網(wǎng)絡(luò)運(yùn)維|防火墻的IPSec VPN

2020-06-09 16:48 作者：艾銻無(wú)限 瀏覽量：

網(wǎng)絡(luò)運(yùn)維|防火墻的IPSec VPN
大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹下防火墻的IPSecVPN， 網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

IPSec

通過(guò)手工協(xié)商方式或IKE（即ISAKMP, Internet Security Association and Key Management Protocol）協(xié)商方式可建立IPSec（Internet Protocol Security）安全聯(lián)盟，對(duì)傳輸數(shù)據(jù)進(jìn)行加密保護(hù)。

IPSec簡(jiǎn)介

介紹IPSec安全聯(lián)盟、典型場(chǎng)景以及IKE的基本概念等。

IPSec安全聯(lián)盟

IPSec安全聯(lián)盟是要建立IPSec隧道的通信雙方對(duì)隧道參數(shù)的約定，包括隧道兩端的IP地址，隧道采用的驗(yàn)證方式、驗(yàn)證算法、驗(yàn)證密鑰、加密算法、加密密鑰、共享密鑰以及生存周期等一系列參數(shù)。

安全聯(lián)盟概述

進(jìn)行IPSec通信的端點(diǎn)稱為IPSec對(duì)等體。
為了建立IPSec隧道，IPSec對(duì)等體間需要協(xié)商隧道參數(shù)。安全聯(lián)盟是要建立IPSec隧道的通信雙方對(duì)隧道參數(shù)的約定，包括隧道兩端的IP地址，隧道采用的驗(yàn)證方式、驗(yàn)證算法、驗(yàn)證密鑰、加密算法、加密密鑰、共享密鑰以及生存周期等一系列參數(shù)。
安全聯(lián)盟是單向（Inbound方向或outbound方向）的，在兩個(gè)對(duì)等體之間的雙向通信，最少需要兩個(gè)安全聯(lián)盟來(lái)分別對(duì)兩個(gè)方向的數(shù)據(jù)流進(jìn)行安全保護(hù)。如圖10-1所示，為了在USG_A和USG_B之間建立IPSec隧道，需要建立兩個(gè)安全聯(lián)盟，其中，安全聯(lián)盟1規(guī)定了對(duì)從USG_A發(fā)送到USG_B數(shù)據(jù)采取的保護(hù)方式，安全聯(lián)盟2規(guī)定了對(duì)從USG_B發(fā)送到USG_A數(shù)據(jù)采取的保護(hù)方式。安全聯(lián)盟1對(duì)于USG_A是Outbound方向，而對(duì)于USG_B則是Inbound方向。安全聯(lián)盟2則相反。
圖10-1  IPSec安全聯(lián)盟 

安全聯(lián)盟建立方式

在USG上，有兩種方式建立安全聯(lián)盟：

• 手工方式

手工方式建立安全聯(lián)盟的優(yōu)點(diǎn)是可以不依賴IKE而單獨(dú)實(shí)現(xiàn)IPSec功能，缺點(diǎn)是創(chuàng)建安全聯(lián)盟所需的全部信息都必須手工配置，配置比較復(fù)雜，并且不支持一些高級(jí)特性。

• IKE協(xié)商

IKE協(xié)商方式相對(duì)比較簡(jiǎn)單，只需要配置好IKE協(xié)商安全策略的信息，由IKE自動(dòng)協(xié)商來(lái)創(chuàng)建和維護(hù)安全聯(lián)盟。
當(dāng)與USG進(jìn)行通信的對(duì)等體設(shè)備數(shù)量較少時(shí)，或是在小型靜態(tài)環(huán)境中，手工方式建立安全聯(lián)盟是可行的。在中型和大型的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用IKE自動(dòng)協(xié)商方式建立安全聯(lián)盟。

