IPSec协议框架:
1)认证头协议AH不能加密,只对数据报进行验证、保证报文的完整性。AH的缺陷就是在于不能对数据加密,第二就是不能穿越NAT网络,AH模式无法与NAT一起运行。
2)IPsec封装安全负载(ESP):封装安全有效载荷协议ESP:具有加密性、既可以保证数据包的机密性,验证又保证了数据包在传输过程中的完整性(ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。)
3)密钥管理协议(IKE):不管是AH还是ESP,对IP包执行安全保护的时候,最终需要先建立一个IPSEC SA(IPSEC安全联盟),在之前还有一个IKE SA。
IPSec有两种操作模式:传输模式和隧道模式。
传输模式把整个传输层报文段都保护起来。因此只能保证原IP包数据部分的安全性。在使用传输模式的时候,所有加密、解密和协商操作都是在主机系统去完成。
隧道模式是对整个IP数据包提供安全传输机制。是在一个IP数据报的后面和前面都添加一些控制字段,构成IPsec数据报。在隧道模式中,两个安全网关运行IPsec协议,对他们之间要加密的数据达成一致,再运用AH或ESP对数据进行保护。
具体配置流程:
1,配置安全ACL:定义哪些数据流需要获得安全服务,其他数据流不提供安全服务。
2,配置安全提议:安全提议保存IPSEC提供安全服务时准备使用的一组特定参数:包括安全协议、加密、验证算法、工作模式等等,以便IPSEC通信双方协商各种安全参数。IPSEC安全网关必须具有相同的安全提议才可以就安全参数协商一致。
一个安全策略通过引用一个或多个安全提议来确定采用的安全协议、算法和封装形式,在安全策略引用安全提议之前,需要先建立安全提议。
3,配置IKE:IKE默认采用的是预共享密钥方式。配置预共享密钥之前需要先确定IKE交换过程中安全保护的强度,主要包括身份验证方法、加密算法等等。
IKE的配置任务:
(1)配置IKE提议:在安全网关之间执行IKE协商初期,双方首先协商保护IKE协商本身的安全参数,这一协商通过交换IKE提议实现的。IEK提议描述了希望在IKE协商过程中使用的安全参数、包括验证算法、加密算法等,保护IKE交换时的通信。
(2)配置IKE对等体:本端安全网关配置的对端安全网关IP地址一定要和对端相同。
4,配置安全策略:安全策略规定了对什么样的数据流采用了什么样的安全提议。
5,在接口应用安全策略。
相关推荐:2021年软考考试时间安排