《IPSec实现局域网传输数据保护.ppt》由会员分享,可在线阅读,更多相关《IPSec实现局域网传输数据保护.ppt(21页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第第1313讲讲IPSec实现对局域网传输数据的保护实现对局域网传输数据的保护张群哲张群哲湖南科技职业学院湖南科技职业学院 网络教研室网络教研室1本讲主要内容本讲主要内容1.教师讲解教师讲解IPSec工作原理工作原理身份验证报头身份验证报头(AH)协议协议封装安全报体封装安全报体(ESP)协议协议因特网密钥交换因特网密钥交换(IKE)协议协议2.动手实践动手实践-配置配置IPSec启用启用IPSecIPSec中的身份验证、传输模式、加密算法中的身份验证、传输模式、加密算法配置配置IPSec成为防火墙成为防火墙21、什么是、什么是 IPSec?IPSec 优势:优势:IPSec(Internet
2、 Protocol Security)是一套工业标准,它基)是一套工业标准,它基于于 IP 数据包级别来检验、鉴别并加密数据,数据包级别来检验、鉴别并加密数据,IPSec 保障了保障了数据在网络传输中的安全性数据在网络传输中的安全性通信前和通信期间的相互验证通信前和通信期间的相互验证通过通过 IP 数据包的加密和数字签名实现了保密性数据包的加密和数字签名实现了保密性拒收被修改的数据包,以保持拒收被修改的数据包,以保持 IP 数据的完整性数据的完整性防止重播攻击防止重播攻击3安全安全IP的总体组成的总体组成IPsec总体上包括总体上包括4个组成部分:个组成部分:安全协议安全协议,安安全关联全关联
3、,密钥管理密钥管理,以及,以及身份验证算法身份验证算法与与加密加密算法算法。为了利用为了利用IPsec在在IP层提供安全服务,必须选择层提供安全服务,必须选择安全协议安全协议、选择安全协议中采用的、选择安全协议中采用的身份验证算身份验证算法法或者或者加密算法加密算法,协商身份验证算法或加密算,协商身份验证算法或加密算法采用的法采用的密钥密钥,最终建立需要进行,最终建立需要进行IPsec通信的通信的IP结点之间的结点之间的安全关联安全关联。4IPSec 工作机理工作机理 TCP LayerIPSec 驱动驱动TCP LayerIPSec 驱动驱动加密的加密的 IP 数据包数据包3安全协商过程安全
4、协商过程(ISAKMP)2IPSec 策略策略IPSec 策略策略1活动目录活动目录5安全安全IP中定义的安全协议中定义的安全协议IPsec目前只提供两种安全协议:目前只提供两种安全协议:身份验证报头身份验证报头(AH)协议和协议和封装安全报体封装安全报体(ESP)协议。协议。AH协议主要提供的协议主要提供的IP层安全服务包括:层安全服务包括:访问访问控制控制、数据传递的完整性验证数据传递的完整性验证、数据源身份验数据源身份验证和防范重播分组攻击证和防范重播分组攻击。ESP协议不仅可以提供协议不仅可以提供AH协议提供的身份验证协议提供的身份验证类安全服务,还可以提供类安全服务,还可以提供数据保
5、密传递数据保密传递和有限和有限的的数据传递信息保密数据传递信息保密等功能。等功能。62、身份验证报头、身份验证报头(AH)协议协议身份验证报头身份验证报头(Authentication Header)协议协议IPsec中定义的两个安全协议之一。中定义的两个安全协议之一。AH主要对主要对IP报文提供无连接传递的完整报文提供无连接传递的完整性验证以及对数据源的身份验证,它也性验证以及对数据源的身份验证,它也可以提供防范可以提供防范IP报文重播攻击的功能。报文重播攻击的功能。AH协议身份验证的范围协议身份验证的范围包括尽可能多的包括尽可能多的IP报头的内容,以及报头的内容,以及IP报文携带的数据。报
6、文携带的数据。7AH工作原理工作原理在每个数据包上加一个身份报头在每个数据包上加一个身份报头报头包含一个带密钥的报头包含一个带密钥的hash散列,此散散列,此散列在整个数据包中计算,因此对数据的列在整个数据包中计算,因此对数据的任何更改将使散列无效,从而提供对数任何更改将使散列无效,从而提供对数据包完整性的保护据包完整性的保护8AH协议报文格式协议报文格式AHAH协议报文包括:协议报文包括:下个报头下个报头、报体长度报体长度、预留预留、安全参数索引安全参数索引(SPI)(SPI)、顺序号顺序号和和身份验证数据身份验证数据,这这6 6个个AHAH报文必须的字段。报文必须的字段。下个报头下个报头报
7、体长度报体长度预留预留07 815 1631比特比特安全参数索引安全参数索引(SPI)顺序编号顺序编号身份验证数据身份验证数据(长度可变长度可变)图图13-1 AH协议报头格式协议报头格式93、封装安全报体、封装安全报体(ESP)协议协议封装安全报体封装安全报体(Encapsulating Security Payload)是安全是安全IP技术中定义的两个安全协议技术中定义的两个安全协议之一。之一。ESP主要用于对主要用于对IP报文提供报文提供保密传递保密传递、无连接无连接传递的完整性验证传递的完整性验证以及以及对数据源的身份验证对数据源的身份验证。ESP也可以提供防范也可以提供防范IP报文重
