返回
IpSecVPN学习总结.doc

IpSecVPN学习总结.doc

ID:49533035

大小:32.50 KB

页数:4页

时间:2020-03-02

IpSecVPN学习总结.doc_第1页
IpSecVPN学习总结.doc_第2页
IpSecVPN学习总结.doc_第3页
IpSecVPN学习总结.doc_第4页
资源描述:

《IpSecVPN学习总结.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、VPN是一种能够通过共享的网络基础设施,如:在因特网上提供安全、可靠连接的服务。VPN定义为专用网络之间通过公共网络实现的加密连接。在网络基础设施中部署VPN的益处:1、降低成本2、提高通信水平3、灵活性和可升级性4、安全可靠性5、无线联网VPN的实施方案:1、远程接入2、站点到站点3、基于防火墙。一、远程接入VPN远程接入主要应用于移动用户和家庭远程办公用户。二、站点到站点的VPN现在的公司基本都有外网接口,站点到站点VPN取代了传统租用线路和帧中继,费用的节省谁用谁知道。三、基于防火墙的VPN基于防火墙的VPN从本质讲其实就是站点到站

2、点的解决方案,它不是一个技术问题而是安全问题。IPSecIPSec位于网络层,负责IP包的保护和认证。IPSec不限于某类特别的加密或认证算法、密钥技术或安全算法、它是实现VPN技术的标准框架。IPSec安全服务提供4种主要功能:一、数据加密:对数据进行加密,即使数据被截获,内容也无法解读。二、数据完整性:用于鉴别数据在传输过程中是否被非法修改过。三、数据源认证:确保数据发送方的可靠性。四、防重放:校验每个包是不是唯一的(非复制包)下面将简单的说明一下数据加密:1、加密算法:DES、3DES、AES、RSA2、密钥交换:DES、3DES、

3、AES以及MD5和SHA-1需要堆成的共享密钥来加密解密。问题是加密解密设备如何获得共享密钥?DH密钥交换:通过DH,每个对等体都会生成一对公/私钥。公钥加密私钥解密。DH密钥交换不存在安全问题。尽管有人可能会知道用户的公钥,但由于私钥根本不会公开,他仍然无法生成共享的密钥。数据完整性:VPN数据是通过不安全的网络传送的,例如因特网。这些数据可能被截获、被修改。为防止这一情况,每个消息都附有一个散列。散列可以保证原始信息的完整性。如果被传送的散列与被接收的散列匹配,则证明消息没有被篡改。IPSec框架中保证数据完整性的算法有两种:MD5:

4、128bitSHA-1:160bit数据源认证:生活中,盖章能够保障法令的真实性。电子应用中,文件的签字将使用发送方的私钥---数字签名。数字签名把消息与发送着连在一起。用于VPN隧道的初始建立阶段对隧道的两端进行认证。VPN对等体的认证方法:1、预共享密钥:手工输入每个对等体用于认证的密钥值;2、RSA签名:用交换数字证书的方式认证对等体;3、RSA加密随机数(nonce):nonce(由各个对等体生成的随机数)被加密,然后在对等体之间交换。防重放:IPSec使用防重放机制来保证IP包不会被第三方或中间人截获,并在修改后再重新插入数据流

5、。防重放机制将跟随到达VPN断电的每个数据包的序列号。当两个VPN端点之间建立了安全关联后,序号计数器归零。如果接收到重复的序号,则丢弃该包。该功能在IPSec中是通过AH和ESP来实现的AH:认证头协议用于系统对数据私密性没要求的时候,它主要实现以下功能1、确保数据的完整性;2、提供数据源认证;3、防重放;4、数据以明文传送。(不提供加密功能)(注:AH不支持NAT和PAT)ESP:封装安全净载1、数据完整性;2、数据源认证;3、数据加密;4、防重放。注:1、ESP可以强制要求接受访的主机使用防重放保护功能。2、如对数据私密性有要求,且

6、做了NAT,还想啥?用ESP准没错3、数据包解密前,先认证后解密。以降低DoS攻击的危险。VPN隧道的操作模式:1、传输模式:特征:点到点即:主机到主机特点:数据的原始IP地址是可被路由的,因为其未对原始IP进行加密。2、隧道模式:特征:安全网关之间即:网络设备之间,如:路由器、防火墙、VPN集中器特点:安全网关对原始IP包加密并认证。然后,在加密的数据包之前加入一个新的IP包头。用新的IP地址来将数据包路由到远端的安全网关。IPSec如何工作?IPSec的目标是用必要的安全服务保护有用的数据。它的操作可分5个步骤:一、定义感兴趣的数据流

7、二、IKE阶段1三、IKE阶段2四、数据传输五、IPSec隧道终止以下简单的说明这5个步骤定义感兴趣的数据流应用加密ACL来匹配感兴趣的数据流,所压匹配的数据包分三种类型:1、应用IPSec2、绕过IPSec3、丢弃1和2很容易理解,补充说下3,何时丢弃当加密ACL匹配数据时,如发现在策略中定义为加密数据,但实际它并未加密,那么ACL将执行Deny动作,丢弃该包。IKE阶段1该阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。它包括两种模式:主模式和积极模式1、主模式在发送端和接收端有3次双向交换第一次:用于商定IKE通信

8、安全的算法和散列;第二次:使用DH交换来产生共享密钥第三次:验证对端身份,认证远端对等体。主模式的主要结果是为对等体之间的后续交换建立一个安全通道。2、积极模式较主模式而言,交换次数和信息较少

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。