共享网络的入侵检测部署IDSSensorConsoleHUBMonitoredServers.ppt

* IPSec技术疑难 穿越NAT问题 关于MTU问题 * IPSec为啥不能穿越NAT NAT只对TCP、UDP、ICMP有效，IPSec报文是AH、ESP协议的，因此NAT无法正确处理这两类的报文，导致IPSec 报文无法穿透NAT设备。 AH的目的是保护IP头部中不变的区域(包括地址域)，而NAT必须转换地址，从而使AH完整性检验失效。 因此，NAT和AH从根本上就是不兼容的。在IPSec-NAT兼容性方案中，没有必要支持AH。 VPN 1 VPN 2 AH校验＝A NAT 再次AH校验＝B A 不相等，校验失败 发起方 接收方 操作提示：当VPN的应用中存在NAT环境时，请不要选择AH算法。 * IPSec如何实现NAT穿越 UDP封装 ESP 传输模式下 ESP 隧道模式下 * 双边NAT环境如何实现穿越 网络中出现双边NAT环境时，必须依靠第三方VPN，通过隧道接力功能实现VPN互通。 如下图，VPN1建立和VPN3的隧道，VPN2建立和VPN3的隧道。当VPN1访问VPN2时，VPN1的数据先发送给VPN3，由VPN3转发给VPN2。 VPN 1 NAT NAT VPN 2 VPN 3 隧道接力 VPN隧道 数据传输 * IPSec与MTU IPSec封装会引入了额外的头（一般100 bytes左右），这样就会使原来的报文变大（1500+100=1600 bytes），因此会造成分片。 分片的缺点： 分片降低传输性能； 某些低端路由器芯片，对NAT后的UDP分片报文处理不好，导致报文丢失，使得IPSec报文无法还原。 产品实现 VPN客户端提供设置MTU值的小工具，可修改范围是576至1500。 目前系统提供默认值1414，这是经过多次反复的测试，性能很好的一个值。 * IPSec工作过程概述（1） IPSec为两个IPSec对等体，例如两台设备，提供安全通道。由用户定义哪些是需要保护的敏感数据流，并将由安全通道进行传送，并且通过指定这些通道的参数来定义用于保护这些敏感包的参数，当IPSec看到这样的一个敏感包时，它将建立起相应的安全通道，通过这条安全通道将这个数据报传送到远端对等体。 定义敏感数据流的工作可以由配置访问列表的方式来实现，基于访问列表中的源目的地址和协议以及端口来描述要保护的敏感数据流。配置好访问列表，使用加密映射集将这些访问列表应用到接口上，可以使接口对进出的特定数据流进行保护。 * IPSec工作过程概述（2） 一个加密映射集合可以有多个条目，每一个对应一个不同的访问列表，设备按顺序查找与当前通讯流匹配的条目。当某个包匹配特定访问列表中的一个permit项时，如果加密映射条目被标记为ipsec-manual，则IPSec直接被触发，对数据流进行安全处理；如果加密映射条目标记为ipsec-isakmp， 如IPSec安全联盟已经建立，则直接对数据进行IPSec保护，否则会自动触发IKE协商产生IPSec的安全联盟。如果用户没有正确配置IPSec或IKE参数，导致安全联盟无法建立，数据包将丢失。 * IPSec工作过程概述（3） 安全联盟一旦建立，外出数据包被IPSec加密或填写验证信息后送出，被传递到对等体；对于对等体该数据包为进入包，查找对应的安全联盟，并对此包实施相应解密、验证后还原。 加密映射条目还指定了变换集，变换集中定义了IPSec采用的算法、协议模式等的组合。两个IPSec对等体必须最终采用一致的转换集，才能进行有效的通讯。 * IPSec配置任务（1） IPSec配置任务的最终目的是为了建立IPSec安全联盟，IPSec安全联盟可以由手工方式建立也可以由IKE协商建立。 手工配置无须IKE介入，但需要指定更多的参数，安全性低；IKE协商安全联盟除了对IPSec参数进行配置外还要对IKE参数进行配置，安全性较高。 * IPSec配置任务（2） 配置默认生命周期(可选)：这是个可选步骤，可以通过这条命令来修改系统默认的生命周期值。若无特别说明，IKE将采用该生命周期值进行协商，从而使IPSec的生命周期将不会超过默认生命周期的长度。 创建加密访问列表：配置加密访问列表就是告诉设备，要保护什么样的数据流。IPSec需要依靠加密访问列表对进出的数据包进行过滤，对匹配的外出数据进行IPSec保护，而对匹配的进入包则检查它的合法性。 定义变换集合：定义变换集合可以告诉设备，怎样保护数据流。变换集是特定安全协议和算法的组合，它指定了算法、安全协议和数据封装模式。用户需要对数据进行什么程度和要求的保护必须事先在这里定义对应的变换集合。 * IPSec配置任务（3） 创建加密映射条目：创建加密映射条目就是将先前定义的访问列表和变换集合关联起来，并定义密钥，对等体地址