华为网络配置(IPSec)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: IPSec概述、IPSec介绍、IPSec的安全性、安全联盟、安全协议、封装模式、传输模式和隧道模式比较、加密和验证、密钥交换、IKE协议、IKE安全机制、IKE版本、IPSec配置、案例、配置过程、测试

前言

     随着Internet的发展,越来越多的企业直接通过Internet进行互联,但由于IP协议未考虑安全性,而且Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取,因此,迫切需要一种兼容IP协议的通用的网络安全方案,为了解决上述问题,IPSec应运而生,IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供可靠的安全服务

一、IPSec概述

1、IPSec介绍

     IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等,通过这些协议,在两个设备之间建立一条IPSec隧道,数据通过IPSec隧道进行转发,实现保护数据的安全性

2、IPSec的安全性

     IPSec通过加密与验证等方式,从以下几个方面保障了用户业务数据在Internet中的安全传输

  • 数据来源验证:接收方验证发送方身份是否合法
  • 数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发
  • 数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改
  • 抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击

3、安全联盟

     安全联盟SA(Security Association)是通信对等体间对某些要素的协定,它描述了对等体间如何利用安全服务(例如加密)进行安全的通信,这些要素包括对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密和验证算法,以及用于数据安全转换、传输的密钥和SA的生存周期等

     IPSec安全传输数据的前提是在IPSec对等体(即运行IPSec协议的两个端点)之间成功建立安全联盟,IPSec安全联盟简称IPSec SA,由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP),其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它被封装在AH和ESP头中

     IPSec SA是单向的逻辑连接,通常成对建立(inbound和outbound),因此两个IPSec对等体之间的双向通信,最少需要建立一对IPSec SA形成一个安全互通的IPSec隧道,分别对两个方向的数据流进行安全保护

4、安全协议

     IPSec使用认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两种IP传输层协议来提供认证或加密等安全服务

  • AH仅支持认证功能,不支持加密功能,AH在每一个数据包的标准IP报头后面添加一个AH报文头,AH对数据包和认证密钥进行Hash计算,接收方收到带有计算结果的数据包后,执行同样的Hash计算并与原计算结果比较,传输过程中对数据的任何更改将使计算结果无效,这样就提供了数据来源认证和数据完整性校验,AH协议的完整性验证范围为整个IP报文
  • ESP支持认证和加密功能,ESP在每一个数据包的标准IP报头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾(ESP Trailer和ESP Auth data),与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护,除非IP头被封装在ESP内部(采用隧道模式)

5、封装模式

     封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种

  • 在传输模式中,AH头或ESP头被插入到IP头与传输层协议头之间,保护TCP/UDP/ICMP负载,由于传输模式未添加额外的IP头,所以原始报文中的IP地址在加密后报文的IP头中可见,传输模式下,与AH协议相比,ESP协议的完整性验证范围不包括IP头,无法保证IP头的安全
  • 在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载,隧道模式下,与AH协议相比,ESP协议的完整性验证范围不包括新IP头,无法保证新IP头的安全

6、传输模式和隧道模式比较

     传输模式和隧道模式的区别在于

  • 从安全性来讲,隧道模式优于传输模式,它可以完全地对原始IP数据包进行验证和加密,隧道模式下可以隐藏内部IP地址,协议类型和端口
  • 从性能来讲,隧道模式因为有一个额外的IP头,所以它将比传输模式占用更多带宽
  • 从场景来讲,传输模式主要应用于两台主机或一台主机和一台IPSec网关之间通信,隧道模式主要应用于两台IPSec网关之间或一台主机与一台IPSec网关之间的通信

     当安全协议同时采用AH和ESP时,AH和ESP协议必须采用相同的封装模式

7、加密和验证

     IPSec提供了两种安全机制加密和验证,加密机制保证数据的机密性,防止数据在传输过程中被窃听,验证机制能保证数据真实可靠,防止数据在传输过程中被仿冒和篡改

  • IPSec采用对称加密算法对数据进行加密和解密,用于加密和解密的对称密钥可以手工配置,也可以通过IKE协议自动协商生成,常用的对称加密算法包括数据加密标准DES(Data Encryption Standard)、3DES(Triple Data Encryption Standard)、先进加密标准AES(Advanced Encryption Standard)国密算法(SM1和SM4),其中,DES和3DES算法安全性低,存在安全风险,不推荐使用
  • IPSec的加密功能,无法验证解密后的信息是否是原始发送的信息或完整,IPSec采用HMAC(Keyed-Hash Message Authentication Code)功能,比较完整性校验值ICV进行数据包完整性和真实性验证,通常情况下,加密和验证通常配合使用,在IPSec发送方,加密后的报文通过验证算法和对称密钥生成完整性校验值ICV,IP报文和完整性校验值ICV同时发给对端,在IPSec接收方,使用相同的验证算法和对称密钥对加密报文进行处理,同样得到完整性校验值ICV,然后比较完整性校验值ICV进行数据完整性和真实性验证,验证不通过的报文直接丢弃,验证通过的报文再进行解密,同加密一样,用于验证的对称密钥也可以手工配置,或者通过IKE协议自动协商生成,常用的验证算法包括消息摘要MD5(Message Digest 5)、安全散列算法SHA1(Secure Hash Algorithm 1)、SHA2、国密算法SM3(Senior Middle 3),其中,MD5、SHA1算法安全性低,存在安全风险,不推荐使用

