IPSec VPN原理与配置详解

已于 2024-07-27 21:47:28 修改
阅读量3.5k 收藏 35
点赞数 47
分类专栏: HCIP 防御保护-NGFW 文章标签: 网络
于 2024-07-27 21:39:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ONE__PIECE__/article/details/140739600
版权

目录

一.TCP/IP 协议的缺点

二.IPsec诞生背景 

  IPsec可提供安全服务

三.IPsec协议簇

DH算法 

DH算法的基本原理涉及以下步骤:

 IPsec的两种工作模式

传输模式

隧道模式:

IPsec的安全协议  

AH 协议:鉴别头协议

AH提供的安全服务:

AH协议身份验证过程如下:

AH报文:

 传输模式AH封装范围

ESP协议:封装安全载荷协议 

 AH与ESP对比

 AH+ESP报文:

 四.IPsec建立过程 

安全参数索引

安全联盟SA

手工建立SA

动态建立SA

IKE协议产生背景

IKE协议用途

密钥交换管理协议 IKE 

主模式协商:

野蛮模式:

VPN黑洞

五.IPSec安全数据库

安全策略数据库SPD

安全关联数据库SAD 

六.IPSec-VPN的部署场景

网关部署

NAT下的VPN部署场景

NAT-T技术

五.IKE 配置

手工配置

一.TCP/IP 协议的缺点

  1. IP层不校验数据完整性:原始的IP协议(IPv4)不检查数据包的完整性。当数据包在网络中传输时,中间的路由器或交换机不会验证数据包的内容是否被篡改。这意味着,如果攻击者能够访问到网络中的数据流,他们就有可能篡改数据包的内容而不被发现。
  2. 缺乏端到端的校验:虽然TCP协议在其传输层提供了校验和机制来验证报文在传输过程中是否出现错误,但如果黑客修改了报文,并重新计算,填入校验和字段,则接收方无法判断报文是否被修改。
  3. 缺少数据加密:原始的TCP/IP协议不提供数据加密功能。这意味着,除非用户自己实现加密机制,否则在网络上传输的所有数据都是明文的,可以被任何能够访问网络的人读取。

二.IPsec诞生背景 

        IPSec(IP Security)是一组开放的网络安全协议,是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,这些协议和服务包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。

  IPsec可提供安全服务

1. 数据加密:IPsec协议使用加密技术对数据进行加密,确保数据在传输过程中的机密性。它提供了两种加密方式:ESP(Encapsulating Security Payload)和AH(Authentication Header)。ESP协议负责数据的加密,而AH协议则提供数据的完整性校验和源验证功能。通过这些加密技术,IPsec可以保护TCP/IP协议簇中传输的数据,防止数据被窃取或篡改。
2. 认证机制:IPsec协议提供了认证机制,用于验证数据的完整性和来源。AH协议通过在每个数据包中添加一个认证头来实现这一功能。认证头包含了用于验证数据完整性的哈希值和用于验证数据来源的公钥或预共享密钥。通过验证认证头,接收方可以确保接收到的数据是完整且来自可信的发送方。
3. 防止重放攻击:IPsec协议通过使用序列号和时间戳来防止重放攻击。每个IPsec数据包都包含一个唯一的序列号,接收方可以检查序列号的连续性来识别重放的数据包。此外,时间戳也可以用来验证数据包的时效性,确保数据包不是在过去某个时间截取的。
4. 访问控制:IPsec协议支持访问控制功能,可以根据策略规则来允许或拒绝特定的通信连接。通过配置IPsec策略,可以实现基于源IP地址、目标IP地址、端口号等条件的访问控制,增强网络的安全性。

三.IPsec协议

DH算法 

DH算法的基本原理涉及以下步骤:
  1. Alice和Bob首先同意使用一个大的质数p和它的原根g。这两个数是公开的,不需要保密。
  2. Alice选择一个私有的随机数x,并计算X = | g^x | /P (图中=8)。她将X发送给Bob。
  3. Bob选择一个私有的随机数y,并计算Y = | g^y | / p (图中=4 )他将Y发送给Alice。
  4. Alice计算共享密钥Z = |Y^x | /p(图中=9),而Bob计算共享密钥S = |X^y |/p(图中=9)。

假设,图中需要传输的内容为X=8 ,Y=4 以及公开数 g p;以上为黑客能够知道的所有信息,即使黑客知道共享密钥的算法如:Z = |Y^x | /p  如果黑客不知道x则无法算出共享密钥,而x未经过传输是私有数,因此黑客无法获知共享密钥。

