专注在线职业教育23年
下载APP
小程序
希赛网小程序
导航

预约成功后,不错过重要时期

点击预约

网络工程师考试内容:IPSEC VPN

责编:胡媛 2019-10-28

net06.jpg

IPSec协议框架:

1)认证头协议AH不能加密,只对数据报进行验证、保证报文的完整性。AH的缺陷就是在于不能对数据加密,第二就是不能穿越NAT网络,AH模式无法与NAT一起运行。

2)IPsec封装安全负载(ESP):封装安全有效载荷协议ESP:具有加密性、既可以保证数据包的机密性,验证又保证了数据包在传输过程中的完整性(ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。)

3)密钥管理协议(IKE):不管是AH还是ESP,对IP包执行安全保护的时候,最终需要先建立一个IPSEC SA(IPSEC安全联盟),在之前还有一个IKE SA。

IPSec有两种操作模式:传输模式和隧道模式。

传输模式把整个传输层报文段都保护起来。因此只能保证原IP包数据部分的安全性。在使用传输模式的时候,所有加密、解密和协商操作都是在主机系统去完成。

隧道模式是对整个IP数据包提供安全传输机制。是在一个IP数据报的后面和前面都添加一些控制字段,构成IPsec数据报。在隧道模式中,两个安全网关运行IPsec协议,对他们之间要加密的数据达成一致,再运用AH或ESP对数据进行保护。

具体配置流程:

1,配置安全ACL:定义哪些数据流需要获得安全服务,其他数据流不提供安全服务。

2,配置安全提议:安全提议保存IPSEC提供安全服务时准备使用的一组特定参数:包括安全协议、加密、验证算法、工作模式等等,以便IPSEC通信双方协商各种安全参数。IPSEC安全网关必须具有相同的安全提议才可以就安全参数协商一致。

一个安全策略通过引用一个或多个安全提议来确定采用的安全协议、算法和封装形式,在安全策略引用安全提议之前,需要先建立安全提议。

3,配置IKE:IKE默认采用的是预共享密钥方式。配置预共享密钥之前需要先确定IKE交换过程中安全保护的强度,主要包括身份验证方法、加密算法等等。

IKE的配置任务:

(1)配置IKE提议:在安全网关之间执行IKE协商初期,双方首先协商保护IKE协商本身的安全参数,这一协商通过交换IKE提议实现的。IEK提议描述了希望在IKE协商过程中使用的安全参数、包括验证算法、加密算法等,保护IKE交换时的通信。

(2)配置IKE对等体:本端安全网关配置的对端安全网关IP地址一定要和对端相同。

4,配置安全策略:安全策略规定了对什么样的数据流采用了什么样的安全提议。

5,在接口应用安全策略。

热点推荐:2021年软考报名时间及入口汇总表(全国)

相关推荐:2021年软考考试时间安排

更多资料
更多课程
更多真题
温馨提示:因考试政策、内容不断变化与调整,本网站提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!
相关阅读
查看更多

加群交流

公众号

客服咨询

考试资料

每日一练