网络安全设备部署(IPSec+VPN).ppt

Chapter 网络设备安全部署 计算机网络技术教研室王宏群 IPSec VPN 原理与配置 —— 理论部分 理解VPN实现的各种安全特性 理解ISAKMP/IKE两个阶段的协商建立过程 会在Cisco路由器上配置IPSec VPN 技能展示 本章结构 VPN技术 加密算法 数据报文验证 IPSec VPN 原理与配置 VPN的定义 IPSec VPN VPN概述 IPSec连接 ISAKMP/IKE阶段2 ISAKMP/IKE阶段1 IPSec VPN的配置实现 VPN的模式与类型 广域网存在各种安全隐患 网上传输的数据有被窃听的风险 网上传输的数据有被篡改的危险 通信双方有被冒充的风险 VPN的定义2-1 Internet R2 R1 VPN建立“保护”网络实体之间的通信 使用加密技术防止数据被窃听 数据完整性验证防止数据被破坏、篡改 通过认证机制确认身份，防止数据被截获、回放 VPN的定义2-2 Internet vpn隧道 R1 R2 传输模式 封装模式相对简单，传输效率较高 IP包头未被保护 VPN的连接模式2-1 Internet A B IP包头 有效载荷 IP包头 VPN头 有效载荷 VPN尾 IP包头 VPN头 有效载荷 VPN尾 IP包头 VPN头 IP包头 有效载荷 隧道模式 IP包头被保护 VPN的连接模式2-2 新IP头 VPN头 IP包头 有效载荷 VPN尾 新IP头 VPN头 Internet A B IP包头 有效载荷 被保护的 新IP头 VPN头 IP包头 有效载荷 VPN尾 VPN尾 站点到站点VPN VPN的类型2-1 Internet Internet 远程访问VPN VPN的类型2-2 Internet Internet 加密算法 对称加密算法 非对称加密算法 密钥交换 数据报文验证 HMAC MD5和SHA VPN技术 对称加密算法 DES 3DES AES 加密算法4-1 Internet 明文数据“m” ②加密函数 E (k，m) = c ③解密函数 D (k，c) = m 明文数据“m” ①共享密钥k 密文数据“c” 非对称加密算法的原理 DH算法（Diffie-Hellman，迪菲-赫尔曼） 加密算法4-2 Internet ②公钥加密 E (p，m) = c ③私钥解密 D (q，c) = m ① 将公钥给对方 明文数据“m” 密文数据“c” 明文数据“m” 私钥始终未在网上传输 加密算法4-3 密钥交换 带外共享 带内共享 IKE（Internet Key Exchange）因特网密钥交换协议 Internet 共享密钥key Exchange 问题 使用对称加密算法，密钥可能被窃听 使用非对称加密算法，计算复杂，效率太低，影响传输速度 解决方案 通过非对称加密算法加密对称加密算法的密钥 然后再用对称加密算法加密实际要传输的数据 加密算法的应用4-4 HMAC 实现数据完整性验证 实现身份验证 数据报文验证 数字签名 Internet A B B +K1 加密后的数据“d” 数字签名 Hash算法 加密后的数据 数字签名 +K1 加密后的数据 +K1 Hash算法 是否 相同 如果数据被篡改将无法得到相同的数字签名 HMAC MD5 SHA 请思考： 简述VPN的连接模式有哪些？区别是什么？ 简述VPN的类型有哪些？ 简述常见的对称加密算法有哪些？哪种更安全？ 小结 建立IPSec VPN连接需要3个步骤： 流量触发IPSec 建立管理连接 建立数据连接 IPSec连接 Internet B A 阶段1的三个任务 协商采用何种方式建立管理连接 通过DH算法共享密钥信息 对等体彼此进行身份验证 ISAKMP/IKE阶段1 Internet 传输集A …… …… A B 传输集B …… …… 比对 1.加密算法 2.HMAC功能 3.设备验证的类型 4.DH密钥组 5.管理连接的生存周期 预共享密钥 预共享密钥 共享密钥 共享密钥 DH算法 使用密钥加密用户身份信息 使用密钥和用户信息通过hash算法计算数字签名 对方比对数字签名确认身份 配置安全策略 ISAKMP/IKE阶段1的配置2-1 Internet Router(config)#crypto isakmp policy priority Router(config-isakmp)#encryption { des | 3des | aes } Router(config-isakmp)#hash { sha | md5 } Router(config-isakmp)#authentication pre-share Router(config-isa