ipsec VPN技术(基础篇二)

最新推荐文章于 2025-03-05 11:10:23 发布
最新推荐文章于 2025-03-05 11:10:23 发布
阅读量3.6k 收藏 20
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BUG_MeDe/article/details/130313887
版权
本文详细介绍了IPsec的工作模式,包括隧道模式和传输模式,以及它们在网络安全中的应用。此外,文章深入探讨了IKE协议在建立IPsec安全联盟(SA)中的角色,特别是主模式和快速模式下的协商过程,包括密钥交换、身份认证方法(如预共享密钥和数字证书)以及IPsecSA的建立。文章还提到了PFS(完美向前保密)对提升IPsec安全性的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1,前言

        上次我们介绍了什么是ipsec已经ipsec的工作流程和其中使用的一些协议,下面将讲解一下ipsec的工作模式和协议是如何联系工作的。

2,ipsec 封装模式

        AH ,ESP,AH+ESP       在该两种封装模式下都可以使用

        隧道模式(Tunnel Mode):保护一个网络中的设备的安全,通常是两台网关设备。

隧道模式使用新的报文头来封装消息,可以保护一个网络的消息,适用于两个网关之间通信,是比较常用的封装模式。 

        传输模式(Transport Mode ):保护两台通信主机之间的安全。

 传输模式不改变报文头,隧道的源和目的地址就是最终通信双方的源和目的地址,通信双方只能保护自己发出的消息,不能保护一个网络的消息。

                                         图:隧道模式下的ESP加密报文

3、IKE 协议 协商建立IPsec SA

IKE协议中重要的协议ISAKMP协议,其报文如下:

  • Initiator’s Cookie(SPI)和responder’s Cookie(SPI):在IKEv1版本中为Cookie,在IKEv2版本中Cookie为IKE的SPI,唯一标识一个IKE SA。
  • Version:IKE版本号1。
  • Exchange Type:IKE定义的交互类型2。交换类型定义了ISAKMP消息遵循的交换顺序。
  • Next Payload:标识消息中下一个载荷的类型。一个ISAKMP报文中可能装载多个载荷,该字段提供载荷之间的“链接”能力。若当前载荷是消息中最后一个载荷,则该字段为0。
  • Type Payload:载荷类型,ISAKMP报文携带的用于协商IKE SA和IPSec SA的“参数包”。载荷类型有很多种,不同载荷携带的“参数包”不同。不同载荷的具体作用我们后面会结合抓包过程逐一分析。

说明:

1:IKEv1版本中可以在交换类型字段查看协商模式,阶段1分为两种模式:主模式和野蛮模式,阶段2采用快速模式。主模式是主流技术,野蛮模式是为解决现实问题而产生的。IKEv2版本中定义了查看创建IKE SA和CHILD SA(对应IKEv1的IPSec SA)的IKE_SA_INIT、IKE_AUTH(创建第一对CHILD SA)、CREATE_CHILD_SA(创建后续的CHILD SA)。

         该ISAKMP协商使用的主模式,IKE SA协商双方发送了6个报文,后面的IPsec SA的协商使用的快速模式。

主模式下的协商过程:

分为三个阶段进行协商:

        双方响应IKE安全提议报文,同时在自己配置的ipsec 安全规则中寻找匹配的安全规则,主要匹配:加密算法、认证算法、身份认证方法、DH组标识,需要双方具有相同的匹配,才能协商成功。

        发送密钥材料,利用ISAKMP消息的Key Exchange和nonce载荷交换彼此的密钥材料,Key Exchange用于交换DH公开值,nonce用于传送临时随机数。

        生成密钥用于身份验证和加密,网关最终会产生三个密钥:

  • SKEYID_a:ISAKMP消息完整性验证密钥――谁也别想篡改ISAKMP消息了,只要消息稍有改动,响应端完整性检查就会发现!
  • SKEYID_e:ISAKMP消息加密密钥――再也别想窃取ISAKMP消息了,窃取了也看不懂!

以上两个密钥保证了后续交换的ISAKMP消息的安全性!

  • SKEYID_d:用于衍生出IPSec报文加密和验证密钥――最终是由这个密钥保证IPSec封装的数据报文的安全性!

