- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
16-IPsec
本章節下載: 16-IPsec (302.37 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 認證與加密
¡ IPsec SA
¡ IKE協商
IPsec(IP Security,IP安全)是IETF製定的三層隧道加密協議,是一種傳統的實現三層VPN(Virtual Private Network,虛擬專用網絡)的安全技術。IPsec通過在特定通信方之間(例如兩個安全網關之間)建立“通道”,來保護通信方之間傳輸的用戶數據,該通道通常稱為IPsec隧道。
IPsec協議為IP層上的網絡數據安全提供了一整套安全體係結構,包括安全協議AH(Authentication Header,認證頭)和ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Internet Key Exchange,互聯網密鑰交換)以及用於網絡認證及加密的一些算法等。其中,AH協議和ESP協議用於提供安全服務,IKE協議用於密鑰交換。
IPsec包括AH和ESP兩種安全協議,它們定義了對IP報文的封裝格式以及可提供的安全服務。
· AH協議定義了AH頭在IP報文中的封裝格式。AH可提供數據來源認證、數據完整性校驗和抗重放功能,它能保護報文免受篡改,但不能防止報文被竊聽,適合用於傳輸非機密數據。
· ESP協議定義了ESP頭和ESP尾在IP報文中的封裝格式。ESP可提供數據加密、數據來源認證、數據完整性校驗和抗重放功能。雖然AH和ESP都可以提供認證服務,但是AH提供的認證服務要強於ESP。
在實際使用過程中,可以根據具體的安全需求同時使用這兩種協議或僅使用其中的一種。設備支持的AH和ESP聯合使用的方式為:先對報文進行ESP封裝,再對報文進行AH封裝。
IPsec支持兩種封裝模式:
· 傳輸模式(Transport Mode)
該模式下的安全協議主要用於保護上層協議報文。若要求端到端的安全保障,即數據包進行安全傳輸的起點和終點為數據包的實際起點和終點時,才能使用傳輸模式。通常傳輸模式用於保護兩台主機之間的數據。
· 隧道模式(Tunnel Mode)
該模式下的安全協議用於保護整個IP數據包。在安全保護由設備提供的情況下,數據包進行安全傳輸的起點或終點不為數據包的實際起點和終點時(例如安全網關後的主機),則必須使用隧道模式。通常隧道模式用於保護兩個安全網關之間的數據。
IPsec使用的認證算法主要是通過雜湊函數實現的。雜湊函數是一種能夠接受任意長度的消息輸入,並產生固定長度輸出的算法,該算法的輸出稱為消息摘要。IPsec對等體雙方都會計算一個摘要,接收方將發送方的摘要與本地的摘要進行比較,如果二者相同,則表示收到的IPsec報文是完整未經篡改的,以及發送方身份合法。目前,IPsec使用基於HMAC(Hash-based Message Authentication Code,基於散列的消息鑒別碼)的認證算法和SM3認證算法。HMAC認證算法包括HMAC-MD5、HMAC-SHA。其中,HMAC-MD5算法的計算速度快,而HMAC-SHA算法的安全強度高。
IPsec使用的加密算法屬於對稱密鑰係統,這類算法使用相同的密鑰對數據進行加密和解密。目前設備的IPsec使用四種加密算法:
· DES:使用56比特的密鑰對一個64比特的明文塊進行加密。
· 3DES:使用三個56比特(共168比特)的密鑰對明文塊進行加密。
· AES:使用128比特、192比特或256比特的密鑰對明文塊進行加密。
· SM:使用128比特的密鑰對明文塊進行加密。
這四個加密算法的安全性由高到低依次是:AES/SM、3DES、DES,安全性高的加密算法實現機製複雜,運算速度慢。
IPsec SA(Security Association,安全聯盟)是IPsec對等體間對某些要素的約定,例如,使用的安全協議、協議報文的封裝模式、認證算法、加密算法、特定流中保護數據的共享密鑰以及密鑰的生存時間等。
IPsec SA是單向的,在兩個對等體之間的雙向通信,最少需要兩個IPsec SA來分別對兩個方向的數據流進行安全保護。同時,如果兩個對等體希望同時使用AH和ESP來進行安全通信,則每個對等體都會針對每一種協議來構建一個獨立的SA。
IPsec SA由一個三元組來唯一標識,這個三元組包括SPI(Security Parameter Index,安全參數索引)、目的IP地址和安全協議號。其中,SPI是用於標識SA的一個32比特的數值,它在AH和ESP頭中傳輸。
對等體之間通過IKE協議生成IPsec SA,IPsec SA會在一定時間或一定流量之後老化掉。IPsec SA失效前,IKE將為IPsec對等體協商建立新的SA,這樣,在舊的SA失效前新的SA就已經準備好。在新的SA開始協商而沒有協商好之前,使用當前舊的SA保護通信。一旦協商出新的SA,立即采用新的SA保護通信。
IKE為IPsec協商建立SA,並把建立的參數交給IPsec,IPsec使用IKE建立的SA對IP報文加密或認證處理。IKE使用了兩個階段為IPsec進行密鑰協商以及建立SA:
