IPSec VPN安全网关有哪些应用价值?
就是支持IPSec交换机.IPSec是一种加密机制 下面是网上的介绍 IPSec协议是一个应用广泛,开放的VPN安全协议,目前已经成为最流行的VPN解决方案。IPSec包括AH和ESP。AH验证头,提供数据源身份认证、数据完整性保护、重放攻击保护功能;ESP安全负载封装,提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能。NetEye VPN在利用IPSec自身优点的同时,对于其核心和附加功能进行了专业优化和重组。另外,在IPSec框架当中还有一个必不可少的要素: Internet安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley),它提供自动建立安全关联和管理密钥的功能。 ● 利用AH、ESP,NetEyeVPN可以做到对于C.I.A的满足。 ● 对于认证过程,NetEye VPN采用了基于PKI的公钥认证体系,遵循X.509标准。并且提供单独的密钥管理中心,用以进行密钥的生成、分发、更新和吊销等一系列管理。所有网关间的数据传输,根据国家有关法令规定,全部采用硬件加密和专有加密算法(NetEye VPN身份认证过程如下图所示)。 IPSec有两种工作模式——传输模式和通道模式。这两种模式最根本的区别在于,是否尽心做IPIP封装。NetEye防火墙工作于通道模式,其特点就是生成新的IP头,替换了原有的IP包头,这样就可以对于原始地址进行隐藏。原来的IPSec标准是不支持NAT的,可以看到,一旦经过NAT,由于IP包头数据被修改,就等于数据完整性遭受破坏,那么AH或ESP的校验就会失败。NetEye VPN采用了最新的标准,利用附加UDP头的方式成功解决了NAT穿越问题。 参考:
IPSec 是什么?
IPv4缺乏对通信双方真实身份的验证能力,缺乏对网上传输的数据的完整性和机密性保护,并且由于IP地址可软件配置等灵活性以及基于源IP地址的认证机制,使得IP层存在着网络业务流易被监听和捕获、IP地址欺骗、信息泄露和数据项被篡改等攻击,而IP是很难抵抗这些攻击的。为了实现安全IP,Internet工程任务组IETF于1994年开始了一项IP安全工程,专门成立了IP安全协议工作组IPSEC,来制定和推动一套称为IPSec(IP Security)的IP安全协议标准。其目标就是把安全特征集成到IP层,以便对Internet的安全业务提供低层的支持。IETF于1995年8月公布了一系列关于IPSec的RFC建议标准。
完整的IPsec核心文档集处在提议标准阶段。包括:
隧道
隧道就是把一个包封装在另一个新包里面,整个源数据包作为新包的载荷部分,并在前面添加一个新的IP头。这个外部头的目的地址通常是IPSec防火墙、安全网关或路由器。通过隧道技术可以对外隐藏内部数据和网络细节。对IPSec而言,IP隧道的直接目标就是对整个IP数据包提供完全的保护。IP隧道如图所示。
此外,还有一个需要说明的概念就是“变换”。在IPSec中,一个变换是指一种安全机制的特定实现,如ESP的DES-CBC实现称为“DES-CBC ESP变换”。
IP协议本身缺乏安全性,仅用IP头中的校验和域来保证IP数据报的完整性。设计认证头(AH)协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据起源认证和抗重放保护服务。然而,AH不提供任何机密性服务,它不加密所保护的数据包。AH的作用是为IP数据流提供高强度的密码认证,以确保被修改过的数据包可以被检查出来。AH使用消息认证码(MAC)对IP进行认证,最常用的MAC是HMAC。因为生成IP数据报的消息摘要需要密钥,所以IPSec的通信双方需要有共享密钥。对于MAC不了的解可以看MAC原理
