[ 虚拟专用网 ] IPsce 虚拟局域网(安全的IP协议的虚拟专用网)详解(一)

简介: 指采用 IPsce 协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。

一、IPSec VPN应用场景



image.png


企业分支可以通过IPSec VPN接入到企业总部网络。(重要数据  ipsce vpn加密)

隧道  不管中间有多少设备客户是无感知的


二、IPSec架构



image.png


Ipsce  不是一个协议  而是一个架构(三个协议组成)

它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。

AH(51)  保证数据的完整性        ESP(50) 对报文的加密过程         用的最多

IKE 协议提供密钥协商,建立和维护安全联盟SA等服务。

传输层不存在端口号  传输层协议提供端口号给应用层

传输层有的是协议号   端口号封装在传输层  提供给应用层来打开

网络层提供协议号给传输层


三、安全协议:(AH、ESP)



1. AH


认证头协议AH (Authentication Header) : 提供数据来源认证、数据完整性校验和报文抗重放功能

image.png


AH会对隧道内的整个数据包进行哈希  对方收到验证哈希

(AH跟NAT不能同时使用  NAT会改变IP  验证失败)

AH不能对数据进行加密


2. ESP


封装安全载荷协议ESP (Encapsulating Security Payload) :除提供AH的功能之外,还提供对有效载荷的加密功能

 image.png


ESP协议允许对报文同时进行加密和认证,或只加密,或只认证

ESP没有对IP头的内容进行保护

      ESP可以对数据进行加密          尾部认证数据就是哈希值(ESP头部到加密块)

加密块:入DES  64位  不满64  填满

Nat可用

混合使用:AH认证时不会对nat字节哈  

密钥交换:

因特网密钥交换协议IKE (Internet Key Exchange)


四、IPSec封装方式(传输  隧道)



区分:         是否有两个IP头  (主机主机之前    主机网管之间)

隧道模式:   网关与网关之间(路由器和路由器之前)(公网)


1. 传输模式:


用的少  网络设备默认隧道模式

把原始IP直接提取用于数据内部

一般用在主机与主机之间  全网可达模式

不可部署在网关网关之间(公网不可允许私网地址)

Windows可部署传输模式

在传输模式下,AH或ESP报头位于IP报头和传输层报头之间。

image.png


通常把两个协议结合使用

IP头部和tcp头部分别加入AH和ESP的报头  在尾部加ESP 加密块,ESP的认证方式

针对tcp头到esp尾部进行加密

针对esp头到esp尾部进行ESP认证

针对整个数据包进行AH认证

不仅对数据进行加密,还对IP头部进行了认证


2. 隧道模式:(默认,可部署网关)


image.png

在隧道模式下,IPSec会另外生成一个新的IP报头, 并封装在AH或ESP之前。

两个IP头   一个新的在最前面   一个旧的在tcp头前


五、IPsce基本组件



IPSec对等体               接入设备

IPSce隧道                   隧道模式

安全联盟                     SA


六、IPSce特性



IPsec可以提供如下特性:

访问控制                                          身份认证技术

无连接的完整性、数据来源验证      哈希技术

防重放                                             防止重复读取数据

机密性(加密)                                    加解密技术

重放攻击:黑客虽然不能破解加密数据,但是可以重复利用辅助的合法数据与接收端建立协商关系,接收端误认为是同一人,进行认可

可通过AH或者ESP的序列号防止

也可以通过窗口模式:比如 10s内的数据合法(窗口期)  超过窗口期的重放无效

相关文章
SpringMVC+Mybatis两个数据源实现(一)
SpringMVC+Mybatis两个数据源实现(一)
198 0
|
存储 缓存 JSON
实战干货 | 分布式多级缓存设计方案
分布式多级缓存设计方案,解决海量数据读取的性能问题,包含多级缓存的存储设计,流程设计;利用多数据副本保证数据的可用性,同时通过不同数据源特点提供更高性能、更多场景数据差异化的支持
1826 0
实战干货 | 分布式多级缓存设计方案
|
9月前
|
安全 搜索推荐 Unix
【C语言】《回调函数》详细解析
回调函数是指一个通过函数指针调用的函数。它允许将一个函数作为参数传递给另一个函数,并在特定事件发生时执行。这种技术使得编程更加灵活,可以动态决定在何时调用哪个函数。
543 1
|
缓存 监控 网络协议
9条实用的思科Catalyst系列交换机巡检命令!
9条实用的思科Catalyst系列交换机巡检命令!
303 1
|
安全 网络协议 网络安全
IPSec的特征与功能
【9月更文挑战第4天】IP Sec提供的安全服务包括访问控制、完整性、数据来源认证等。
|
Ubuntu Linux
在Linux中,如何配置静态IP地址?
在Linux中,如何配置静态IP地址?
|
负载均衡 监控 数据中心
IT知识百科:什么是链路聚合?
【5月更文挑战第1天】
894 1
IT知识百科:什么是链路聚合?
|
11月前
|
大数据 关系型数据库 数据库
python 批量处理大数据写入数据库
python 批量处理大数据写入数据库
563 0
|
SQL 前端开发 Java
Spring Data JPA之Spring boot整合JPA进行CRUD(上)
Spring Data JPA之Spring boot整合JPA进行CRUD(上)
371 0