IPSec简介:IPSec是一种开放标准的框架结构的Internet协议安全性 ,通过使用加密的安全服务以确保在 Internet 协议网络上进行保密而安全的通讯。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的***。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。
目的:
1.保护 IP 数据包的内容。
2.通过数据包筛选及受信任通讯的实施来防御网络***。
这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。其中以接收和发送最为重要。
结构:IPsec协议工作在OSI 模型的第三层,使其在单独使用时适于保护基于TCP或UDP的协议(如 安全套接子层(SSL)就不能保护UDP层的通信流)。这就意味着,与传输层或更高层的协议相比,IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片。
特性:身份验证,完整性,保密性,抗重播
其中的安全协议如下:
(1)AH(AuthenticationHeader) 协议。
它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。
(2)ESP(EncapsulatedSecurityPayload) 协议。
它提供 IP层加密保证和验证数据源以对付网络上的监听。因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于***而言仍然是清晰的。为了有效地保证数据传输安全, 在IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改。
安全联盟SA
安全联盟 SA,记录每条 IP安全通路的策略和策略参数。安全联盟是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和 ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟。
封装模式
隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。
传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。定义了一个通用格式。
下面给大家讲一个案例,更加详细的来体会IPsec在企业中的运用。
下图拓扑图中三个防火墙分别代表1.0,2.0,3.0的网络,中间的交换机看成一个intnet网络,为了让私有地址1.0可以访问2.0,3.0,在这里我们可以利用IPsec安全协议来架构×××隧道。
配置
首先配置
首先配置交换机
[ISP]vlan 2
[ISP-vlan2]port eth0/0/2
[ISP-vlan2]vlan10
[ISP-vlan10]port eth0/0/10
[ISP-vlan10]vlan 20
[ISP-vlan20]port eth0/0/20
[ISP]intvlan 2
[ISP-Vlanif2]ip add 61.130.130.2 255.255.255.0
[ISP]intvlan 10
[ISP-Vlanif10]ipadd 61.130.130.6 255.255.255.0
[ISP]intvlan 20
[ISP-Vlanif20]ip add 61.130.130.10255.255.255.0
开始配置防火墙FW1、FW2、FW3的各个端口ip以及静态路由
FW1:
[FW1]inteth0/1
[FW1-Ethernet0/1]ip add 192.168.1.1 24
[FW1-Ethernet0/1]loopback
[FW1-Ethernet0/1]int eth0/0
[FW1-Ethernet0/0]ip add61.130.130.1 30
[FW1]ip route 0.0.0.00 61.130.130.2
[FW1]firewallzone untrust
[FW1-zone-untrust]add int eth0/0
FW2:
[FW2]inteth0/1
[FW2-Ethernet0/1]ipadd 192.168.2.1 24
[FW2-Ethernet0/1]loopback
[FW2-Ethernet0/1]int eth0/0
[FW2-Ethernet0/0]ip add61.130.130.5 30
[FW2]ip route 0.0.0.00 61.130.130.6
[FW2]firewallzone untrust
[FW1-zone-untrust]add int eth0/0
FW3:
[FW3]inteth0/1
[FW3-Ethernet0/1]ipadd 192.168.3.1 24
[FW3-Ethernet0/1]loopback
[FW3-Ethernet0/1]int eth0/0
[FW3-Ethernet0/0]ip add61.130.130.9 30
[FW3]ip route 0.0.0.00 61.130.130.10
[FW3]firewallzone untrust
[FW3-zone-untrust]addint eth0/0
开始做总部与分支之间的隧道
FW1:
[FW1]acl number 3000 match-order auto //创建访问列表
[FW1-acl-adv-3000]rule10 permit ip source 192.168.1.0 0.0.0.255destination 192.168.2.0 0.0.0.255
[FW1-acl-adv-3000]rule20 deny ip source any destination any
创建安全提议
[FW1]ipsecproposal tran1
[FW1-ipsec-proposal-tran1]encapsulation-modetunnel
[FW1-ipsec-proposal-tran1]transformesp
[FW1-ipsec-proposal-tran1]espauthentication-algorithm md5
[FW1-ipsec-proposal-tran1]espencryption-algorithm des
创建安全策略
[FW1]ipsecpolicy policy1 10 isakmp
[FW1-ipsec-policy-isakmp-policy1-10]securityacl 3000