认证头格式
AH由5个固定长度域和1个变长的认证数据域组成。下图说明了这些域在一个AH中的相对位置。
下面是这些域的说明:
下一个头(Next Header):这个8比特的域指出AH后的下一个载荷的类型。例如,如果AH后面是一个ESP载荷,这个域将包含值50。如果在我们所说的AH后面是另一个AH,那这个域将包含值51。RFC1700中包含了已分配的IP协议值信息。
载荷长度(Payload length):这个8比特的域包含以32比特为单位的AH的长度减2。为什么要减2呢?AH实际上是一个IPv6扩展头,IPv6规范RFC1883中规定计算扩展头长度时应首先从头长度中减去一个64比特的字。由于载荷长度用32比特度量,两个32比特字也就相当于一个64比特字,因此要从总认证头长度中减去2。
保留(Reserved):这个16比特的域被保留供将来使用。AH规范RFC2402中规定这个域被置为0。
安全参数索引(SPI):SPI是一个32比特的整数,用于和源地址或目的地址以及IPSec协议(AH或ESP)共同唯一标识一个数据报所属的数据流的安全关联(SA)。SA是通信双方达成的一个协定,它规定了采用的IPSec协议、协议操作模式、密码算法、密钥以及用来保护它们之间通信的密钥的生存期。关于SPI域的整数值,1到255被IANA(Internet Assigned Number Authority)留作将来使用;0被保留用于本地和具体实现使用。所以说目前有效的SPI值是从256到232-1。
序列号(Sequence number):这个域包含有一个作为单调增加的计数器的32位无符号整数。当SA建立时,发送者和接收者的序列号值被初始化为0。通信双方每使用一个特定的SA发出1个数据报就将它们的相应的序列号加1。序列号用来防止对数据包的重放,重放指的是数据报被攻击者截取并重新传送。AH规范强制发送者总要发送序列号到接收者;而接收者可以选择不使用抗重放特性,这时它不理会进入的数据流中数据报的序列号。如果接收端主机启用抗重放功能,它使用滑动接收窗口机制检测重放包。具体的滑动窗口因不同的IPSec实现而不同;然而一般来说滑动窗口具有以下功能。窗口长度最小为32比特。窗口的右边界代表一特定SA所接收到的验证有效的最大序列号。序列号小于窗口左边界的包将被丢弃。将序列号值位于窗口之内的数据包将被与位于窗口内的接收到的数据包相比较。如果接收到的数据包的序列号位于窗口内并且数据包是新的,或者它的序列号大于窗口右边界且小于232,那么接收主机继续处理计算认证数据。对于一个特定的SA,它的序列号不能循环;所以在一个特定的SA传输的数据包的数目达到232之前,必须协商一个新的SA以及新的密钥。
认证数据:这个变长域包含数据报的认证数据,该认证数据被称为完整性校验值(ICV)。对于IPv4数据报,这个域的长度必须是32的整数倍;对于IPv6数据报,这个域的长度必须是64的整数倍。用来生成ICV的算法由SA指定。用来计算ICV的可用的算法因IPSec的实现的不同而不同;然而为了保证互操作性,AH强制所有的IPSec实现必须包含两个MAC:HMAC-MD5和HMAC-SHA-1。如果一个IPv4数据报的ICV域的长度不是32的整数倍,或一个IPv6数据报的ICV域的长度不是64的整数倍,必须添加填充比特使ICV域的长度达到所需要的长度。
IPSec 是什么服务?
