第13讲IPSec实现局域网传输数据保护.pptVIP

2007-9-17 第13讲IPSec实现对局域网传输数据的保护 张群哲 湖南科技职业学院 网络教研室 zqunzhe@163.com 本讲主要内容 1. 教师讲解 IPSec工作原理 身份验证报头(AH)协议 封装安全报体(ESP)协议 因特网密钥交换(IKE)协议 2. 动手实践- 配置IPSec 启用IPSec IPSec中的身份验证、传输模式、加密算法 配置IPSec成为防火墙 1、什么是 IPSec ？ 安全IP的总体组成 IPsec总体上包括4个组成部分：安全协议，安全关联，密钥管理，以及身份验证算法与加密算法。 为了利用IPsec在IP层提供安全服务，必须选择安全协议、选择安全协议中采用的身份验证算法或者加密算法，协商身份验证算法或加密算法采用的密钥，最终建立需要进行IPsec通信的IP结点之间的安全关联。 IPSec 工作机理 安全IP中定义的安全协议 IPsec目前只提供两种安全协议：身份验证报头(AH)协议和封装安全报体(ESP)协议。 AH协议主要提供的IP层安全服务包括：访问控制、数据传递的完整性验证、数据源身份验证和防范重播分组攻击。 ESP协议不仅可以提供AH协议提供的身份验证类安全服务，还可以提供数据保密传递和有限的数据传递信息保密等功能。 2、身份验证报头(AH)协议 身份验证报头(Authentication Header)协议IPsec中定义的两个安全协议之一。 AH主要对IP报文提供无连接传递的完整性验证以及对数据源的身份验证，它也可以提供防范IP报文重播攻击的功能。 AH协议身份验证的范围包括尽可能多的IP报头的内容，以及IP报文携带的数据。 AH工作原理 在每个数据包上加一个身份报头 报头包含一个带密钥的hash散列，此散列在整个数据包中计算，因此对数据的任何更改将使散列无效，从而提供对数据包完整性的保护 AH协议报文格式 AH协议报文包括：下个报头、报体长度、预留、安全参数索引(SPI)、顺序号和身份验证数据，这6个AH报文必须的字段。 3、封装安全报体(ESP)协议 封装安全报体(Encapsulating Security Payload)是安全IP技术中定义的两个安全协议之一。 ESP主要用于对IP报文提供保密传递、无连接传递的完整性验证以及对数据源的身份验证。ESP也可以提供防范IP报文重播攻击的功能，以及有限度的通信流保密性。 ESP主要提供对IP报文加密传输的功能，它是专门为对称密钥加密算法设计的安全协议。 ESP工作原理 对数据包的全部数据和加载内容进行全加密 保证传输信息的机密性（不惧抓包） 也能够提供认证和维持数据的完整性 ESP协议报文格式 ESP报文包括安全参数索引(SPI)、顺序编号、报体数据、填充数据、填充数据长度、下个报头、以及身份验证数据。 什么是 IPSec 安全策略 ？ 配置IPsec IPSec 策略间是如何工作的 IPSec中的身份验证 IPSec中的传输模式 IPSec中的加密算法 排除网络协议安全性中的故障 动手实践 IPSec配置和管理 课时小结 IPSec工作原理 身份验证报头(AH)协议 封装安全报体(ESP)协议 因特网密钥交换(IKE)协议 * IPSec 优势： IPSec （Internet Protocol Security ）是一套工业标准，它基于 IP 数据包级别来检验、鉴别并加密数据，IPSec 保障了数据在网络传输中的安全性 通信前和通信期间的相互验证 通过 IP 数据包的加密和数字签名实现了保密性 拒收被修改的数据包，以保持 IP 数据的完整性 防止重播攻击 TCP Layer IPSec 驱动 TCP Layer IPSec 驱动 加密的 IP 数据包 3 安全协商过程 (ISAKMP) 2 IPSec 策略 IPSec 策略 1 活动目录 下个报头 报体长度 预留 0 7 8 15 16 31比特 安全参数索引(SPI) 顺序编号 身份验证数据(长度可变) 图13-1 AH协议报头格式 下个报体 预留 安全参数索引(SPI) 0 7 8 15 16 31比特 图13-2 ESP报文格式 23 24 顺序编号 身份验证数据(可变长度) 填充数据长度 报体数据(可变长度) 填充数据(0 – 255字节) IPSec 使用规则和策略保护网络安全 规则的组件： 过滤器 过滤行为 验证方法 默认策略包括： 客户端（仅响应）：对方要求时才应用IPSec安全策略，否则采用正常通信 服务器（请求安全）：首先请求对方进行安全通信，若对方不支持，也可通信 安全服务器（需要安全）：对方必须采用IPSec安全策略，否则不能与本机通信 IPSec IPSec IPSec 没有通信 安全服务器