HC110311003HCNA-Security-CBSN第九章IPSecVPN技術(shù)V1.0剖析

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC1103華為防火墻V300R001V1.0開(kāi)發(fā)/優(yōu)化者時(shí)間審核人開(kāi)發(fā)類型（新開(kāi)發(fā)/優(yōu)化）陳靈光2011.7余雷第一版本頁(yè)不打印第九章IPSecVPN技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:理解IPSec技術(shù)的根本原理理解AH和ESP技術(shù)了解IKE協(xié)議的業(yè)務(wù)流程把握IPSecVPN的應(yīng)用場(chǎng)景及配置名目IPSecVPN概述IPSecVPN體系構(gòu)造驗(yàn)證頭〔AH〕技術(shù)封裝安全載荷〔ESP〕技術(shù)Internet密鑰交換〔IKE〕技術(shù)IPSecVPN應(yīng)用場(chǎng)景分析IPSec簡(jiǎn)介總部分支機(jī)構(gòu)IPSecVPN

防重放ConfidentialityAnti-replayDataauthentication

Dataintegrity

完整性機(jī)密性真實(shí)性IPSec

安全隧道IPSec安全防護(hù)特點(diǎn)總部分支機(jī)構(gòu)IPSecVPNTCP/UDPIPAPPDataTCP/UDPIPAPPData安全疼惜區(qū)域安全疼惜區(qū)域Internet業(yè)務(wù)訪問(wèn)總部流量訪問(wèn)Internet部流量IPSec安全防護(hù)場(chǎng)景總部分支機(jī)構(gòu)IPSecVPNIPSec端到端應(yīng)用場(chǎng)景安全網(wǎng)關(guān)〔如防火墻〕之間；主機(jī)與安全網(wǎng)關(guān)之間；主機(jī)與主機(jī)之間；名目IPSecVPN概述IPSecVPN體系構(gòu)造驗(yàn)證頭〔AH〕技術(shù)封裝安全載荷〔ESP〕技術(shù)Internet密鑰交換〔IKE〕技術(shù)IPSecVPN應(yīng)用場(chǎng)景分析IPSecVPN體系構(gòu)造描述策略AH：驗(yàn)證頭IPSecVPN體系構(gòu)造ESP：封裝安全載荷加密算法驗(yàn)證算法密鑰治理IPSec安全協(xié)議IPSec通過(guò)AH〔AuthenticationHeader〕和ESP〔EncapsulatingSecurityPayload〕這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。AHAH〔AuthenticationHeader〕報(bào)文頭驗(yàn)證協(xié)議，主要供給的功能有數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能；然而，AH并不加密所疼惜的數(shù)據(jù)報(bào)文.ESPESP〔EncapsulatingSecurityPayload〕ESP是封裝安全載荷協(xié)議。它除供給AH協(xié)議的全部功能外〔但其數(shù)據(jù)完整性校驗(yàn)不包括IP頭〕，還可供給對(duì)IP報(bào)文的加密功能.IPSec協(xié)議封裝模式傳輸模式在傳輸模式下，IPSec頭被插入到IP頭之后但在全部傳輸層協(xié)議之前，或全部其他IPSec協(xié)議之前。隧道模式在隧道模式下，IPSec頭插在原始IP頭之前，另外生成一個(gè)新的報(bào)文頭放到AH或ESP之前。NewIPHIPSecDataOrgIPH隧道模式DataIPHDataIPHIPSec傳輸模式IPSec協(xié)議封裝模式比照封裝模式比照：

1.安全性隧道模式隱蔽原IP頭信息，安全性更好2.性能隧道模式有一個(gè)額外的IP頭，隧道模式比傳輸模式占用更多帶寬具體選擇那封裝模式，需要在性能和安全之間做權(quán)衡！IP數(shù)據(jù)原IP頭IPSec頭原IP數(shù)據(jù)原IP頭新IP頭IPSec頭傳輸模式：隧道模式：加密和驗(yàn)證算法加密算法DES(56bit64bit)3DES(3個(gè)56bit64bit)

