个人笔记,如有错误望各位大佬不吝指教!
2019年12月17日 星期二 CQCET
三层隧道协议(网络层安全协议)
Ipsec
Ipsec用于私有信息通过gong网提供加密
Ipsec最开始是为ipv6服务的,后来怎加了对ipv4的兼容,它通过加密,数据校验,身份认证来实现安全通信。
Ipsec是开放性协议,包括网络安全协议,密钥协商协议两部分:
认证协议头(AH),安全载荷封装(ESP)
(1)AH(AuthenticationHeader) 协议。
它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。
在 IPv6 中协议采用 AH 后, 因为在主机端设置了一个基于算法独立交换的秘密钥匙, 非法潜入的现象可得到有效防止, 秘密钥匙由客户和服务商共同设置。在传送每个数据包时,IPv6 认证根据这个秘密钥匙和数据包产生一个检验项。在数据接收端重新运行该检验项并进行比较,从而保证了对数据包来源的确认以及数据包不被非法修改。
(2)ESP(EncapsulatedSecurityPayload) 协议。
它提供 IP层加密保证和验证数据源以对付网络上的监听。因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全, 在IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改。
传输模式:
ESP传输模式的封装格式
Ip有效载荷–ESP报尾(加密部分)
ESP报头–ESP报尾(校验)
传输模式主要用于端到端的连接。
隧道模式:
原ip地址–ESP报尾(加密信息)
ESP报头–ESP报尾(校验)
ESP主要用的DES和3DES加密,应为需要加密,所以性能不如AH。
加密流程:
- ipsec的一端收到另一端的ipsec数据流后产生一个IKE会话。
- ipsec两端使用协商,交换密钥,建立安全通道。
- 交换ipsec SA
- 完成建立,传输数据采用ESP封装。
Ipsec搭建(winserver03)
Ps:ipsec需要在通讯两端均搭建。
1.打开本地安全策略组。
新建一个ip策略
使用密钥
添加ip筛选器
选择隧道或不指定,我们这里不指定
添加筛选器向导
选择与我另一端通信的ip地址
完成筛选器列表
选择我们刚刚添加的筛选器列表,下一步。
然后添加一个筛选器操作
完成筛选器操作后选中,下一步。
输入预共享密钥
最后指派
完成ipsec的搭建
————————————————————————————————————————2018年10月19日