IPv4缺乏对通信双方真实身份的验证能力,缺乏对网上传输的数据的完整性和机密性保护,并且由于IP地址可软件配置等灵活性以及基于源IP地址的认证机制,使得IP层存在着网络业务流易被监听和捕获、IP地址欺骗、信息泄露和数据项被篡改等攻击,而IP是很难抵抗这些攻击的。为了实现安全IP,Internet工程任务组IETF于1994年开始了一项IP安全工程,专门成立了IP安全协议工作组IPSEC,来制定和推动一套称为IPSec(IP Security)的IP安全协议标准。其目标就是把安全特征集成到IP层,以便对Internet的安全业务提供低层的支持。IETF于1995年8月公布了一系列关于IPSec的RFC建议标准。
完整的IPsec核心文档集处在提议标准阶段。包括:
隧道
隧道就是把一个包封装在另一个新包里面,整个源数据包作为新包的载荷部分,并在前面添加一个新的IP头。这个外部头的目的地址通常是IPSec防火墙、安全网关或路由器。通过隧道技术可以对外隐藏内部数据和网络细节。对IPSec而言,IP隧道的直接目标就是对整个IP数据包提供完全的保护。IP隧道如图所示。
此外,还有一个需要说明的概念就是“变换”。在IPSec中,一个变换是指一种安全机制的特定实现,如ESP的DES-CBC实现称为“DES-CBC ESP变换”。
IP协议本身缺乏安全性,仅用IP头中的校验和域来保证IP数据报的完整性。设计认证头(AH)协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据起源认证和抗重放保护服务。然而,AH不提供任何机密性服务,它不加密所保护的数据包。AH的作用是为IP数据流提供高强度的密码认证,以确保被修改过的数据包可以被检查出来。AH使用消息认证码(MAC)对IP进行认证,最常用的MAC是HMAC。因为生成IP数据报的消息摘要需要密钥,所以IPSec的通信双方需要有共享密钥。对于MAC不了的解可以看MAC原理
认证头格式
AH由5个固定长度域和1个变长的认证数据域组成。下图说明了这些域在一个AH中的相对位置。
下面是这些域的说明:
下一个头(Next Header):这个8比特的域指出AH后的下一个载荷的类型。例如,如果AH后面是一个ESP载荷,这个域将包含值50。如果在我们所说的AH后面是另一个AH,那这个域将包含值51。RFC1700中包含了已分配的IP协议值信息。
载荷长度(Payload length):这个8比特的域包含以32比特为单位的AH的长度减2。为什么要减2呢?AH实际上是一个IPv6扩展头,IPv6规范RFC1883中规定计算扩展头长度时应首先从头长度中减去一个64比特的字。由于载荷长度用32比特度量,两个32比特字也就相当于一个64比特字,因此要从总认证头长度中减去2。
保留(Reserved):这个16比特的域被保留供将来使用。AH规范RFC2402中规定这个域被置为0。
安全参数索引(SPI):SPI是一个32比特的整数,用于和源地址或目的地址以及IPSec协议(AH或ESP)共同唯一标识一个数据报所属的数据流的安全关联(SA)。SA是通信双方达成的一个协定,它规定了采用的IPSec协议、协议操作模式、密码算法、密钥以及用来保护它们之间通信的密钥的生存期。关于SPI域的整数值,1到255被IANA(Internet Assigned Number Authority)留作将来使用;0被保留用于本地和具体实现使用。所以说目前有效的SPI值是从256到232-1。
序列号(Sequence number):这个域包含有一个作为单调增加的计数器的32位无符号整数。当SA建立时,发送者和接收者的序列号值被初始化为0。通信双方每使用一个特定的SA发出1个数据报就将它们的相应的序列号加1。序列号用来防止对数据包的重放,重放指的是数据报被攻击者截取并重新传送。AH规范强制发送者总要发送序列号到接收者;而接收者可以选择不使用抗重放特性,这时它不理会进入的数据流中数据报的序列号。如果接收端主机启用抗重放功能,它使用滑动接收窗口机制检测重放包。具体的滑动窗口因不同的IPSec实现而不同;然而一般来说滑动窗口具有以下功能。窗口长度最小为32比特。窗口的右边界代表一特定SA所接收到的验证有效的最大序列号。序列号小于窗口左边界的包将被丢弃。将序列号值位于窗口之内的数据包将被与位于窗口内的接收到的数据包相比较。如果接收到的数据包的序列号位于窗口内并且数据包是新的,或者它的序列号大于窗口右边界且小于232,那么接收主机继续处理计算认证数据。对于一个特定的SA,它的序列号不能循环;所以在一个特定的SA传输的数据包的数目达到232之前,必须协商一个新的SA以及新的密钥。
认证数据:这个变长域包含数据报的认证数据,该认证数据被称为完整性校验值(ICV)。对于IPv4数据报,这个域的长度必须是32的整数倍;对于IPv6数据报,这个域的长度必须是64的整数倍。用来生成ICV的算法由SA指定。用来计算ICV的可用的算法因IPSec的实现的不同而不同;然而为了保证互操作性,AH强制所有的IPSec实现必须包含两个MAC:HMAC-MD5和HMAC-SHA-1。如果一个IPv4数据报的ICV域的长度不是32的整数倍,或一个IPv6数据报的ICV域的长度不是64的整数倍,必须添加填充比特使ICV域的长度达到所需要的长度。
什么是IPSEC的DPD功能?