8、密钥交换

     使用对称密钥进行加密、验证时,如何安全地共享密钥是一个很重要的问题,有两种方法解决这个问题

  • 带外共享密钥是在发送、接收设备上手工配置静态的加密、验证密钥,双方通过带外共享的方式(例如通过电话或邮件方式)保证密钥一致性,这种方式的缺点是安全性低,可扩展性差,在点到多点组网中配置密钥的工作量成倍增加,另外,为提升网络安全性需要周期性修改密钥,这种方式下也很难实施
  • 使用一个安全的密钥分发协议通过IKE协议自动协商密钥,IKE采用DH(Diffie-Hellman)算法在不安全的网络上安全地分发密钥,这种方式配置简单,可扩展性好,特别是在大型动态的网络环境下此优点更加突出,同时,通信双方通过交换密钥交换材料来计算共享的密钥,即使第三方截获了双方用于计算密钥的所有交换数据,也无法计算出真正的密钥,这样极大地提高了安全性

9、IKE协议

     因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)的应用层协议,它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec的配置和维护工作,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA,此后,对等体间的数据将在IPSec隧道中加密传输,IKE SA是一个双向的逻辑连接,两个对等体间只建立一个IKE SA

10、IKE安全机制

     IKE具有一套自保护机制,可以在网络上安全地认证身份、分发密钥、建立IPSec SA身份认证确认通信双方的身份(对等体的IP地址或名称),包括预共享密钥PSK(pre-shared key)认证、数字证书RSA(rsa-signature)认证和数字信封认证

  • 在预共享密钥认证中,通信双方采用共享的密钥对报文进行Hash计算,判断双方的计算结果是否相同,如果相同,则认证通过,否则认证失败
  • 当有1个对等体对应多个对等体时,需要为每个对等体配置预共享的密钥,该方法在小型网络中容易建立,但安全性较低
  • 在数字证书认证中,通信双方使用CA证书进行数字证书合法性验证,双方各有自己的公钥(网络上传输)和私钥(自己持有),发送方对原始报文进行Hash计算,并用自己的私钥对报文计算结果进行加密,生成数字签名,接收方使用发送方的公钥对数字签名进行解密,并对报文进行Hash计算,判断计算结果与解密后的结果是否相同,如果相同,则认证通过,否则认证失败
  • 使用数字证书安全性高,但需要CA来颁发数字证书,适合在大型网络中使用
  • 在数字信封认证中,发送方首先随机产生一个对称密钥,使用接收方的公钥对此对称密钥进行加密(被公钥加密的对称密钥称为数字信封),发送方用对称密钥加密报文,同时用自己的私钥生成数字签名,接收方用自己的私钥解密数字信封得到对称密钥,再用对称密钥解密报文,同时根据发送方的公钥对数字签名进行解密,验证发送方的数字签名是否正确,如果正确,则认证通过,否则认证失败
  • 数字信封认证用于设备需要符合国家密码管理局要求时使用,此认证方法只能在IKEv1的主模式协商过程中支持,IKE支持的认证算法有:MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、SM3
  • 身份数据在密钥产生之后加密传送,实现了对身份数据的保护,IKE支持的加密算法有:DES、3DES、AES-128、AES-192、AES-256、SM1和SM4
  • DH是一种公共密钥交换方法,它用于产生密钥材料,并通过ISAKMP消息在发送和接收设备之间进行密钥材料交换,然后,两端设备各自计算出完全相同的对称密钥,该对称密钥用于计算加密和验证的密钥,在任何时候,通信双方都不交换真正的密钥,DH密钥交换是IKE的精髓所在
  • 完善的前向安全性PFS(Perfect Forward Secrecy)通过执行一次额外的DH交换,确保即使IKE SA中使用的密钥被泄露,IPSec SA中使用的密钥也不会受到损害

