linux课件第十一章节安全管理幻灯片.pptVIP

PPT研究院 POWERPOINT ACADEMY * * * * IPsec有两种使用形式： （1）传送模式。 对于AH（Authentication Header）传输模式，AH报头位于IP报头和数据之间，如图11-6所示。在这种模式下，鉴别的部分仅为数据， IP地址无法得到保护，有受到重播攻击的危险。 图 11-6 AH传输模式 ESP(Encapsulation Security Payload)的传送模式，ESP报头直接加在欲传送的数据前，这种模式可节省频宽。如图11-7所示。 图11-7 ESP传输模式 （2）隧道模式。使用 IPSec 隧道模式时，IPSec对IP报头和有效负载进行加密，而传输模式只对IP有效负载进行加密。通过将其当作AH或ESP有效负载，隧道模式提供对整个IP数据包的保护。外部IP报头的IP地址是隧道终结点，封装的IP报头的IP地址是最终源地址与目标地址。如图11-8和11-9所示。 图11-8 AH隧道模式 图11-9 ESP隧道模式 IPsec协议的作用：一是保护IP数据包的内容，二是通过数据包筛选并实施受信任通讯来防御网络攻击。 IPsec的优点：定义了一套用于认证、保护私有性和完整性的标准协议。支持一系列加密算法如DES、三重DES(3DES)、Blowfish和IDEA等；检查传输的数据包的完整性，确保数据没有被修改；用来在多个防火墙和服务器之间提供安全性；可确保运行在TCP/IP协议上的VPNs之间的互操作性。 IPsec的缺点：在客户机/服务器模式下实现有一些问题，在实际应用中，需要公钥来完成；需要已知范围的IP地址或固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。除了TCP/IP协议外，IPSec不支持其他协议；除了包过滤之外，它没有指定其他的访问控制方法。 11.3.3 两种VPN设置方式 两种基于IPsec的VPN设置方式:主机到主机的VPN(Host to Host VPN,H2H VPN)和网络到网络的VPN(Network to Network VPN,N2N VPN)。 H2H VPN如图11-10所示： 图11-10 Host to Host VPN N2N VPN如图11-11所示 图11-11 Network to Network VPN 1. 主机到主机的VPN的设置 H2H VPN可以在两个系统之间建立加密连接，两个系统之间必需使用相同的认证密钥，否则连接不能建立。当H2H VPN连接激活后，两个之间之间的所有数据流量都被加密传输。 在设置VPN之前，通讯双方要事先商定好采用的密钥，双方配置的密钥必需相同。 所用连接如图11-11所示。VPN的设置要在物理机器上进行，不要远程进行。 图11-12 H2H连接实例 在Linux Serer A上做如下操作： （1）单击系统菜单“系统”|管理” |网络 ”，打开网络设置“网络配置”窗口，如图11-13所示。 也可以在终端窗口中输入“system-config-network”命令来打开该窗口。 图11-13 以太网卡设置 （2）在“网络配置”界面，选择“IPsec”选项卡，如图11-14所示。 图11-14 IPsec状态显示界面 （3）从“网络配置”工具栏中单击【新建】按钮，开始新建一个VPN连接，如图11-15所示。 图11-15 开始设置IPsec （4）在“IPsec 设置”窗口里输入的“别名”输入一个字符串，该名字主要是为VPN连接设置一个标识，注意这个标识不能和网络中存在的网络接口的名字重名，设置一个方便使用的名字即可。H2H VPN通信的主机不要求该名字是相同的。 如果要在计算机启动的时间自动激活VPN连接，则选中“当计算机启动时激活连接”项，如图11-16所示。 图11-16 为IPsec连接设置标识名 （5）选择VPN的类型，本节实例单击【主机到主机加密】按钮，如图11-17所示。 图11-17 选择VPN连接方式 （6）选择加密方式。如果单击了【使用固定密钥手工加密】按钮，则在后续步骤中需要输入一个加密密钥，本例就是选择了此选项；如果单击了【通过IKA(racoon)的加密模式自动选择】按钮，则racoon后台进程会自动管理加密密钥，前提是系统