第四章 防火墙VPN高级应用.pptx

本页不打印课程编码适用产品产品版本课程版本ISSUEXXXXXXXXXXXXXXXXX开发/优化者时间审核人开发类型（新开发/优化）XXXXXXXXXXXXXX第四章 防火墙VPN高级应用目标学完本课程后，您将能够:掌握IPSec VPN高级特性及配置掌握L2TP over IPSEC VPN高级特性及配置掌握防火墙VPN综合应用场景目录IPSec VPN高级应用介绍1.1IPSec VPN基础知识回顾1.2 IPSec VPN高级应用场景分析1.3 IPSec VPN高级应用典型配置接口与协议防火墙VPN综合应用分析基于策略的安全保护在IP层对数据保护对于上层应用是透明；对于底层通信没有任何特殊要求。定义安全保护的粒度；可以灵活的制订策略满足复杂的安全需求。IPSec VPN的特点IPSec (Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务。IPSec可以提供：访问控制无连接的完整性、数据来源验证防重放机密性（加密）IPSec使用的密钥技术预置共享密钥认证用于对一次通信的认证基于电子证书的公钥认证用于通信对等体的认证保障通信的私密性Diffie-Hellman算法用于交换密钥材料动态密钥更新用于增强密钥的安全性安全联盟（Security Association）安全联盟（Security Association，SA ）SA是两个通信实体协商建立起来的一种协定。它决定了用来保护数据包安全的IPSec 协议、密钥以及密钥的有效存在时间等。SA是单向的：In和Out方向各需要一个SA与协议相关：每个安全协议各需要一个SA创建方式：手工、IKE协商安全参数索引（SPI）转换方式（Transform Mode）安全联盟生存时间（Life Time）安全联盟四要素安全策略 Internet Key Exchange(IKE) Authentication Header(AH) 安全协议Encapsulating Security Payload(ESP) IPSec VPN安全协议与封装模式IPSec封装模式传输模式（Transport Mode）保护IP层以上的信息隧道模式（Tunnel Mode）保护整个数据包原始IP报文IP头TCP头数据IP头TCP头数据IPSec头传输模式隧道模式IP头TCP头数据IPSec头IP头AH or ESP and AH+ESPAH+ESP的应用同时应用时应该首先采用ESPAH对整个报文进行验证ESP只对IP层以上信息进行验证AH与ESP的区别功能AH只提供认证，不提供加密功能ESP可以提供认证和加密认证强度AH认证强于ESPAH可以对报头和有效载荷进行认证ESP只对有效载荷进行认证IKE概述IKE应用分析IKE协商过程IPSec使用IKE用于SA协商IKE不是IPSec专有协议IKE是一个混合协议，它沿用了ISAKMP的基础、Oakley的模式以及SKEME的共享和密钥更新技术。IKE实现在不信任的网络中交换材料生成密钥。IKE华为支持V1、V2版本，相互不兼容。IKE协商分为两个阶段:IKE第一阶段：协商为第二阶段提供保护的SA主模式：6个消息交互野蛮模式：3个消息交互IKE第二阶段：协商为数据提供保护的SA快速模式3个消息交互Peer 1Peer 2确认对方使用的算法发送本地IKE策略发起方策略 查找匹配的策略 接收方确认的策略接受对端确认的策略SA 交换产生密钥发起方的密钥生成信息密钥生成接收方的密钥生成信息密钥交换密钥生成验证对方身份发起方身份和验证数据ID验证和交换过程验证接收方身份和验证数据ID交换与验证ID验证和交换过程验证野蛮模式与主模式的区别主模式协商过程Peer 1Peer 2IPsec提议、转换方式、DH密钥、临时值和发起方ID信息发起方接收方同消息1,接收方认证Hash发起方认证Hash野蛮模式与主模式的区别野蛮模式协商过程目录IPSec VPN高级应用介绍1.1 IPSec VPN基础知识回顾1.2 IPSec VPN高级应用场景分析1.3 IPSec VPN高级应用典型配置接口与协议防火墙VPN综合应用分析IPSec策略模板应用场景分析某外贸公司总部在北京，在上海有分支机构，在成都有办事处。北京总部防火墙和上海分部有固定公网IP地址，成都办事处防火墙通过运营商的ADSL拨号接入公网，IP地址不固定。IPSec DPDDPD(RFC3706)用于IPSec邻居状态的检测。启动DPD功能后，当接收端长时间收不到对端的IPSec加密报文时，能够触发DPD查询，主动向对端发送请求报文，对IKE Peer是否存在进行检测。DPD功能intervaltime：触发DPD查询的间隔时间，该时间指明隔多久没有收到对端IPSec报文时触发