整个密钥交换和计算过程在IKE SA超时时间的控制下以一定的周期进行自动刷新,避免了密钥长期不变带来的安全隐患。

        身份认证:  主要有两种认证方式-

                --->预共享密钥(pre-share):设备的身份信息为IP地址或名称(包括FQDN和USER-FQDN两种形式)。当IKE Peer两端都有固定IP地址的时候,一般都用IP地址作为身份标识;当一端为动态获取IP地址的时候,没有固定IP地址的一端只能用名称来标识。

                --->数字证书方式(certificate):设备的身份信息为证书和通过证书私钥加密的部分消息Hash值(俗 称签名)

以上身份信息都由SKEYID_e进行加密,所以在抓包中我们只能看到标识为“Encrypted”的ISAKMP消息,看不到消息的内容(身份信息)。

IPsec SA 的建立

         在IKE v1中,ipsec SA 的建立使用的是ISAKMP的快速模式,发送三条消息。其中的数据是加密的。协商的流程和交换的信息如下图:

 IPsec SA 协商过程:

        对端发送IPsec安全提议和密钥材料,对端发送响应报文,包含匹配到得Ipsec规则,和密钥材料。同时双方生产用于IPsec SA 的密钥。

注意:

        由于IPSec SA的密钥都是由SKEYID_d衍生的,一旦SKEYID_d泄露将可能导致IPSec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPSec SA协商时会进行一次附加的DH交换,重新生成新的IPSec SA密钥,提高了IPSec SA的安全性。

    