IPSec典型應(yīng)用

IPSec比較典型的應(yīng)用是在公司總部和分公司之間的通信中。
IPSec為處于不同物理地域的企業(yè)和用戶提供了建立安全通信隧道的方式，防止數(shù)據(jù)在網(wǎng)絡(luò)內(nèi)或通過(guò)公網(wǎng)傳輸時(shí)被非法查看或篡改。
當(dāng)分布于不同地域的企業(yè)或個(gè)人通過(guò)Internet進(jìn)行通信時(shí)，由于處于不同的物理地域，它們之間進(jìn)行通信的絕大部分流量都需要穿越Internet上的未知網(wǎng)絡(luò)，無(wú)法保證在網(wǎng)絡(luò)上發(fā)送和接收數(shù)據(jù)的安全性。
IPSec提供了一種建立和管理安全隧道的方式，通過(guò)對(duì)要傳輸?shù)臄?shù)據(jù)報(bào)文提供認(rèn)證和加密服務(wù)來(lái)防止數(shù)據(jù)在網(wǎng)絡(luò)內(nèi)或通過(guò)公網(wǎng)傳輸時(shí)被非法查看或篡改，相當(dāng)于為位于不同地域的用戶創(chuàng)建了一條安全的通信隧道。IPSec的典型應(yīng)用有以下幾種。

網(wǎng)關(guān)到網(wǎng)關(guān)模式

IPSec應(yīng)用最常用的組網(wǎng)方式是網(wǎng)關(guān)到網(wǎng)關(guān)（gateway-to-gateway）的組網(wǎng)方式。
網(wǎng)關(guān)到網(wǎng)關(guān)模式的典型組網(wǎng)如圖10-2所示。此模式下兩個(gè)網(wǎng)關(guān)之間的連接是加密的。但從客戶到客戶的網(wǎng)關(guān)之間的連接，服務(wù)器和服務(wù)器的網(wǎng)關(guān)之間的連接是未加密的。兩側(cè)的網(wǎng)關(guān)都必須支持IPSec。圖10-2中，比如網(wǎng)絡(luò)A中的用戶要訪問(wèn)網(wǎng)絡(luò)B的服務(wù)器，則網(wǎng)絡(luò)A作為客戶端，網(wǎng)絡(luò)B作為服務(wù)器端。從網(wǎng)絡(luò)A到Device_A之間的連接是未加密的，而從Device_B到網(wǎng)絡(luò)B之間的連接也是未加密的。
圖10-2  網(wǎng)關(guān)到網(wǎng)關(guān)模式典型組網(wǎng) 

移動(dòng)設(shè)備遠(yuǎn)程接入網(wǎng)關(guān)

出差員工PC或AP（Access Point）等移動(dòng)設(shè)備要遠(yuǎn)程訪問(wèn)一個(gè)IPSec網(wǎng)關(guān)，可以通過(guò)L2TP over IPSec的方式，如圖10-3所示。AP設(shè)備接入IPSec網(wǎng)關(guān)還可通過(guò)IKEv2+EAP認(rèn)證方式，如圖10-4所示。此模式下主機(jī)側(cè)（PC或AP）需要有支持IPSec的客戶端，網(wǎng)關(guān)側(cè)需要支持IPSec。
圖10-3  采用L2TP over IPSec方式接入IPSec網(wǎng)關(guān)  圖10-4  采用IKEv2+EAP認(rèn)證方式接入IPSec網(wǎng)關(guān) 

GRE over IPSec

由于IPSec本身不支持組播、廣播和非IP報(bào)文，通過(guò)GRE封裝這些報(bào)文后，IPSec就可以認(rèn)為這些報(bào)文是普通的單播報(bào)文，而進(jìn)行IPSec封裝。如圖10-5所示。
圖10-5  GRE over IPSec組網(wǎng)圖 

  IKE簡(jiǎn)介

與手工方式建立的IPSec隧道相比，IKE方式配置相對(duì)簡(jiǎn)單，具有更高的靈活性，應(yīng)用也比較廣泛。

IKE概述

IKE協(xié)議建立在由Internet安全聯(lián)盟和密鑰管理協(xié)議ISAKMP（Internet Security Association and Key Management Protocol）定義的框架上。它能夠?yàn)镮PSec提供自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)，以簡(jiǎn)化IPSec的使用和管理。
IKE具有一套自保護(hù)機(jī)制，可以在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰、驗(yàn)證身份、建立IPSec安全聯(lián)盟。

