網(wǎng)絡(luò)運維| VPN之IPSec的介紹

2020-07-07 21:56 作者：admin

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護相關(guān)的內(nèi)容。今天和大家聊一聊防火墻的NAT應(yīng)用場景，簡單網(wǎng)絡(luò)安全運維，從防火墻學起,一步一步學成網(wǎng)絡(luò)安全運維大神。
網(wǎng)絡(luò)維護是一種日常維護，包括網(wǎng)絡(luò)設(shè)備管理(如計算機，服務(wù)器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時您可以免費資訊北京網(wǎng)絡(luò)維護，北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護信息
作為一個網(wǎng)絡(luò)運維人員，了解VPN及使用是必備的技能，然而IPSec又是VPN中的一種，這篇文章就是關(guān)于IPSec方面的一些內(nèi)容。
起源
隨著Internet的發(fā)展，越來越多的企業(yè)直接通過Internet進行互聯(lián)，但由于IP協(xié)議未考慮安全性，而且Internet上有大量的不可靠用戶和網(wǎng)絡(luò)設(shè)備，所以用戶業(yè)務(wù)數(shù)據(jù)要穿越這些未知網(wǎng)絡(luò)，根本無法保證數(shù)據(jù)的安全性，數(shù)據(jù)易被偽造、篡改或竊取。因此，迫切需要一種兼容IP協(xié)議的通用的網(wǎng)絡(luò)安全方案。
為了解決上述問題，IPSec（Internet Protocol Security）應(yīng)運而生。IPSec是對IP的安全性補充，其工作在IP層，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)。
定義
IPSec是IETF（Internet Engineering Task Force）制定的一組開放的網(wǎng)絡(luò)安全協(xié)議。它并不是一個單獨的協(xié)議，而是一系列為IP網(wǎng)絡(luò)提供安全性的協(xié)議和服務(wù)的集合，包括認證頭AH（Authentication Header）和封裝安全載荷ESP（Encapsulating Security Payload）兩個安全協(xié)議、密鑰交換和用于驗證及加密的一些算法等。
通過這些協(xié)議，在兩個設(shè)備之間建立一條IPSec隧道。數(shù)據(jù)通過IPSec隧道進行轉(zhuǎn)發(fā)，實現(xiàn)保護數(shù)據(jù)的安全性。
受益
IPSec通過加密與驗證等方式，從以下幾個方面保障了用戶業(yè)務(wù)數(shù)據(jù)在Internet中的安全傳輸：
· 數(shù)據(jù)來源驗證：接收方驗證發(fā)送方身份是否合法。
· 數(shù)據(jù)加密：發(fā)送方對數(shù)據(jù)進行加密，以密文的形式在Internet上傳送，接收方對接收的加密數(shù)據(jù)進行解密后處理或直接轉(zhuǎn)發(fā)。
· 數(shù)據(jù)完整性：接收方對接收的數(shù)據(jù)進行驗證，以判定報文是否被篡改。
· 抗重放：接收方拒絕舊的或重復(fù)的數(shù)據(jù)包，防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進行的攻擊。
IPSec應(yīng)用場景
業(yè)務(wù)描述
穩(wěn)定可靠的路由是網(wǎng)絡(luò)通信的基礎(chǔ)。OSPFv3協(xié)議是一種應(yīng)用廣泛的路由協(xié)議，因此對于OSPFv3路由協(xié)議的安全保護是非常重要的。但OSPFv3協(xié)議本身沒有定義任何認證機制，這樣OSPFv3協(xié)議報文在網(wǎng)絡(luò)中進行傳輸?shù)臅r候很容易被攔截、修改或者仿冒，從而破壞OSPFv3的鄰接關(guān)系，造成網(wǎng)絡(luò)中斷。
為了實現(xiàn)對OSPFv3協(xié)議報文的認證，RFC定義了IPSec機制對OSPFv3協(xié)議報文進行認證的方法。通過在攜帶OSPFv3協(xié)議報文的IPv6報文中插入AH頭部或者ESP頭部，為OSPFv3協(xié)議報文提供了數(shù)據(jù)源認證和數(shù)據(jù)完整性檢驗功能，從而有效的預(yù)防因OSPFv3協(xié)議報文被修改或仿冒而造成鄰接關(guān)系斷開和網(wǎng)絡(luò)中斷。
組網(wǎng)描述
如圖2-15所示，SwitchA和SwitchB之間運行OSPFv3協(xié)議，透過一段公共網(wǎng)絡(luò)為主機A和主機B提供一條可達路由。為了防止SwitchA和SwitchB之間的路由受到網(wǎng)絡(luò)中攻擊者的窺探和仿冒，可以采用IPSec對SwitchA和SwitchB之間的OSPFv3路由協(xié)議報文進行數(shù)據(jù)源認證和數(shù)據(jù)完整性檢驗。
圖2-15 IPSec在OSPFv3網(wǎng)絡(luò)中的應(yīng)用組網(wǎng)圖 

部署特性
IPSec安全功能可以部署在OSPFv3進程、區(qū)域或者接口上。
OSPFv3支持在每條鏈路上配置多個不同的實例，不同的實例通過OSPFv3報文頭的實例標識（instance-id）字段來區(qū)分。但是IPSec協(xié)議報文頭中不支持這個字段，因此，同一接口下的所有OSPFv3實例都使用相同的安全聯(lián)盟。
如圖2-15所示，在設(shè)備的所有接口都部署IPSec認證功能，這樣就可以保證只有通過IPSec認證的設(shè)備才能建立鄰居關(guān)系。對于認證失敗的報文或者IPSec兩端認證方式不匹配的報文都會被丟棄。
通過Efficient VPN實現(xiàn)多分支安全接入
如圖2-16所示，大量的分支機構(gòu)接入總部時，用戶通過網(wǎng)管系統(tǒng)（NMS）管理交換機，現(xiàn)用戶希望NMS與分支之間的通信進行安全保護。
此時，用戶可以部署Efficient VPN。其不僅實現(xiàn)了網(wǎng)絡(luò)安全部署，而且將復(fù)雜配置集中在總部網(wǎng)關(guān)上、各個分支網(wǎng)關(guān)的配置盡量簡單的方法，將管理員從IPSec VPN復(fù)雜的配置和維護中解脫出來，實現(xiàn)了配置的簡化，提高了可維護性。
圖2-16 Efficient VPN組網(wǎng)應(yīng)用 

 
 
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理