1. 第一階段,通信雙方彼此間建立了一個已通過雙方身份認證和對通信數據安全保護的通道,即建立一個IKE SA。第一階段有主模式(Main Mode)、野蠻模式(Aggressive Mode)和國密主模式三種IKE協商模式。在對身份保護要求不高的場合,使用交換報文較少的野蠻模式可以提高協商的速度;在對身份保護要求較高的場合,則應該使用主模式。當本端使用RSA-DE或者SM2-DE數字信封方式認證時,必須將本端的協商模式配置為國密主模式。
2. 第二階段,用在第一階段建立的IKE SA為IPsec協商安全服務,即為IPsec協商IPsec SA,建立用於最終的IP數據安全傳輸的IPsec SA。
設備通過應用IPsec策略來實現IPsec隧道的建立。一個IPsec策略主要用於指定策略應用的接口,定義用於保護數據流的安全參數,以及指定要保護的數據流的範圍。
當IPsec對等體根據策略識別出要保護的報文時,就建立一個相應的IPsec隧道並將其通過該隧道發送給對端。此處的IPsec隧道由數據流觸發IKE協商建立。這些IPsec隧道實際上就是兩個IPsec對等體之間建立的IPsec SA。由於IPsec SA是單向的,因此出方向的報文由出方向的SA保護,入方向的報文由入方向的SA來保護。
· 當從一個接口發送數據報文時,接口將按照策略優先級序號從小到大的順序逐一匹配引用的每一個IPsec策略。如果報文匹配上了某一個IPsec策略保護的數據流,則停止匹配,並根據匹配上的策略協商IPsec SA。之後,由該接口發送的報文,如果能匹配上某出方向的IPsec SA,則由IPsec對其進行封裝處理,否則直接被正常轉發。
· 應用了IPsec策略的接口收到數據報文時,對於目的地址是本機的IPsec報文,查找本地的入方向IPsec SA,並根據匹配的IPsec SA對報文進行解封裝處理;對於那些本應該被IPsec保護但未被保護的報文進行丟棄。
在IPsec策略中,由動作參數(“保護”或“不保護”)來指定是否對數據流進行IPsec保護。一個IPsec策略中,可以定義多條保護的數據流,報文匹配上的首條數據流的動作參數決定了對該報文的處理方式。
· 出入方向的報文都需要匹配IPsec策略中定義的保護的數據流。具體是,出方向的報文正向匹配數據流範圍,入方向的報文反向匹配數據流範圍。
· 在出方向上,與動作為“保護”的數據流匹配的報文將被IPsec保護,未匹配上任何數據流或與動作為“不保護”的數據流匹配上的報文將不被IPsec保護。
· 在入方向上,與動作為“保護”的數據流匹配上的未被IPsec保護的報文將被丟棄;目的地址為本機的被IPsec保護的報文將被進行解封裝處理。
為了提高網絡的穩定性和可靠性,企業通常會在網絡出口配置多條鏈路。不同鏈路之間存在通信質量差異,實時狀態也不盡相同,選擇一條高質量的鏈路對於企業通信來說尤為重要。IPsec智能選路功能(IPsec Smart Link)在有多條可使用的鏈路能夠到達目的網絡的情況下,實時地自動探測鏈路的時延、丟包率,動態切換到滿足通信質量要求的鏈路上建立IPsec隧道。用戶也可以根據自己的實際需求手工指定使用的鏈路。
IPsec智能選路可以很好地解決以下問題:
· 網絡出口多鏈路進行流量負載分擔時,可能會出現一部分鏈路擁塞、另一部分鏈路閑置的情況;
· 用戶無法基於鏈路傳輸質量或者服務費用自己選擇鏈路;
· 當網絡出口設備與目的設備之間的鏈路出現故障時,如果流量被轉發該故障鏈路上,會造成訪問失敗。
· 若指定的對端主機名由DNS服務器來解析,則本端按照DNS服務器通知的域名解析有效期,在該有效期超時之後向DNS服務器查詢主機名對應的最新的IP地址; 若指定的對端主機名由本地配置的靜態域名解析來解析,則更改此主機名對應的IP地址之後,需要在IPsec策略中重新指定的對端主機名,才能使得本端解析到更新後的對端IP地址。
· 為保證IPsec對等體上能夠成功建立SA,建議兩端設備上用於IPsec的ACL配置為鏡像對稱,即保證兩端定義的要保護的數據流範圍的源和目的盡量對稱。若IPsec對等體上的ACL配置非鏡像,那麼隻有在一端的ACL規則定義的範圍是另外一端的子集時,且僅當保護範圍小(細粒度)的一端向保護範圍大(粗粒度)的一端發起的協商才能成功。
· 如果IPsec策略下沒有配置本端身份,則默認使用高級配置中的全局本端身份。
· 在對IPsec策略的封裝模式、安全協議、算法、PFS、SA生存時間、SA超時時間進行修改時,對已協商成功的IPsec SA不生效,即仍然使用原來的參數,隻有新協商的SA使用新的參數。若要使修改對已協商成功的IPsec SA生效,則需要首先清除掉已有的IPsec SA。
· 在IPsec隧道的兩端,IPsec策略所采用的封裝模式、安全協議、算法要一致。
· 當IKE協商IPsec SA時,如果接口上的IPsec策略下未配置IPsec SA的生存周期,將采用全局的IPsec SA生存周期與對端協商。如果IPsec策略下配置了IPsec SA的生存周期,則優先使用策略下的配置值與對端協商。
· IKE為IPsec協商建立IPsec SA時,采用本地配置的生存時間和對端提議的IPsec SA生存時間中較小的一個。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