AES(128、192、256)

國(guó)密(256)驗(yàn)證算法

MD5(128bit)SHA-1(160bit)計(jì)算簡(jiǎn)潔度與加密強(qiáng)度沒(méi)必定聯(lián)系名目IPSecVPN概述IPSecVPN體系構(gòu)造驗(yàn)證頭〔AH〕技術(shù)封裝安全載荷〔ESP〕技術(shù)Internet密鑰交換〔IKE〕技術(shù)IPSecVPN應(yīng)用場(chǎng)景分析IPSec安全協(xié)議-AH供給數(shù)據(jù)源驗(yàn)證〔真實(shí)性〕、完整性校驗(yàn)和抗重放不支持加密算法認(rèn)證數(shù)據(jù)序列號(hào)安全參數(shù)索引〔SPI〕下一個(gè)報(bào)文頭載荷長(zhǎng)度保存字段載荷數(shù)據(jù)AH報(bào)文封裝模式AH在IP報(bào)文頭中的協(xié)議號(hào)為51傳輸模式:驗(yàn)證整個(gè)IP報(bào)文隧道模式:驗(yàn)證新IP頭及整個(gè)IP報(bào)文NewIPHAHDataOrgIPH隧道模式DataIPHDataIPHAH傳輸模式驗(yàn)證全部不變局部驗(yàn)證除新IP頭可變字段之外的全部不變局部名目IPSecVPN概述IPSecVPN體系構(gòu)造驗(yàn)證頭〔AH〕技術(shù)封裝安全載荷〔ESP〕技術(shù)Internet密鑰交換〔IKE〕技術(shù)IPSecVPN應(yīng)用場(chǎng)景分析IPSec安全協(xié)議-ESP供給數(shù)據(jù)真實(shí)性、數(shù)據(jù)完整性、抗重放、數(shù)據(jù)機(jī)密性支持加密算法載荷數(shù)據(jù)序列號(hào)安全參數(shù)索引（SPI）填充長(zhǎng)度認(rèn)證數(shù)據(jù)下一個(gè)報(bào)頭填充字段初始化向量ESP報(bào)文封裝模式ESP在IP報(bào)頭中的協(xié)議號(hào)為50傳輸模式:ESP報(bào)頭位于IP報(bào)頭和傳輸層協(xié)議報(bào)頭之間，在數(shù)據(jù)后面增加ESP尾。隧道模式:ESP報(bào)頭位于新IP頭和初始報(bào)文之間，在數(shù)據(jù)后面增加ESP尾。NewIPHESPHDataIPHDataIPHESPHOrgIPH傳輸模式隧道模式ESPAuthESPTrailerESPAuthESPTrailerData加密局部加密局部驗(yàn)證局部驗(yàn)證局部名目IPSecVPN概述IPSecVPN體系構(gòu)造驗(yàn)證頭〔AH〕技術(shù)封裝安全載荷〔ESP〕技術(shù)Internet密鑰交換〔IKE〕技術(shù)IPSecVPN應(yīng)用場(chǎng)景分析IKE概述SKEMEISAKMPOakley

Internet密鑰交換〔IKE〕…基于算法的自由形態(tài)協(xié)議…定義了如何驗(yàn)證密鑰交換…定義了溝通方式、信息格式、保障通信安全的狀態(tài)變換過(guò)程IKE的安全機(jī)制IKE具有一套自疼惜機(jī)制，可以在擔(dān)憂全的網(wǎng)絡(luò)上安全地分發(fā)密鑰、驗(yàn)證身份、建立IPSec安全聯(lián)盟。前向安全性身份驗(yàn)證身份疼惜DH算法、密鑰分發(fā)IPSecSA概念安全聯(lián)盟 〔SecurityAssociation，SA〕SA是通信對(duì)等體間對(duì)某些要素的商定,通信的雙方符合SA商定的內(nèi)容,就可以建立SASA由三元組來(lái)唯一標(biāo)識(shí)，包括安全參數(shù)索引、目的IP地址、安全協(xié)議號(hào)SAContents安全協(xié)議(AHESPAH+ESP)操作模式〔傳輸模式和隧道模式〕加密算法〔DES和3DES…〕共享密鑰以及密鑰的生存周期