11、IKE版本

     IKE协议分IKEv1和IKEv2两个版本,IKEv2与IKEv1相比有以下优点

  • 简化了安全联盟的协商过程,提高了协商效率,IKEv1使用两个阶段为IPSec进行密钥协商并建立IPSec SA,第一阶段,通信双方协商和建立IKE本身使用的安全通道,建立一个IKE SA,第二阶段,利用这个已通过了认证和安全保护的安全通道,建立一对IPSec SA,IKEv2则简化了协商过程,在一次协商中可直接生成IPSec的密钥并建立IPSec SA
  • 修复了多处公认的密码学方面的安全漏洞,提高了安全性能

二、IPSec配置

1、案例

2、配置过程

(1)AR1

(2)AR2

(3)AR3

(4)在总公司上搭建简单web服务

3、测试

(1)分公司访问总公司

(2)总公司访问分公司

(3)访问总公司web服务

结语

     Internet的两个节点之间并没有像传统专用网那样使用端到端的物理链路,而是架构在公用网络之上的逻辑网络,用户数据通过逻辑链路传输,按照协议分类,常见的种类有:IPsec、SSL、GRE、PPTP和L2TP等,其中IPsec是通用性较强的一种技术,适用于多种网络互访的场景

相关文章
|
7月前
|
存储 网络安全 网络架构
网络技术基础(5)——VRP和telnet
VRP(Versatile Routing Platform)是其数据通信产品的操作系统,支持路由器和交换机的高效运行,提供统一用户界面和控制平面功能。VRP通过组件化结构实现功能裁剪和扩展。设备初始化时,BootROM先启动,然后运行系统软件,从默认路径读取配置文件。管理设备可通过命令行或Web网管,命令行包括用户界面和级别控制,提供权限管理。文件系统管理涉及存储设备如SDRAM、Flash、NVRAM等。用户可使用 PuTTY 工具通过Console口本地登录,或通过SSH远程登录。VRP命令行具有编辑和在线帮助功能,提供undo命令恢复默认设置。
|
7月前
|
网络协议 网络虚拟化 数据中心
华为配置VXLAN构建虚拟网络实现相同网段互通示例(静态方式)
配置VXLAN构建虚拟网络实现相同网段互通示例(静态方式
212 0
|
28天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
34 2
|
7月前
|
网络虚拟化
华为eNSP网络配置综合练习一(vlan +MSTP+VLANif+VRRP+ 静态路由+单臂路由+STP+BFD)
华为eNSP网络配置综合练习一(vlan +MSTP+VLANif+VRRP+ 静态路由+单臂路由+STP+BFD)
243 1
|
2月前
|
运维 网络协议 安全
联合赋能企业网络创新,中企通信和华为加速IPv6+进入“繁花期”
2024年7月,雄安新区建成国内首个面向车联网场景的IPv6+算力网络示范基地,推动自动驾驶技术普及。IPv6自1998年发布以来,逐步成熟,以其海量地址容量、强大业务承载能力和安全保障,成为智能时代核心技术。中企通信与华为合作,推出IPv6+和SD-WAN融合创新解决方案,助力企业实现稳定连接、高效运维和数据安全,推动各行各业数字化转型。这一合作不仅提升了网络效率,还大幅降低了运维成本,为企业全球化布局提供坚实基础。
|
4月前
|
网络协议 安全 网络安全
网络工程师如何在EVE模拟器用思科路由器配置GRE Over IPsec ?
网络工程师如何在EVE模拟器用思科路由器配置GRE Over IPsec ?
|
4月前
|
网络协议 网络虚拟化 网络架构
【原创】华为网络设备单臂路由配置实验
【原创】华为网络设备单臂路由配置实验
289 0
|
7月前
|
云安全 安全 大数据
华为增强版专线卫士高性能真安全,守护甘肃兰投集团网络安全,保障专线体验品质
甘肃移动政企团队协同华为乾坤云安全团队进行现网出入流量检查和分析,通过华为乾坤云平台直观的攻击源信息显示和高级情报分析,发现兰投集团OA办公系统存在wpsAssistServlet任意文件上传漏洞,由于兰投致远OA某些接口能被未授权访问,且安全防护存在不足,攻击者可以通过构造恶意请求,可在未授权的情况下上传恶意脚本文件,导致服务器或其他核心信息资产存在安全隐患。
|
6月前
|
监控 安全 Linux
虚拟专用网络(VPN):远程访问与点对点连接及其在Linux中的IPSec实现与日志管理
虚拟专用网络(VPN):远程访问与点对点连接及其在Linux中的IPSec实现与日志管理
240 0
|
开发框架 网络协议 网络安全
【华为HCIP | 高级网络工程师】刷题日记(10)
【华为HCIP | 高级网络工程师】刷题日记(10)
407 0