发布时间 : 星期四 文章华为防火墙配IPSEC更新完毕开始阅读
8.1 简介
8.1.1 IPSec概述
IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP报文提供了基于密码学的、可互操作的、高质量的安全保护机制。特定的通信双方在IP层通过加密与数据源验证等方式,保证报文在网络中传输时的私有性、完整性、真实性,并有效防御重放攻击。
IPSec对报文的保护通过AH(Authentication Header)和ESP(Encapsulating Security Payload)两种安全协议实现。各协议的功能简单介绍如下:
? AH
协议主要提供的功能有数据源验证、数据完整性校验和防御报文重放攻击,但不能对需要保护的报文进行加密。
协议除提供AH协议的所有功能外,还可提供对IP报文的加密功能。与AH协议不同的是,其数据完整性校验不包括IP报文头。 ESP协议允许对报文同时进行加密和验证,或只加密,或只验证。
? ESP
为简化IPSec的使用和管理,除了可以手动建立安全联盟SA(Security Association)外,还可以通过IKE(Internet Key Exchange)进行自动协商交换密钥、建立和维护SA。IKE协议用于自动协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。
Eudemon除可以通过软件进行SA协商外,还能通过IPSec加密卡进行协商。有关加密卡的相关介绍,请参见《Quidway Eudemon 200 防火墙 安装指南》。
8.1.2 基于证书认证机制的IPSec
Eudemon提供基于公钥基础设施PKI(Public Key Infrastructure)框架的证书认证机制,支持证书的申请、存储和验证,但不提供生成证书功能。 PKI是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。它是一套软硬件系统和安全策略的集合,提供了一整套安全机制。PKI采用证书进行公钥管理,通过第三方的可信任机构,把用户的公钥和用户的其他标识信息捆绑在一起,实现在网上验证用户身份功能。
PKI为用户建立起一个安全的网络运行环境,用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中,不能被非授权者查看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
不采用证书机制的IPSec情况下,进行网络扩容时,每新增一台设备,都需要修改其余设备的配置。操作繁琐,且易出错。
证书机制可以为IPSec网络提供集中的密钥管理机制,并增强整个IPSec网络的伸缩性。在采用证书机制的IPSec网络中,每台设备都拥有CA(Certification Authority)颁发的证书,当设备之间进行通讯时,只要通过交换证书就可以确认对方的身份(因为所有的设备都信任CA,所以对
CA颁发的证书都信任),并获得对方的公钥(从对方的证书中获取)。这样当有新设备加入时,只需要为新增加的设备申请一个证书,就可以与其他设备进行通讯,而不需要修改其他设备的配置。 在实际应用中,证书分为两种:
? CA
证书
是颁发机构本身的证书,用于验证CA颁发的本地证书和CRL(Certificate Revocation List)的有效性。
? 本地证书
由CA颁发,在IPSec设备通信时使用。证书绑定了名字和本地公钥,如同网络身份证。
在获取本地证书前,需要首先获取CA证书。
8.2 配置Manual方式协商的IPSec隧道
8.2.1 建立配置任务
应用环境
考虑到安全性,数据流往往需要认证。在一些安全性要求较高的场合,数据流可能既需要认证又需要加密,此时需要在IPSec服务发起端和终结端的Eudemon设备上配置IPSec功能。
当与Eudemon进行通信的对等体设备数量较少时,或是在小型静态环境中,可以选择Manual方式协商IPSec隧道。
前置任务
在配置IPSec前,需要完成以下任务:
? 配置
Eudemon的工作模式
IP地址
? 配置接口的
? 配置接口加入安全区域
只有Eudemon工作于路由模式才可以配置IPSec。
数据准备
在配置IPSec前,需要准备以下数据。 序号 1 2 3 数据 高级ACL的相关参数 安全提议的名称 使用的安全协议 序号 数据 配置过程4 AH协议的验证算法 5 ESP协议的验证算法 6 ESP协议的加密算法 7 报文的封装形式 8 安全策略的名称和顺序号 9 SA的建立方式 10 隧道本端的IP地址(仅用于手工协商方式) 11 隧道对端的IP地址 12 AH协议入方向和出方向的SPI(Security Parameters Index) 13 ESP协议入方向和出方向的SPI 14 AH协议入方向和出方向的验证密钥(以字符串方式输入) 15 ESP协议入方向和出方向的验证密钥(以字符串形式输入) 16 AH协议入方向和出方向的验证密钥(以16进制方式输入) 17 ESP协议入方向和出方向的验证密钥(以16进制方式输入) 18 ESP协议入方向和出方向的加密密钥(以16进制方式输入) 19 接口类型和接口编号
要完成IPSec的配置,需要按照以下过程配置。 序号 过程 1 创建需要保护的数据流 2 配置IPSec安全提议 3 配置IPSec安全策略 4 引用IPSec安全策略 5 检查配置结果
8.2.2 创建需要保护的数据流
IPSec能够对不同的数据流进行安全保护。在实际应用中,需要首先通过ACL定义数据流,再在安全策略中引用该ACL,从而起到保护该数据流的作用。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令acl [ number ] acl-number [ match-order { config | auto } ],创建高级ACL,并进入相应视图。
3 执行命令rule [ rule-id ] { permit | deny } protocol [ source
{ source-address source-wildcard | address-set address-set-name | any } | destination { destination-address destination-wildcard | address-set
address-set-name | any } | source-port { operator port | range port1 port2 | port-set port-set-name } | destination-port { operator port | range port1 port2 | port-set port-set-name } | icmp-type { icmp-type icmp-code |
icmp-message } | precedence precedence | tos tos | time-range time-name | logging ] *,配置ACL规则。 ----结束 配置时请注意:
? 需要精确配置
步骤
ACL。
? 建议只对确实需要
IPSec保护的数据流进行保护,即在配置ACL
规则时,严格配置需要保护的数据流的动作关键字为permit。 any,否则,数据流定义范围过大,会
对不需要加密的普通数据流也进行加密。当被加密的数据流到达没有配置IPSec的网关设备时,会因网关无法识别加密数据而被丢弃。
ACL和相应
? 建议避免盲目使用关键字
? 对于有不同安全保护要求的数据流,需要创建不同的
的安全策略。
? 隧道两端的设备,ACL
需要镜像配置。
8.2.3 配置IPSec安全提议
隧道两端的设备,安全协议、验证算法、加密算法、报文封装格式需要配置相同,否则不能成功建立SA。
IPSec安全提议(Proposal)用于指定IPSec所采取的一系列措施,包含对需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令ipsec proposal proposal-name,创建安全提议并进入安全提议视图。
Eudemon最多支持50个安全提议。