BUG_MeDe
关注
防火墙—IPSec VPN(NAT 穿透-双侧 NAT)
weixin_44080599的博客
06-05 4842
奇安信防火墙 IPSEC VPN 详解
IPsec vpn 配置实验(一端动态地址)
m0_69435261的博客
12-30 1239
因为本文章,就是IPsec的实验配置的话,是有一端IP地址不固定的情况下,就需要用到野蛮模式的,第一阶段会更改模式啦,两端都需要更改对于地址固定的总部来说,需要以下注意的点:1) 动态模板 :如拓扑图中,R1是地址固定那一段,然后它想和自己的分部R3建立IPsec VPN,在不清楚R3的IP地址下,是无法用常规的办法来配置,我们就只能用template来建立2)无需设置ACL: 因为我们并不清楚分部那边有哪些私网的网段那如何去与一端地址不固定的设备建立IPsec 呢?
华为HCIE-Security培训视频汇总集【共6期90集】.rar
09-15
目录:网盘文件,永久连接 华为安全HCIE-第门-防火墙基础(12) 1_网络安全简述.mp4 2_华为安全认证体系及相关产品介绍 3_防火墙互联技术 4_防火墙初始化配置 5_安全策略技术-流量处理流程 6_安全策略-来回路径不一致 7_智能策略调优 8_防火墙路由基础_静态路由多出口 9_防火墙路由基础_ospf_bgp 10_防火墙路由基础_智能选路_策略路由_案例分析 11_防火墙NAT原理介绍.mp4 12_nat配置_nat_server_目的nat_双向nat 华为安全HCIE-第三门-防火墙高级技术(17) 1_用户认证_用户_认证域_认证策略 2_用户认证_服务器认证方式_单点认证 3_用户认证_接入用户使用场景_本地认证实验 4_用户认证_服务器认证_不同的认证域配置 5_用户认证-单点登录-上 6_用户认证_AD单点登录下 7_防火墙虚拟化原理 8_防火墙虚拟化配置 9_带宽管理原理 10_带宽管理配置及故障排除 11_双机热备_vrrp_vgmp协议介绍 12_VGMP状态切换 13_VGMP故障检测_流量引导 14_hrp协议_主备_负载模式 15_双机热备-上下交换机-主备 16_双机热备-上下交换机-负载 17_双机热备-上行路由器下行交换机 华为安全HCIE-第四门-防火墙UTM技术(5) 1_内容安全_内容过滤 2_内容安全-url过滤 3_内容安全-文件过滤 4_内容安全-邮件过滤 5_内容安全-反病毒-应用行为控制 华为安全HCIE-第五门-防火墙攻击防范技术(8) 1_单包攻击防范 2_IPS技术-威胁防护原理 3_ips技术-威胁防护实验 4_ips技术-ips部署方式 5_ddos防范-tcp-udp_flood 6_ddos防范-dns-http_flood 7_层攻击防范-dhcp_snooping 8_层攻击防范-端口安全 华为安全HCIE-第六门-VPN技术(36) 1_vpn概述 2_密码学-对称加密算法 3_密码学-非对称加密 4_散列算法_数字签名_数字证书 5_PKI架构_证书管理 6_ipsec协议介绍 7_ikev1协议精讲 8_ikev2协议讲解 9_site-to-site_vpn实验讲解 10_hub_spoke_策略模板 11_site-2-site_数字证书_数字信封认证 12_gre over ipsec技术讲解 13_l2tp_vpn_lac_auto讲解 14_l2tp_vpn_lac_auto实验演示 15_l2tp_vpn_nas_init 16_l2tp_vpn_client_init 17_E_VPN技术讲解 18_为什么要引入nat穿越 19_nat穿越协商4步走 20_nat穿越实验演示 21_DPD技术讲解 22_vpn高可用性_链路冗余_物理接口_隧道化方式 23_vpn高可用性_链路冗余_物理接口应用策略实验演示 24_vpn高可用性_链路冗余_隧道化部署 25_vpn高可用_设备冗余 26_vpn高可用_设备冗余_上行交换机或路由器部署实验 27_dsvpn技术_normal模式 28_dsvpn_shortcut模式_应用场景 29_dsvpn_normal_shortcut实验演示 30_ipv6技术讲解 31_ssl协议介绍 32_ssl_vpn功能介绍 33_ssl_vpn实验_web代理 34_ssl_vpn_端口转发和文件共享 35_ssl_vpn_网络扩展及其它特性演示 36_ssl_vpn_网络扩展及其它特性演示_补充知识 华为安全HCIE-第七门-Agile Controller(12) 1_aglie_controller产品亮点讲解 2_aglie_controller产品定位及部署场景 3_radius认证协议讲解 4_802.1x协议讲解 5_sacg_portal_mac认证技术讲解 6_802.1x配置讲解 7_sacg_实验演示_无终端安全检查 8_终端安全检查 9_终端安全检查_域切换 10_访客管理 11_portal认证实验演示 12_portal_访客管理
华为HCIE-Security培训视频教程【共37集】.rar
09-09
目录:网盘文件,永久链接 1、华为HCIE安全认证介绍及教学大纲 2、产品介绍及模拟器使用方法 3、TCP-IP网络数据通信原理 4、华为防火墙基础技术--拓扑初始化(1) 5、华为防火墙基础技术--拓扑初始化(2) 6、华为防火墙基础技术--拓扑初始化(3) 7、华为防火墙基础技术--状态检测机制与会话表结构及工作原理 8、华为防火墙基础技术--报文转发流程 9.华为防火墙基础技术--安全策略(1) 10.华为防火墙基础技术--安全策略(2) 11.华为防火墙基础技术--安全策略(3) 12.华为防火墙基础技术--ASPF技术(1) 13.华为防火墙基础技术--ASPF技术(2) 14.华为防火墙基础技术--源NAT(1) 15.华为防火墙基础技术--源NAT(2) 16.华为防火墙基础技术--源NAT(3) 17.华为防火墙上的NAT技术——源NAT双出口环境+静态服务器映射部署方案 18.