IKE協(xié)商過(guò)程

IKE經(jīng)過(guò)兩個(gè)階段為IPSec進(jìn)行密鑰協(xié)商并建立安全聯(lián)盟：

• 第一階段交換，通信各方彼此間建立了一個(gè)已通過(guò)身份驗(yàn)證和安全保護(hù)的通道，此階段的交換建立了一個(gè)ISAKMP安全聯(lián)盟，即ISAKMP SA（也可稱為IKE SA）。
• 第二階段交換，用已經(jīng)建立的安全聯(lián)盟（IKE SA）為IPSec協(xié)商安全服務(wù)，即為IPSec協(xié)商具體的安全聯(lián)盟，建立IPSec SA，IPSec SA用于最終的IP數(shù)據(jù)安全傳送。

IKE和IPSec的關(guān)系如圖10-6所示。
圖10-6  IKE和IPSec的關(guān)系示意圖  具體安全聯(lián)盟的建立過(guò)程如圖10-7所示。
圖10-7  安全聯(lián)盟建立過(guò)程示意圖 

1. 當(dāng)一個(gè)報(bào)文從某接口外出時(shí)，如果此接口應(yīng)用了IPSec，會(huì)進(jìn)行安全策略的匹配。
2. 如果找到匹配的安全策略，會(huì)查找相應(yīng)的安全聯(lián)盟。如果安全聯(lián)盟還沒有建立，則觸發(fā)IKE進(jìn)行協(xié)商。IKE首先建立第一階段的安全聯(lián)盟，即IKE SA。
3. 在第一階段安全聯(lián)盟的保護(hù)下協(xié)商第二階段的安全聯(lián)盟，即IPSec SA。
4. 使用IPSec SA保護(hù)通訊數(shù)據(jù)。

IKE協(xié)商模式

在RFC 2409中規(guī)定，IKE第一階段的協(xié)商可以采用兩種模式：

• 主模式（Main Mode）

主模式被設(shè)計(jì)成將密鑰交換信息與身份、認(rèn)證信息相分離。這種分離保護(hù)了身份信息。交換的身份信息受已生成的Diffie-Hellman共享密鑰的保護(hù)。但增加了3條消息的開銷。

• 野蠻模式（Aggressive Mode）

野蠻模式則允許同時(shí)傳送與SA、密鑰交換和認(rèn)證相關(guān)的載荷。將這些載荷組合到一條消息中，減少了消息的往返次數(shù)，但是無(wú)法提供身份保護(hù)。
雖然野蠻模式存在一些功能限制，但可以滿足某些特定的網(wǎng)絡(luò)環(huán)境需求。例如：遠(yuǎn)程訪問(wèn)時(shí)，如果響應(yīng)者（服務(wù)器端）無(wú)法預(yù)先知道發(fā)起者（終端用戶）的地址或者發(fā)起者的地址總在變化，而雙方都希望采用預(yù)共享密鑰驗(yàn)證方法來(lái)創(chuàng)建IKE SA，那么，不進(jìn)行身份保護(hù)的野蠻模式就是唯一可行的交換方法；如果發(fā)起者已知響應(yīng)者的策略，或者對(duì)響應(yīng)者的策略有全面的了解，采用野蠻模式能夠更快地創(chuàng)建IKE SA。

IKE安全機(jī)制

IKE的安全機(jī)制包括：

• DH（Diffie-Hellman）算法及密鑰分發(fā)

DH算法是一種公共密鑰算法。通信雙方在不傳送密鑰的情況下通過(guò)交換一些數(shù)據(jù)，計(jì)算出共享的密鑰。加密的前提是交換加密數(shù)據(jù)的雙方必須要有共享的密鑰。IKE的精髓在于它永遠(yuǎn)不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過(guò)一系列數(shù)據(jù)的交換，最終計(jì)算出雙方共享的密鑰。即使第三方（如黑客）截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù)，也不足以計(jì)算出真正的密鑰。

• 完善的前向安全性

PFS（Perfect Forward Secrecy）是一種安全特性，指一個(gè)密鑰被破解，并不影響其他密鑰的安全性，因?yàn)檫@些密鑰間沒有派生關(guān)系。PFS是由DH算法保障的。此特性是通過(guò)在IKE階段2的協(xié)商中增加密鑰交換來(lái)實(shí)現(xiàn)的。

