1.IPSEC简介

   IPSec 是包括安全协议(Security Protocol)和密钥交换协议(IKE),由IETF(Internet Engineering TaskForce,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务的一系列网络安全协议的总称,其中安全协议又包括AH(头验证协议)和ESP(安全封装载荷);而IKE是一种基于ISAKMPInternet Security Association and Key Management Protocol,互联网安全关联和密钥管理协议)中TCP/IP框架,合并了Oakley(密钥交换协议)的一部分和SKEME(密钥技术协议)的混合协议。

2.IPSEC的安全特性

(1)不可否认性

(2)抗重播性(Anti-Replay): IPsec接收方可根据数据包数据段前加入的32位序列号来检测每个IP包的唯一性并拒绝接收过时或重复的报文,以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。

(3)数据完整性(Data Integrity): IPsec接收方利用md5,sha-1等哈希算法对发送方发送来的包进行认证,防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。  

(4)数据可靠性(Confidentiality):IPsec发送方在通过des,3des,aes等对称加密算法在网络传输包前对包进行加密,保证在传输过程中,即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。

(5)数据来源认证(Data Authentication):IPsec在接收端通过pre-shared key(共享密钥),证书,kerberos v5等可以认证发送IPsec报文的发送端是否合法。

3.IPSEC的工作模式

 (1)隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在网络与网络之间。产生新的ip头部。

 (2)传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在局域网内部,主机之间,并不产生新的ip头部。

4.IPSEC安全机制中两种协议的比较

  IPSec 基于端对端的安全模式,在源 IP 和目标 IP 地址之间建立信任和安全性,主要由两种安全协议来实现:

   AH协议(IP协议号为51)提供数据源认证、数据完整性校验和抗重播功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护AH不支持NAT转换,也不能防止被窃听,适合用于传输非机密数据

  ESP协议(IP协议号为50)提供加密、数据源认证、数据完整性校验和抗重播功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。

下图更好的解释了AH和ESP在IPSEC两种工作模式下对数据包的加密与认证

案例1 h3c实现ipsec vpn主模式

    路由器、防火墙实现ipsec手动协商,isakmp动态协商案例配置

案例2 h3c实现ipsec野蛮模式

    ipsec 野蛮模式

 案例3 juniper实现ipsec的主模式

 案例4 juniper实现ipsec的野蛮模式

    因字数过多,见附件……   望见谅