 IPsec的两种工作模式

注:不同的工作模式代表不同的数据包封装方式

传输模式

  •  封装方式:不改变原有的IP头部,在原始IP包头包头后面插入IPsec包用于将原来的数据封装成被保护的数据(网络层+传输层+应用层数据)。
  • 应用场景:用于私网内部主机与主机之间通信
  • 原因:若数据包被黑客截获由于原始IP包头包含私网主机IP地址且未被加密,黑客极有可能篡改IP报文冒充客户端向服务器发送信息。
隧道模式:

  •  封装方式:在原始IP包人前插入一个IPsec包头,原始IP包头作为载荷的一部风受到IPSec保护。
  • 应用场景:经常用于私网与私网之间跨越公网通信,建立安全的 VPN通道。
  • 原因:与传输模式不同,隧道模式添加的新IP包头仅包含公网IP不包含私网IP,尽管被黑客截获,黑客也无法冒充客户端向服务器发送信息。

IPsec的安全协议  
AH 协议:鉴别头协议

AH(Authentication Header)协议是一种为IP数据包提供数据完整性验证和数据源身份认证的安全协议。协议号:51

AH提供的安全服务:

  1. 数据源验证:AH协议通过验证数据包的完整性和身份来确保数据来自可信的源。它使用公钥加密或预共享密钥来对数据包进行加密和签名,以验证发送方的身份和数据包的完整性。

  2. 数据完整性校验:AH协议使用哈希算法(如MD5或SHA-1)来计算数据包的哈希值,并将该哈希值附加在数据包的AH头认证数据字段中。接收方在接收到数据包后,使用相同的哈希算法重新计算哈希值,并与数据包中的哈希值进行比较,以验证数据包的完整性。

  3. 防报文重放:AH协议通过序列号和时间戳等机制来防止重放攻击。每个AH数据包都包含一个唯一的序列号,接收方可以检查序列号的连续性来识别重放的数据包。此外,时间戳也可以用来验证数据包的时效性,确保数据包不是在过去某个时间截取的。

AH协议身份验证过程如下:
  1. 发送方生成一个身份验证值,使用共享密钥和AH头部中的其他字段进行计算。
  2. 发送方将生成的身份验证值填充到AH头部的身份验证数据字段中。
  3. 发送方将AH头部添加到待发送的IP包中,并将IP包发送给接收方。
  4. 接收方使用相同的共享密钥和接收到的IP包中的AH头部字段计算一个身份验证值。
  5. 接收方将计算得到的身份验证值与接收到的IP包中的AH头部中的身份验证数据字段进行比较。
  6. 如果两者相等,则验证成功,否则验证失败。
AH报文:


                

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    



                



	

		

			

				
					
安全防御------IPSec VPN

				
			

			

				

					m0_63292411的博客
				

				

					08-08
					
					2301
					
				

			

		

		

			
				
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和多VPN等问题。

			
		

	



                

            
              



	

		

			

				
					
华为防火墙IPSec详解配置实验

				
			

			

				

					m0_68208233的博客
				

				

					11-04
					
					1万+
					
				

			

		

		

			
				
IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。

			
		

	



              


  
              

                


	

		

			

				
					
IPSEC VPN-详解原理

				
			

			

				

					m0_72210904的博客
				

				

					03-13
					
					4459
					
				

			

		

		

			
				
在野蛮模式中,可以自定义身份标识,主要是因为身份信息不需要加密,并且,前两个数据包都无法加密,所以,野蛮模式安全性较低。仅第三个数据包会进行加密。但是,

			
		

	





	

		

			

				
					
IPSec协议原理IPSec VPN技术

					
最新发布

				
			

			

				

					📚【自学笔记】技术探索进阶之路
				

				

					05-01
					
					799
					
				

			

		

		

			
				
IP报文本身不集成任何安全特性,恶意用户很容易便可伪造IP报文的地址、修改报文的内容、重放IP数据包以及在传输过程中拦截并查看数据包内容,因此,传统IP层协议不能保证收到数据包的安全,IPSec正是用来解决IP层安全性问题的技术。AH(Authentication Header)协议。

			
		

	



		

			
		



	

		

			

				
					
IPSEC---VPN

				
			

			

				

					zhoutong2323的博客
				

				

					03-04
					
					6408
					
				

			

		

		

			
				
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。

			
		

	





	

		

			

				
					
IPSec VPN 原理配置

				
			

			

				

					m0_73258133的博客
				

				

					04-20
					
					4243
					
				

			

		

		

			
				
VPN就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直 接相连,但通常情况下它们会相隔较远的距离。对于定义的“受保护”一词,可以从以下几个方面理解。实际工作环境中的VPN解决方案不一定包含上述所有功能,这要由具体的环境需求和实现方式 决定。而且很多企业可能采用不止一种的VPN解决方案。

			
		

	





	

		

			

				
					
IPSEC VPN详解

				
			

			

				

					weixin_57507186的博客
				

				