……

IKE在IPSec協(xié)議的作用降低手工配置的簡(jiǎn)潔度安全聯(lián)盟定時(shí)更新密鑰定時(shí)更新允許IPSec供給反重放效勞允許在端與端之間動(dòng)態(tài)認(rèn)證IKE與IPSec之間關(guān)系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP報(bào)文IPIKE的SA協(xié)商SASAIKE的交換階段IKE使用了兩個(gè)階段為IPSec進(jìn)展密鑰協(xié)商并建立安全聯(lián)盟：第一階段，通信各方彼此間建立了一個(gè)已通過(guò)身份驗(yàn)證和安全疼惜的隧道，即IKESA。協(xié)商模式包括主模式、野蠻模式。認(rèn)證方式包括預(yù)共享密鑰、數(shù)字簽名方式、公鑰加密。其次階段，用在第一階段建立的安全隧道為IPSec協(xié)商安全效勞，建立IPSecSA。IPSecSA用于最終的IP數(shù)據(jù)安全傳送。協(xié)商模式為快速模式。IKETCPUDPIPSecIKETCPUDPIPSecEncryptedIPPacketIPIKESAnegotiationSASA收到需要疼惜的數(shù)據(jù)流1協(xié)商IKESA2協(xié)商IPSecSA3供給AH、ESP疼惜4IKE預(yù)共享密鑰方式主模式交換過(guò)程模式協(xié)商DH交換Nonce交換身份驗(yàn)證發(fā)起者承受者發(fā)起者cookie響應(yīng)者cookie發(fā)起者cookie，SA載荷響應(yīng)者cookie，響應(yīng)SA載荷密鑰交換載荷Xa臨時(shí)值載荷NiXaNi密鑰交換載荷Xb臨時(shí)值載荷NrXbNr各類算法確定各類密鑰生成密鑰HASH生成散列載荷發(fā)送者標(biāo)識(shí)載荷、散列載荷密鑰HASH生成散列載荷響應(yīng)者標(biāo)識(shí)載荷、散列載荷完畢IKE野蠻模式預(yù)共享密鑰協(xié)商過(guò)程野蠻模式一共需要交換3個(gè)消息消息1交換SA載荷、密鑰材料、和身份信息消息2在交換消息1內(nèi)容的同時(shí)增加了Hash認(rèn)證載荷消息3是響應(yīng)方對(duì)發(fā)起方的認(rèn)證疼惜套件列表、DH公共值Nonce、身份資料同消息1、驗(yàn)證載荷驗(yàn)證載荷Peer1Peer2發(fā)起方接收方IKE主模式和野蠻模式區(qū)分交換的消息:主模式為6個(gè)，野蠻模式為3個(gè)。身份疼惜：主模式的最終兩條消息有加密，可以供給身份疼惜功能；而野蠻模式消息集成度過(guò)高，因此無(wú)身份疼惜功能對(duì)等體標(biāo)識(shí):主模式只能承受IP地址方式標(biāo)識(shí)對(duì)等體；而野蠻模式可以承受IP地址方式或者Name方式標(biāo)識(shí)對(duì)等體?？焖倌Ｊ絽f(xié)商過(guò)程快速模式一共需要交換3個(gè)消息消息1和消息2中，交換SA、KEY、Nonce和ID。用以協(xié)商算法、保證PFS以及供給“在場(chǎng)證據(jù)”消息3是用于驗(yàn)證響應(yīng)者是否可以通信，相當(dāng)于確認(rèn)信息。SA載荷、Ni、Xa、發(fā)起者ID