IPSEC使用DPD(deadpeerdetection)功能来检测对端peer是否存活,类似到其它协议中的hello或keepalive机制,目前我司DPD支持两种机制。
1.on-demand机制,该机制在隧道闲置时间超过指定配置的时间,且此时有报文发送,才会刺激发送DPD探测消息。
2.periodic机制,该机制是在超过配置的时间后就会主动发送DPD探测消息。最大重传次数5次。
on-deman机制配置:Ruijie(config)#cryisakmpkeepalive10//配置隧道闲置时间为10秒,采用on-demand机制。
periodic机制配置:cryisakmpkeepalive10periodic//配置隧道闲置时间为10秒,采用periodic机制。
IPSec VPN安全网关功能特点有哪些?
渔翁信息IPSec VPN安全网关具有以下功能特点:
1.部署方式:支持网关模式、单臂模式,部署灵活;支持双机热备。
2.VPN功能:渔翁IPSec VPN安全网关严格遵循国家密码管理局最新颁布的《IPSec VPN技术规范》;支持 ESP/AH/IKE/NATT等标准 IPSEC 协议;支持隧道模式;支持高效数据流压缩算法;支持隧道的 NAT 穿越;支持隧道的自动恢复;支持路由功能;支持具有相同内网地址的分支机构都能同时接入到总部,确保组织网络结构的完整性。
3.联网方式:支持ADSL拨号联网;支持固定IP联网。
4.数据加密:支持国家密码管理局指定的SM1、SM2、SM3、SM4国密算法;支持国际标准的RSA、AES、3DES等密码算法;支持外接硬件加密卡的方式,完成数据的加、解密运算。
5.攻击防御:能够防御dos、Synflood、Icmpflood、碎片等多种攻击。
6.防火墙:支持包过滤防火墙和字符串过滤,保障机构网络安全。
7.安全管理:支持友好的WEB 图形配置;支持命令行配置;支持本地配置、远程配置;支持数字证书结合智能密码钥匙实现管理员身份鉴别;支持对网口、用户在线状态、连接数、路由表等信息的实时监控。
8.日志审计:详细记录系统日志,告警日志,用户日志等,且支持日志查询、下载等。
什么是IPSEC
IPsec:IP层协议安全结构
(IPsec:Security Architecture for IP network)
IPsec 在 IP 层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。 IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。
IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。因为这些服务均在 IP 层提供,所以任何高层协议均能使用它们,例如 TCP 、 UDP 、ICMP 、 BGP 等等。
这些目标是通过使用两大传输安全协议,头部认证(AH) 和封装安全负载 (ESP),以及密钥管理程序和协议的使用来完成的。所需的 IPsec 协议集内容及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。
当正确的实现、使用这些机制时,它们不应该对不使用这些安全机制保护传输的用户、主机和其他英特网部分产生负面的影响。这些机制也被设计成算法独立的。这种模块性允许选择不同的算法集而不影响其他部分的实现。例如:如果需要,不同的用户通讯可以采用不同的算法集。
定义一个标准的默认算法集可以使得全球因英特网更容易协同工作。这些算法辅以 IPsec 传输保护和密钥管理协议的使用为系统和应用开发者部署高质量的因特网层的加密的安全技术提供了途径。
感谢您的来访,获取更多精彩文章请收藏本站。
![表情[woshou]-国际网络专线](https://urenkz.com/wp-content/themes/zibll/img/smilies/woshou.gif)
![表情[yangtuo]-国际网络专线](https://urenkz.com/wp-content/themes/zibll/img/smilies/yangtuo.gif)
![表情[xiaoyanger]-国际网络专线](https://urenkz.com/wp-content/themes/zibll/img/smilies/xiaoyanger.gif)
暂无评论内容