【安全系列】ipsec ***之配置详解篇

时间 2019-12-24

标签安全系列 ipsec 配置详解栏目 VPS 繁體版

原文原文链接

IPSEC ×××之配置详解篇

无止境系列文档将以网络安全为方向，以专题的形式每周天发布，但愿你们支持。

【阅读说明】

为了方便你们阅读，特做以下说明：

1. 专业术语或者一些概念用红色标识。

2. 重要或者强调的语句用蓝色标识。

3. 总结的部分用绿色标识。

【主要内容】

1. IPSEC ×××理解

2. 封装模式

3. IKE两个阶段

4. ipsec ***配置

【IPSEC ×××理解】

IPSEC 是一套保护IP数据在不一样的地点间传输时安全性的功能特性集。

×××能够仅仅是两个端点间的一条隧道或链路。

IPSEC ×××就是有安全保护的×××。

IPSEC有四个功能特性：数据机密性，数据完整性，数据源认证，防重放。

前面两篇已经介绍了上述概念（防重放除外），IPSEC ×××是经过相应的协议封装来实现的。

IPSEC使用的协议：

1）IKE，Internet Key Exchange，互联网密钥交换。

2）ESP，Encapsulation Security Payload，封装安全负载。

3）AH，Authentication Header，认证头。

经过IKE，ESP，AH这三个协议来保证IPSEC所提供的特性。

一。IKE介绍

IKE是协商和交换安全参数和认证密钥的体系框架。

使用isakmp和oakley协议来完成对等体验证和密钥生成工做。

二。ESP介绍

提供数据机密性，完整性，数据源认证和可选的防重放功能的体系框架。

可选机密性方法：esp-des esp-3des

可选数据源认证和完整性方法：esp-md5-hmac esp-sha-hmac

三。AH介绍

提供数据完整性，数据源认证和可选防重放功能的体系框架。

注意：没有提供机密性保护。

可选验证和完整性方法：ah-md5-hmac ah-sha-hmac

IKE是必需要用到的协议，AH和ESP能够根据须要选择其中一个，或者也能够同时选择两个，可是同时使用ESP和AH效果不比单个好，因此建议仅选一个。

【封装模式】

封装模式有两种：传输模式和隧道模式

传输模式：不改变原有的IP包头

隧道模式：增长新的IP头

一。传输模式

二。隧道模式

从上述图中能够看出：

1.传输模式保护的是×××端点间传送的数据包内容，隧道模式下保护的是整个IP包。

2.AH验证的内容是二层头部以后的整个数据包，ESP对外层新IP头没有进行认证。

【IKE阶段】

SA（security association），安全关联。是两个对等体之间协商一致的一组安全服务（参数）。

双向SA：进站和出战用的同一组服务参数。

单向SA：进站和出站用的是不一样的服务参数，一个用于入站，一个用于出站。

IKE阶段一：

主要目的：创建IKE安全通道

做用：

1）在IPSEC对等体之间创建一个双向的SA

2）实现对等体的验证

创建SA须要协商的内容：

加密算法，hash算法，DH算法，身份认证方法，存活时间

IKE阶段二，创建IPSEC SA。

目的：协商IPSEC安全参数

创建单向SA须要协商内容：

加密算法，hash算法，安全协议，封装模式，存活时间

IKE的SA这里不讨论。这里再详细介绍一下IPSEC SA。

1. SA由SPD (security policy database)和SAD(SA database)组成。

2. 图解表示：

图3-3

SAD：每一个客户端都使用SAD来跟踪所参与的SA，对每一个客户端来讲，都有两个SA。

一个用于数据进来的时候的算法集，一个用于数据出去的时候所使用的算法集。

SPD：包含了每一个SA达成一致的参数。包括：加密算法，验证算法，IPSEC模式，密钥生命期。

虽然两个阶段都有协商加密算法、hash算法等，可是做用是不同的。第一个阶段主要是为了先创建一个安全通道，是对isakmp消息自身的保护措施，跟用户的数据没有关系。第二个阶段才是真正协商对数据进行加密、完整性检验和认证的算法。

虽然是分为两个阶段，可是第二个阶段是要利用第一个阶段SA的相关内容的，因此两个阶段也是互相联系的。

【 ipsec *** 配置】

这部分比较长，见附件完整版。

下周主要内容预告： IPSEC ××× 之深刻理解篇（主要分析 AH 和 ESP 报文格式 ) 敬请期待！