华为防火墙上的NAT技术——NAT-SERVER双出口环境(源进源出)+Destination NAT 19.华为防火墙上的NAT技术——双向NAT 20.华为防火墙上的NAT技术——NAT与黑洞路由 21.华为防火墙上的NAT技术——SLB 22.华为防火墙上的高可用性技术——IP-LINK LINK-GROUP ETH-TRUNK BYPASS 23.华为防火墙上的高可用性技术——BFD 24. 防火墙双机热备基础——VRRP协议原理 25. 防火墙双机热备基础——VGMP与HRP协议原理(1) 26. 防火墙双机热备基础——VGMP与HRP协议原理(2) 27. 防火墙双机热备高级部分——部署场景与协议最佳实践(1) 28. 防火墙双机热备高级部分——部署场景与协议最佳实践(2) 29. 防火墙双机热备高级部分——部署场景与协议最佳实践(3) 30. 防火墙双机热备高级部分——部署场景与协议最佳实践(4) 31. VPN基础——GRE协议基础原理协议部署、流发机制、安全策略) 32. VPN基础——GRE协议高级特性(动态路由部署、NAT环境、路由震荡) 33. VPN基础——加密学原理(对称与非对称加密算法、数字信封、数字签名、中间人攻击) 34. VPN基础——加密学原理(哈希函数、MAC、重放攻击、数字证书、PKI) 35. VPN基础——加密学原理之完美觖决方案 36. IPSec VPN基础——IPSec安全框架及基础配置 37. IPSec VPN——IKE协议原理工作细节及报文详解
【华为】IPSec (动态)的原理与配置
最新发布
2403_83112422的博客
03-05 1464
实现PC1与PC2在公网传输时加密通信(IPSec VPN),并且实现PC1访问R5的loopback8端口(NAT)
IPSEC VPN
2203_76138235的博客
07-25 1131
IPSec VPN是基于IPSec 协议处理的VPN技术,属于三层VPN,不支持组播,不支持路由协议。用于保障设备间连接的协议IPsec有助于保持通过公共网络发送的数据安全。它通常用于建立VPN,其工作原理是对IP数据包进行加密,同时验证数据包的来源。IPSec提供的安全服务访问控制在IPSEC中可以抓取感兴趣流,即可以设定哪些流量需要进入到ipsec通道中,进行保密传输,哪些不需要进入通道机密性(Confidentiality):数据加密。不可否认性(Non-repudiation):数字签名。
ipsec VPN 技术介绍(基础一)
BUG_MeDe的博客
04-22 7041
IPsec的一些基础知识讲解
IPSec VPN的原理与配置
2301_78256093的博客
06-14 1万+
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
NAT与IPSec VPN的高级应用
NAT(网络地址转换)的基础知识 NAT(Network Address Translation),即网络地址转换,是一种在网络通讯中重要的技术。通过NAT,可以在不改变数据传输内容的情况下,将私有网络中的内部IP地址映射为公共网络中的...
结合配置、抓包来分析IKE/IPSec的整个协商过程
网络之路Blog(其他平台同名)
09-22 1788
实际上在配置里面,只是配置了一个ike proposal 1,并没有定义详细的参数,但是这里博主说下,不管是思科、华三还是华为的设备,默认都会有一个内置的默认策略,当创建了一个porposal后,没有定义实际的配置,那么就会继承默认参数,但华为防火墙里面有一个更人性化的地方,它默认内置了一个default,并且加密与认证算法都包含了几种不同强度在里面,这样的好处就是尽可能得简化用户的配置,实用默认的就可以直接建立。下一来进入一个正式的环境,来看看在部署了NAT与安全策略后会遇到哪些问题。
VPN入门教程(非常详细),从零基础入门到精通,看完这一就够了
2401_87018803的博客
09-07 5921
加入社区》https://bbs.youkuaiyun.com/forums/4304bb5a486d4c3ab8389e65ecb71ac0。加入社区》https://bbs.youkuaiyun.com/forums/4304bb5a486d4c3ab8389e65ecb71ac0。注意以下的命令如果和我的模拟器配置的IP和连接的端口一样就可以复制粘贴到软件上,不同的请根据自己的实际情况,修改IP和接口号。
IPSec VPN
weixin_46719506的博客
09-27 1471
IPsec VPN采用IPsec协议来实现两个或多个网络之间的安全通信。它通过加密和封装技术,在公共网络上为私有网络之间建立安全的通信隧道,确保数据传输的机密性、完整性和认证性。功能:IPsec VPN提供了强大的安全保护机制,包括加密、认证和数据防篡改功能。它能够确保传输的数据在不被未授权用户窃取或篡改的同时,验证通信双方的身份,防止中间人攻击等安全威胁。
IPSEC---VPN
zhoutong2323的博客
03-04 6165
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
IPSEC VPN详解
热门推荐
weixin_57507186的博客
04-22 1万+
IPSEC 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。IPSEC VPN基于IPSEC构建在IP层实现的安全虚拟专用网。VPN-- virtual private network 虚拟私有网,利用隧道技术实现
防火墙—IPSec VPN(NAT 穿透-单侧 NAT)
weixin_44080599的博客
06-02 2408
奇安信防火墙 IPSEC VPN 详解
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值