響應(yīng)SA載荷、Ni、Xa、響應(yīng)者ID

確認(rèn)信息Peer1Peer2發(fā)起方接收方密鑰疼惜密鑰生存周期密鑰具有確定生存期，當(dāng)生存期到達(dá)時(shí)，用新的密鑰替代原有密鑰；完善向前保密〔PFS〕定義兩個(gè)密鑰之間無(wú)任何關(guān)系Diffie-Hellman(DH)組公共密鑰加密系統(tǒng)，可在一個(gè)公共的、不受安全疼惜通訊信道〔Internet〕交換共享密鑰生成過(guò)程信息；IPSec流量處理出站與入站丟棄報(bào)文繞過(guò)安全效勞應(yīng)用安全效勞總部分支機(jī)構(gòu)入站入站出站出站名目IPSecVPN概述IPSecVPN體系構(gòu)造驗(yàn)證頭〔AH〕技術(shù)封裝安全載荷〔ESP〕技術(shù)Internet密鑰交換〔IKE〕技術(shù)IPSecVPN應(yīng)用場(chǎng)景分析組網(wǎng)需求組網(wǎng)需求PC1與PC2之間進(jìn)展安全通信，在FWA與FWB之間使用IKE自動(dòng)協(xié)商建立安全通道。在FWA和FWB上均配置序列號(hào)為10的IKE提議。為使用pre-sharedkey驗(yàn)證方法的提議配置驗(yàn)證字。FWA與FWB均為固定公網(wǎng)地址USGAUSGBEth0/0/0Eth0/0/0Eth0/0/1Eth0/0/1Host1Host2IPSecVPN配置思路配置IPSec策略在接口上引用IPSec放開(kāi)相應(yīng)域間的過(guò)濾規(guī)章配置到對(duì)端內(nèi)網(wǎng)網(wǎng)段的路由完畢開(kāi)頭配置IPSec提議配置IKE提議配置IKE對(duì)等體根底配置〔如配置接口IP地址等〕IPSec配置過(guò)程——IPSec提議執(zhí)行命令ipsecproposalproposal-name，創(chuàng)立安全提議并進(jìn)入安全提議視圖。執(zhí)行命令transform{ah|ah-esp|esp}，選擇安全協(xié)議。缺省狀況使用esp。執(zhí)行命令encapsulation-modetunnel，選擇報(bào)文封裝形式。執(zhí)行命令ahauthentication-algorithm{md5|sha1}，設(shè)置AH協(xié)議承受的驗(yàn)證算法。缺省狀況下，在IPSec安全提議中AH協(xié)議承受MD5驗(yàn)證算法執(zhí)行命令espauthentication-algorithm{md5|sha1}，設(shè)置ESP協(xié)議承受的驗(yàn)證算法。缺省狀況下使用md5，即MD5驗(yàn)證算法。執(zhí)行命令espencryption-algorithm{3des|des|aes|scb2}，設(shè)置ESP協(xié)議承受的加密算法。缺省狀況使用DES加密算法。IPSec配置過(guò)程——IKE提議執(zhí)行命令ikeproposalproposal-number，創(chuàng)立并進(jìn)入IKE安全提議視圖。執(zhí)行命令authentication-methodpre-share，設(shè)置驗(yàn)證方法。執(zhí)行命令encryption-algorithm{des-cbc|3des-cbc}，選擇加密算法。缺省狀況下使用CBC模式的56bitsDES加密算法。執(zhí)行命令authentication-algorithm{md5|sha}，選擇驗(yàn)證算法。缺省使用SHA1驗(yàn)證算法。執(zhí)行命令dh{group1|group2|group5}，選擇Diffie-Hellman組標(biāo)識(shí)。缺省為group1，即768-bit的Diffie-Hellman組執(zhí)行命令sadurationinterval，設(shè)置安全聯(lián)盟生存周期。假設(shè)選擇了pre-sharedkey驗(yàn)證方法，需要為每個(gè)對(duì)端配置預(yù)共享密鑰。建立安全連接的兩個(gè)對(duì)端的預(yù)共享密鑰必需全都。IPSec配置過(guò)程——IKE對(duì)等體執(zhí)行命令ikepeerpeer-name，創(chuàng)立IKEPeer并進(jìn)入IKEPeer視圖。