[FW1-ipsec-policy-isakmp-policy1-10]proposaltran1
[FW1]ikepeer fw2
[FW1-ike-peer-fw2]local-address61.130.130.1
[FW1-ike-peer-fw2]remote-address61.130.130.5
[FW1-ike-peer-fw2]pre-shared-key123456
[FW1]ipsecpolicy policy1 10 isakmp
[FW1-ipsec-policy-isakmp-policy1-10]ike-peerfw2
在端口应用策略
[FW1]inteth0/0
[FW1-Ethernet0/0]ipsecpolicy policy1
添加FW3的配置
[FW1]acl number 3001match-order auto
[FW1-acl-adv-3001]rule10 permit ip source 192.168.1.0 0.0.0.255destination 192.168.3.0 0.0.0.255
[FW1-acl-adv-3001]rule20 deny ip source any destination any
[FW1]ipsecproposal tran2
[FW1-ipsec-proposal-tran2]encapsulation-modetunnel
[FW1-ipsec-proposal-tran2]transformesp
[FW1-ipsec-proposal-tran2]espauthentication-algorithm md5
[FW1-ipsec-proposal-tran2]espencryption-algorithm des
[FW1]ipsecpolicy policy1 20 isakmp
[FW1-ipsec-policy-isakmp-policy1-10]securityacl 3001
[FW1-ipsec-policy-isakmp-policy1-10]proposaltran2
[FW1]ikepeer fw3
[FW1-ike-peer-fw3]local-address61.130.130.1
[FW1-ike-peer-fw3]remote-address61.130.130.5
[FW1-ike-peer-fw3]pre-shared-key123456
[FW1]ipsecpolicy policy1 20 isakmp
[FW1-ipsec-policy-isakmp-policy1-10]ike-peerfw3
[FW1]inteth0/0
[FW1-Ethernet0/0]ipsecpolicy policy1
FW2:
[FW2]aclnumber 3000 match-order auto
[FW2-acl-adv-3000]rule10 permit ip source 192.168.2.0 0.0.0.255destination 192.168.1.0 0.0.0.255
[FW2-acl-adv-3000]rule20 deny ip source any destination any
[FW2]ipsecproposal tran1
[FW2]ipsec-proposal-tran1]encapsulation-modetunnel
[FW2-ipsec-proposal-tran1]transformesp
[FW2-ipsec-proposal-tran1]espauthentication-algorithm md5
[FW2-ipsec-proposal-tran1]espencryption-algorithm des
[FW2]ipsecpolicy policy1 10 isakmp
[FW2-ipsec-policy-isakmp-policy1-10]securityacl 3000
[FW2-ipsec-policy-isakmp-policy1-10]proposaltran1
[FW2]ikepeer fw1
[FW2-ike-peer-fw1]local-address61.130.130.5
[FW2-ike-peer-fw1]remote-address61.130.130.1
[FW2-ike-peer-fw1]pre-shared-key123456
[FW2]ipsecpolicy policy1 10 isakmp
[FW2-ipsec-policy-isakmp-policy1-10]ike-peerfw1
[FW2]inteth0/0
[FW2-Ethernet0/0]ipsecpolicy policy1
FW3:
[FW3]aclnumber 3001 match-order auto
[FW3-acl-adv-3001]rule10 permit ip source 192.168.3.0 0.0.0.255destination 192.168.1.0 0.0.0.255
[FW3-acl-adv-3000]rule20 deny ip source any destination any
[FW3]ipsecproposal tran2
[FW3-ipsec-proposal-tran2]encapsulation-modetunnel
[FW3-ipsec-proposal-tran2]transformesp
[FW3-ipsec-proposal-tran2]espauthentication-algorithm md5
[FW3-ipsec-proposal-tran2]espencryption-algorithm des
[FW3]ipsecpolicy policy120 isakmp
[FW3-ipsec-policy-isakmp-policy1-20]securityacl 3000
[FW3-ipsec-policy-isakmp-policy1-20]proposaltran2
[FW3]ikepeer fw1
[FW3-ike-peer-fW1]local-address61.130.130.9
[FW3-ike-peer-fw1]remote-address61.130.130.1
[FW3-ike-peer-fw1]pre-shared-key123456
[FW3]ipsecpolicy policy1 10 isakmp
[FW3-ipsec-policy-isakmp-policy1-10]ike-peerfw1
[FW3]inteth0/0
[FW3-Ethernet0/0]ipsecpolicy policy1
完成后测试,1.0可以访问2.0和3.0