					04-22
					
					1万+
					
				

			

		

		

			
				
IPSEC 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。IPSEC VPN基于IPSEC构建在IP层实现的安全虚拟专用网。VPN-- virtual private network 虚拟私有网,利用隧道技术实现

			
		

	





	

		

			

				
					
IPSEC VPN详解+100%理解(大学生易读版)

					
热门推荐

				
			

			

				

					qq_74338624的博客
				

				

					10-26
					
					2万+
					
				

			

		

		

			
				
还在为ipsec庞大的知识体系苦恼吗,来这,有着最清晰的思路带你梳理解决

			
		

	





	

		

			

				
					
计算机网络安全领域的IPSec VPN配置实验及核心技术详解

				
			

			

				

					03-08
				

			

		

		

			
				
内容概要:本文详细介绍了IPSec VPN的相关技术和具体配置流程,包括其基本概念、工作原理配置要素(如安全提议、IKE对等体、IPSec策略)、实际配置示例及其验证方法。通过对IKE SA 和 IPSec SA的状态检查、配置...

			
		

	





	

		

			

				
					
IPSECIPSEC VPN一篇通(面试复习)

				
			

			

				

					atmxs的博客
				

				

					09-23
					
					2435
					
				

			

		

		

			
				
简述为IPSEC的概念后,现在看看IPSEC是怎么运用到我们的现实生活中去的。

			
		

	





	

		

			

				
					
IPSEC VPN 介绍

				
			

			

				

					m0_48944871的博客
				

				

					04-22
					
					457
					
				

			

		

		

			
				
数据认证技术在VPN中发挥着重要的作用,主要用于验证VPN连接的合法性和可信度,确保数据传输的安全性和完整性。身份认证技术在VPN中发挥着重要的作用,主要用于验证VPN用户的身份和权限,确保VPN连接的安全性和合法性。

			
		

	





	

		

			

				
					
ipsec VPN 技术介绍(基础篇一)

				
			

			

				

					BUG_MeDe的博客
				

				

					04-22
					
					7106
					
				

			

		

		

			
				
IPsec的一些基础知识讲解

			
		

	





	

		

			

				
					
IPSec VPN原理配置

				
			

			

				

					qq_61946091的博客
				

				

					06-15
					
					1万+
					
				

			

		

		

			
				
IPSec

			
		

	





	

		

			

				
					
IPSec VPN详解

				
			

			

				

					rendongxingzhe的博客
				

				

					08-15
					
					1万+
					
				

			

		

		

			
				
AH对数据包和认证密钥进行Hash计算,接收方收到带有计算结果的数据包后,执行同样的Hash计算并原计算结果比较,传输过程中对数据的任何更改将使计算结果无效,这样就提供了数据来源认证和数据完整性校验。AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。分为两个阶段,第一个阶段是建立管理连接,第二个阶段是建立数据连接。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。

			
		

	





	

		

			

				
					
关于IPSec VPN 的详细配置讲解

				
			

			

				

					weixin_74749868的博客
				

				

					10-14
					
					1万+
					
				

			

		

		

			
				
IPSec(Internet Protocol Security)是一套用于互联网协议(IP)层的安全协议组合,旨在保护IP通信的安全性。它通过认证、加密和数据完整性验证来确保数据在传输过程中的机密性和完整性。IPSec可以在IPv4和IPv6网络中使用,广泛应用于虚拟专用网络VPN)和安全站点间通信。

			
		

	





	

		

			

				
					
IpsecVPN

				
			

			

				

					m0_62665450的博客
				

				

					04-26
					
					1825
					
				

			

		

		

			
				
IpsecVPN是一种虚拟专用网络技术,用于在公共网络上建立私人网络连接。它可以在两个或多个网络之间创建一个安全的连接,使得用户可以像在同一网络中一样安全地访问数据和资源。这项技术广泛应用于企业网络中,使得远程工作的员工可以安全地连接到公司内部网络,访问公司资源,而不必担心数据泄露的风险。

			
		

	





	

		

			

				
					
IPSEC VPN

				
			

			

				

					2203_76138235的博客
				

				

					07-25
					
					1175
					
				

			

		

		

			
				
IPSec VPN是基于IPSec 协议处理的VPN技术,属于三层VPN,不支持组播,不支持路由协议。用于保障设备间连接的协议。IPsec有助于保持通过公共网络发送的数据安全。它通常用于建立VPN,其工作原理是对IP数据包进行加密,同时验证数据包的来源。IPSec提供的安全服务访问控制在IPSEC中可以抓取感兴趣流,即可以设定哪些流量需要进入到ipsec通道中,进行保密传输,哪些不需要进入通道机密性(Confidentiality):数据加密。不可否认性(Non-repudiation):数字签名。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值