執(zhí)行命令exchange-mode{main|aggressive}，配置協(xié)商模式。執(zhí)行命令ike-proposalproposal-number，配置IKE安全提議。執(zhí)行命令local-id-type{ip|name}，配置IKEPeer的ID類型〔可選〕。執(zhí)行命令pre-shared-keykey-string，配置與對(duì)端共享的pre-sharedkey。執(zhí)行l(wèi)ocal-addressip-address，配置IKE協(xié)商時(shí)本端ip地址。執(zhí)行命令remote-addresslow-ip-address[high-ip-address]，配置對(duì)端的IP地址。執(zhí)行命令remote-namename，配置對(duì)端名稱〔只在野蠻模式下才使用名字認(rèn)證時(shí)使用〕。在野蠻模式下可以配置對(duì)端IP地址與對(duì)端名稱，主模式下只能配置對(duì)端IP地址。缺省狀況下，IKE協(xié)商承受主模式。IPSec配置過(guò)程——IKE對(duì)等體〔續(xù)〕執(zhí)行命令ipsecsaglobal-duration{time-basedinterval|traffic-basedkilobytes}，設(shè)置全局的安全聯(lián)盟生存周期〔可選〕。執(zhí)行命令ikelocal-namerouter-name，設(shè)置IKE協(xié)商時(shí)的本機(jī)ID〔可選〕執(zhí)行命令ikesakeepalive-timerintervalinterval，配置發(fā)送Keepalive報(bào)文的時(shí)間間隔〔可選〕。執(zhí)行命令ikesakeepalive-timertimeoutinterval，配置等待Keepalive報(bào)文的超時(shí)時(shí)間〔可選〕。執(zhí)行命令ikesanat-keepalive-timerintervalinterval，配置發(fā)送NAT更新報(bào)文的時(shí)間間隔〔可選〕。IPSec配置過(guò)程——IPSec安全策略及應(yīng)用創(chuàng)立ACL，定義受疼惜的數(shù)據(jù)流ipsecpolicypolicy-nameseq-numberisakmp，創(chuàng)立安全策略。執(zhí)行命令proposalproposal-name&<1-6>，在安全策略模板中引用安全提議。執(zhí)行命令saduration{traffic-basedkilobytes|time-basedinterval}，配置SA的生存周期〔可選〕。執(zhí)行命令ike-peerpeer-name，引用IKEPeer。執(zhí)行命令securityaclacl-number，設(shè)置安全策略引用的訪問(wèn)把握列表執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。此處應(yīng)中選擇網(wǎng)絡(luò)出接口執(zhí)行命令ipsecpolicypolicy-name，引用安全策略。IPSecVPN配置向?qū)?Web)currentipsecsanumber:2--------------------------------------------------------------------------------------------------------------SrcAddressDstAddressSPIVPNProtocolAlgorithm---------------------------------------------------------------------------------------------------------------202.39.160.1202.39.169.19570734320ESPE:DES;A:HMAC-MD5-96;202.39.169.1202.39.160.128387440790ESPE:DES;A:HMAC-MD5-96;IPSec結(jié)果驗(yàn)證與維護(hù)命令PC1與PC2之間可以相互訪問(wèn).防火墻上可以查看到兩條雙向IPSecSA<FWA>displayipsecsabriefconnection-idpeer