USG系列防火墙服务代理商培训胶片6-防火墙IPSEC特性课件.pptx

IPsec 培训;目录;一、IPsec概述;目录;二、IPsec的基础知识;二、IPsec的基础知识;二、IPsec的基础知识;二、IPsec的基础知识;二、IPsec的基础知识;二、IPsec的基础知识;3、IPsec的两种封装模式：传输模式和隧道模式 3.3 两种模式的应用场景  从这张图的对比可以看出：1）????隧道模式可以适用于任何场景。2）???传输模式只能适合PC到PC的场景。 隧道模式虽然可以适用于任何场景，但是隧道模式需要多一层IP头（通常为20字节长度）开销，所以在PC到PC的场， 建议还是使用传输模式。  ;3、IPsec的两种封装模式：传输模式和隧道模式 3.4、为何在Site-to-Site场景中只能使用隧道模式？   ;3、IPsec的两种封装模式：传输模式和隧道模式 3.5、为何在Site-to-Site场景中只能使用隧道模式？ 如上页组网所示，如果发起方内网PC发往响应方内网PC的流量满足网关的兴趣流匹配条件，发起方使用传输模式进行封装：1）.??????IPSec会话建立在发起方、响应方两个网关之间。2）.??????由于使用传输模式，所以IP头部并不会有任何变化，IP源地址是，目的地址是。3）.??????这个数据包发到互联网后，其命运注定是杯具的，为什么这么讲，就因为其目的地址是吗？这并不是根源，根源在于互联网并不会维护企业网络的路由，所以丢弃的可能性很大。4）.??????即使数据包没有在互联网中丢弃，并且幸运地抵达了响应方网关，那么我们指望响应方网关进行解密工作吗？凭什么，的确没什么好的凭据，数据包的目的地址是内网PC的，所以直接转发了事。5）.??????最杯具的是响应方内网PC收到数据包了，因为没有参与IPSec会话的协商会议，没有对应的SA，这个数据包无法解密，而被丢弃。利用这个反证法，巧妙地解释了在Site-to-Site情况下不能使用传输模式的原因。并且提出了使用传输模式的充要条件：兴趣流必须完全在发起方、响应方IP地址范围内的流量。比如在图中，发起方IP地址为，响应方IP地址为，那么兴趣流可以是源 /32、目的是/32，协议可以是任意的，倘若数据包的源、目的IP地址稍有不同，对不起，请使用隧道模式。   ;二、IPsec的基础知识;二、IPsec的基础知识;二、IPsec的基础知识;5、安全联盟（Security Association，SA） ： SA 是IPsec 的基础，也是IPsec 的本质，SA 是通信对等体间对某些要素的约定。 例如，使用哪种协议（AH、ESP 还是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法（DES、 3DES 和AES）、特定流中保护数据的共享密钥以及密钥的生存周期等。 SA 由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter Index，安全参数索引）、目的IP 地址 、安全协议号（AH 或ESP）。 IKE 协商建立的SA 的生存周期有两种定义方式： 基于时间的生存周期，定义了一个 SA 从建立到失效的时间； 基于流量的生存周期，定义了一个 SA 允许处理的最大流量。 生存周期到达指定的时间或指定的流量，SA 就会失效。SA 失效前，IKE 将为IPsec协商建立新的SA，这样，在旧的 SA 失效前新的SA 就已经准备好。在新的SA 开始协商而没有协商好之前，继续使用旧的SA 保护通信。在新的SA 协商 好之后，则立即采用新的SA 保护通信。  ;6、IKE（ Internet Key Exchange，因特网密钥交换）： 实施 IPsec 的过程中，可以使用IKE协议来建立SA， IKE 为IPsec 提供了自动协商交换密钥、建立SA 的服务，能够简化IPsec 的使用和管理，大大简化IPsec 的配置和维护工作。 IKE 不是在网络上直接传输密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，并且即使第三者截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。 IKE 使用了两个阶段为IPsec 进行密钥协商并建立SA： (1) 第一阶段，通信各方彼此间建立了一个已通过身份认证和安全保护的通道，即建立一个ISAKMP SA。第一阶段有主模式（Main Mode）和野蛮模式（Aggressive Mode）两种IKE 交换方法。 (2) 第二阶段，用在第一阶段建立的安全隧道为IPsec 协商安全服务，即为IP