• 身份認(rèn)證

身份認(rèn)證確認(rèn)通信雙方的身份。對(duì)于pre-shared key認(rèn)證方法，認(rèn)證字用來(lái)作為一個(gè)輸入產(chǎn)生密鑰，只有認(rèn)證字相同才能在雙方產(chǎn)生相同的密鑰。認(rèn)證字是驗(yàn)證雙方身份的關(guān)鍵。

• 身份保護(hù)

身份數(shù)據(jù)在密鑰產(chǎn)生之后加密傳送，實(shí)現(xiàn)了對(duì)身份數(shù)據(jù)的保護(hù)。

IKEv2概述

作為IPSec VPN實(shí)現(xiàn)中的首選密鑰交換協(xié)議，IKE保證了安全聯(lián)盟SA建立過(guò)程的安全性和動(dòng)態(tài)性。IKE協(xié)議是一個(gè)混合型協(xié)議，其自身的復(fù)雜性不可避免地帶來(lái)一些安全及性能上的缺陷，已經(jīng)成為目前實(shí)現(xiàn)的IPSec系統(tǒng)的瓶頸。
新版的IKEv2協(xié)議保留了IKEv1（此處稱傳統(tǒng)IKE為IKEv1，以示區(qū)分）的基本功能，并針對(duì)研究過(guò)程中發(fā)現(xiàn)的問(wèn)題進(jìn)行修訂。同時(shí)兼顧簡(jiǎn)潔性、高效性、安全性和健壯性的需要，整合了相關(guān)文檔，由RFC 4306單個(gè)文檔替代。通過(guò)核心功能和默認(rèn)密碼算法的最小化規(guī)定，新協(xié)議極大地提高了不同IPSec VPN系統(tǒng)的互操作性。
IKEv2與IKEv1相比有以下優(yōu)點(diǎn)：

• 用4條消息就可以完成一個(gè)IKE SA和一對(duì)IPSec SA的協(xié)商建立，提高了協(xié)商效率。
• 刪除了原有協(xié)議中的DOI、SIT以及域名標(biāo)識(shí)符、提交位這些功能不強(qiáng)且難以理解、容易混淆的數(shù)據(jù)結(jié)構(gòu)。
• 修復(fù)了多處公認(rèn)的密碼學(xué)方面的安全漏洞，提高了安全性能。
• 定義了獨(dú)立的通訊量選擇載荷，分擔(dān)了原有ID載荷的部分功能，增加了協(xié)議靈活性。
• 加入對(duì)EAP身份認(rèn)證方式的支持，提高了認(rèn)證方式的靈活性和可擴(kuò)展性。

要建立一對(duì)IPSec SA，IKEv1需要經(jīng)歷兩個(gè)階段：“主模式＋快速模式”或者“野蠻模式＋快速模式”。前者需要交換至少9條消息，后者也至少需要6條消息。而IKEv2建立一對(duì)IPSec SA，正常情況使用兩次交換4條消息就可以完成一個(gè)IKE SA和一對(duì)IPSec SA的協(xié)商建立，如果要求建立的IPSec SA大于一對(duì)時(shí)，每一對(duì)SA只需額外增加一次交換，也就是兩條消息就可以完成。這比IKEv1要簡(jiǎn)化很多。

安全策略模板概述

在實(shí)際的IPSec組網(wǎng)環(huán)境中，存在一些不確定因素，例如網(wǎng)絡(luò)中存在移動(dòng)辦公用戶時(shí)，用戶在每次撥入后，為其分配的IP地址可能會(huì)不同。這樣，IPSec隧道端點(diǎn)的地址、要保護(hù)的數(shù)據(jù)流就無(wú)法確定，給IPSec的部署帶來(lái)很大困難。
在這種情況下，我們可以在IPSec隧道接收方配置安全策略模板來(lái)滿足需要。安全策略模板是指定義一個(gè)策略模板，其中配置部分參數(shù)，而沒有配置的參數(shù)采用發(fā)起方的相應(yīng)參數(shù)。
如圖10-8所示，在USG上應(yīng)用安全策略模板后，USG響應(yīng)移動(dòng)用戶發(fā)起的IPSec隧道建立請(qǐng)求。IPSec隧道建立成功后，移動(dòng)用戶即可通過(guò)IPSec隧道訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器，在不安全的公共網(wǎng)絡(luò)中保證了數(shù)據(jù)的傳輸安全。
圖10-8  安全策略模板應(yīng)用示意圖