便的考虑,把E0接口的地址设置为辅助地址。
2.配置默认路由
3.配置与总部之间的相关参数
配置acl
配置协商
配置策略和共享密钥
4.应用到接口上。
四、在分部路由器R3上配置。
1.配置各接口地址。
出于管理方便的考虑,把E0接口的地址设置为辅助地址。
3.配置默认路由
3.配置与总部之间的相关参数
配置acl
配置协商
配置策略和共享密钥
5.应用到接口上。
五、测试各主机之间通讯状况。
1.使用总部主机测试与各分部之间通讯状况
2.使用分部2主机测试与总部和分部3之间通讯状况
3.使用分部3主机测试与总部和分部2之间通讯状况
六、在各个路由器上修改配置。
从以上测试,可以看到,两个分部之间,并不能相互通讯。要想解决这个问题。有两种解决方案:1.在两个分部之间再建立一条隧道。
2.修改总部路由器、各分部路由器的acl。
使用第1种方案,可以从根本上很好的解决问题。但是还得继续配置策略等,相对来讲较为麻烦。由于两个分部相互通讯量并不多,因此,使用第2种方案,配置方便,而且适用于通讯量不大的场景。
1.在总部路由器上进行配置。
2.在分部路由器2上进行配置。
3.在分部路由器3上进行配置。
七、再次测试各个主机之间通讯状况。
使用分部2主机测试与总部和分部3之间通讯状况
使用分部3主机测试与总部和分部2之间通讯状况