8、播攻击的功能,报文重播攻击的功能,以及有限度的通信流保密性。以及有限度的通信流保密性。ESP主要提供对主要提供对IP报文加密传输的功能报文加密传输的功能,它是,它是专门为专门为对称密钥加密算法设计对称密钥加密算法设计的安全协议。的安全协议。10ESP工作原理工作原理对数据包的全部数据和加载内容进行全对数据包的全部数据和加载内容进行全加密加密保证传输信息的机密性(不惧抓包)保证传输信息的机密性(不惧抓包)也能够提供认证和维持数据的完整性也能够提供认证和维持数据的完整性11ESP协议报文格式协议报文格式ESP报文包括报文包括安全参数索引安全参数索引(SPI)、顺序编号顺序编号、报体数据报体数据、填
9、充数据填充数据、填充数据长度、填充数据长度、下个报下个报头头、以及、以及身份验证数据身份验证数据。下个报体下个报体预留预留安全参数索引安全参数索引(SPI)07 815 1631比特比特图图13-2 ESP13-2 ESP报文格式报文格式23 24顺序编号顺序编号身份验证数据身份验证数据(可变长度可变长度)填充数据长度填充数据长度报体数据报体数据(可变长度可变长度)填充数据填充数据(0 255字节字节)12什么是什么是 IPSec 安全策略安全策略?IPSec 使用规则和策略保护网络安全使用规则和策略保护网络安全规则的组件:规则的组件:过滤器过滤器过滤行为过滤行为验证方法验证方法默认策略包括默
10、认策略包括:客户端(仅响应):对方要求时才应用客户端(仅响应):对方要求时才应用IPSec安全策安全策略,否则采用正常通信略,否则采用正常通信服务器(请求安全):首先请求对方进行安全通信,服务器(请求安全):首先请求对方进行安全通信,若对方不支持,也可通信若对方不支持,也可通信安全服务器(需要安全):对方必须采用安全服务器(需要安全):对方必须采用IPSec安全安全策略,否则不能与本机通信策略,否则不能与本机通信13配置配置IPsec14IPSec 策略间是如何工作的策略间是如何工作的No policy assigned 客户端客户端(仅响应仅响应)服务器服务器(请求安全请求安全)安全服务器安
11、全服务器(需要安全需要安全)No policy assigned No IPSecNo IPSecNo IPSec没有通信没有通信客户端客户端(仅响应仅响应)No IPSecNo IPSecIPSecIPSec服务器服务器(请求安全请求安全)No IPSecIPSecIPSecIPSec安全服务器安全服务器(需要安全需要安全)没有通信没有通信IPSecIPSecIPSec15IPSec中的身份验证中的身份验证16IPSec中的传输模式中的传输模式默认:传送模式,主要用默认:传送模式,主要用于局域网于局域网可选:隧道模式,主要用可选:隧道模式,主要用于广域网,于广域网,多用于多用于VPN(虚拟专
12、用通道)中,在(虚拟专用通道)中,在两台广域网主机之间建立两台广域网主机之间建立一个专用的一个专用的IPSec通道用于通道用于数据传输。如数据传输。如通信通信17IPSec中的加密算法中的加密算法因特网密钥交换因特网密钥交换(IKE)协议是一种混合协议,它在保护模式协议是一种混合协议,它在保护模式下协商和提供安全关联所需要的经过身份验证的密钥资料下协商和提供安全关联所需要的经过身份验证的密钥资料。完整性算法:身份验证加密算法,完整性算法:身份验证加密算法,SHA:安全散列算法,默认,强大:安全散列算法,默认,强大,消耗高,消耗高MD5:信息摘要算法,商业领域,强大,消耗低:信息摘要算法,商业领
13、域,强大,消耗低加密算法:数据包加密算法加密算法:数据包加密算法DES3DES18排除网络协议安全性中的故障排除网络协议安全性中的故障 停止计算机上的停止计算机上的IPSec服务,用服务,用ping命令检验它们之间的通信,命令检验它们之间的通信,排除网络故障排除网络故障Err or利用利用IPSec监视器确认在计算机之间已经建立了安全性关联,以监视器确认在计算机之间已经建立了安全性关联,以确保确保IPSec策略是有效的策略是有效的Err or利用利用“IP安全性策略管理安全性策略管理”确保已经将策略指派给两个确保已经将策略指派给两个计算机计算机利用利用“IP安全性策略管理安全性策略管理”在两个计算机上复查策略,并在两个计算机上复查策略,并确保策略间彼此兼容确保策略间彼此兼容重新启动重新启动“安全性监视器安全性监视器”,以确保你进行的所有修改,以确保你进行的所有修改都已经起作用都已经起作用 Err orErr orErr or19动手实践动手实践IPSec配置和管理配置和管理20课时小结课时小结IPSec工作原理工作原理身份验证报头身份验证报头(AH)协议协议封装安全报体封装安全报体(ESP)协议协议因特网密钥交换因特网密钥交换(IKE)协议协议21