網絡運維| VPN之IPSec的介紹

2020-07-07 21:56 作者：admin

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容。今天和大家聊一聊防火墻的NAT應用場景，簡單網絡安全運維，從防火墻學起,一步一步學成網絡安全運維大神。
網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維修信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息
作為一個網絡運維人員，了解VPN及使用是必備的技能，然而IPSec又是VPN中的一種，這篇文章就是關于IPSec方面的一些內容。
起源
隨著Internet的發展，越來越多的企業直接通過Internet進行互聯，但由于IP協議未考慮安全性，而且Internet上有大量的不可靠用戶和網絡設備，所以用戶業務數據要穿越這些未知網絡，根本無法保證數據的安全性，數據易被偽造、篡改或竊取。因此，迫切需要一種兼容IP協議的通用的網絡安全方案。
為了解決上述問題，IPSec（Internet Protocol Security）應運而生。IPSec是對IP的安全性補充，其工作在IP層，為IP網絡通信提供透明的安全服務。
定義
IPSec是IETF（Internet Engineering Task Force）制定的一組開放的網絡安全協議。它并不是一個單獨的協議，而是一系列為IP網絡提供安全性的協議和服務的集合，包括認證頭AH（Authentication Header）和封裝安全載荷ESP（Encapsulating Security Payload）兩個安全協議、密鑰交換和用于驗證及加密的一些算法等。
通過這些協議，在兩個設備之間建立一條IPSec隧道。數據通過IPSec隧道進行轉發，實現保護數據的安全性。
受益
IPSec通過加密與驗證等方式，從以下幾個方面保障了用戶業務數據在Internet中的安全傳輸：
· 數據來源驗證：接收方驗證發送方身份是否合法。
· 數據加密：發送方對數據進行加密，以密文的形式在Internet上傳送，接收方對接收的加密數據進行解密后處理或直接轉發。
· 數據完整性：接收方對接收的數據進行驗證，以判定報文是否被篡改。
· 抗重放：接收方拒絕舊的或重復的數據包，防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊。
IPSec應用場景
業務描述
穩定可靠的路由是網絡通信的基礎。OSPFv3協議是一種應用廣泛的路由協議，因此對于OSPFv3路由協議的安全保護是非常重要的。但OSPFv3協議本身沒有定義任何認證機制，這樣OSPFv3協議報文在網絡中進行傳輸的時候很容易被攔截、修改或者仿冒，從而破壞OSPFv3的鄰接關系，造成網絡中斷。
為了實現對OSPFv3協議報文的認證，RFC定義了IPSec機制對OSPFv3協議報文進行認證的方法。通過在攜帶OSPFv3協議報文的IPv6報文中插入AH頭部或者ESP頭部，為OSPFv3協議報文提供了數據源認證和數據完整性檢驗功能，從而有效的預防因OSPFv3協議報文被修改或仿冒而造成鄰接關系斷開和網絡中斷。
組網描述
如圖2-15所示，SwitchA和SwitchB之間運行OSPFv3協議，透過一段公共網絡為主機A和主機B提供一條可達路由。為了防止SwitchA和SwitchB之間的路由受到網絡中攻擊者的窺探和仿冒，可以采用IPSec對SwitchA和SwitchB之間的OSPFv3路由協議報文進行數據源認證和數據完整性檢驗。
圖2-15 IPSec在OSPFv3網絡中的應用組網圖 

部署特性
IPSec安全功能可以部署在OSPFv3進程、區域或者接口上。
OSPFv3支持在每條鏈路上配置多個不同的實例，不同的實例通過OSPFv3報文頭的實例標識（instance-id）字段來區分。但是IPSec協議報文頭中不支持這個字段，因此，同一接口下的所有OSPFv3實例都使用相同的安全聯盟。
如圖2-15所示，在設備的所有接口都部署IPSec認證功能，這樣就可以保證只有通過IPSec認證的設備才能建立鄰居關系。對于認證失敗的報文或者IPSec兩端認證方式不匹配的報文都會被丟棄。
通過Efficient VPN實現多分支安全接入
如圖2-16所示，大量的分支機構接入總部時，用戶通過網管系統（NMS）管理交換機，現用戶希望NMS與分支之間的通信進行安全保護。
此時，用戶可以部署Efficient VPN。其不僅實現了網絡安全部署，而且將復雜配置集中在總部網關上、各個分支網關的配置盡量簡單的方法，將管理員從IPSec VPN復雜的配置和維護中解脫出來，實現了配置的簡化，提高了可維護性。
圖2-16 Efficient VPN組網應用 

 
 
 
以上文章由北京艾銻無限科技發展有限公司整理