网络安全项目二任务四 Site IpsecVlan配置.pptVIP

ISAKMP（Internet Security Association and Key Management Protocol）： Internet安全关联和密钥管理协议。　　一种协议框架，定义了有效负载的格式、实现密钥交换协议的机制以及SA协商。 * 1．传输模式 传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性。当数据包从传输层传送给网络层时，AH协议和ESP协议会进行拦截，在IP头与上层协 议之间需插入一个IPSec头。当同时应用AH协议和ESP协议到传输模式时，应该先应用ESP协议，再应用AH协议。通常当ESP在一台主机（客户机或服务器）上 实现时使用，传输模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。 2．隧道模式 另一种方式为隧道模式，隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。将整个IP数据包进行封装(称为内部IP头)，然后增加一个IP头( 称为外部IP头)，并在外部与内部IP头之间插入一个IPSec头。隧道模式处理整个IP数据包：包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址 加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。 * AH（Authentication Header，认证头）协议：设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务，但是AH不提供任何保密性服务。IPSec验证报头AH是个用于提供IP数据报完整性、身份认证和可选的抗重传攻击的机制，但是不提供数据机密性保护。 验证报头的认证算法有两种： 一种是基于对称加密算法（如DES），另一种是基于单向哈希算法（如MD5或SHA-1）。 验证报头的工作方式有传输模式和隧道模式。传输模式只对上层协议数据（传输层数据）和IP头中的固定字段提供认证保护，把AH插在IP报头的后面，主要适合于主机实现。隧道模式把需要保护的IP包封装在新的IP包中，作为新报文的载荷， 然后把AH插在新的IP报头的后面。隧道模式对整个IP数据报提供认证保护。 AH协议的协议分配数为51，它和ESP同时保护数据，在顺序上，AH协议在ESP之后。 鉴别首部是由下面的字段组成的： （1）下一个首部(8比特)：标识了紧跟着这个首部的下—个首部的类型。 （2）裁荷长度(8比特)：整个AH的长度减2，长度以32位为单位。 （3）保留(16比特)；为了将来使用。 （4）安全参数索引(32比特)；标识了—个安全关联。 （5）序号(32比持)：一个单调递增的计数器的值，在后面讨论。 （6）安全参数索引(32位)与外部IP头的目的地址一起标志对这个报文进行身份验证和完整性校验的安全关联。序列号(32位)是一个单向递增的计数器，提供抗重播功能。 * ESP（Encapsulate Security Payload，封装安全载荷）协议：封装安全载荷（ESP）用于提高Internet协议（IP）协议的安全性。它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。ESP属于IPSec的机密性服务。其中，数据机密性是ESP的基本功能，而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。ESP主要支持IP数据包的机密性，它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。 ESP的头部组成 它包含了下面一些字段： （1）安全参数索引(32比特)：标识了一个安全关联。 （2）序号(32比特)：一个单调递增的计数器的值；和AH讨论的一样，提供了反重放功能。 （3）有效载荷数据(可变)：这是通过加密保护的传输级报文段(传输方式)或IP分组(隧道方式)。 （4）填充(0--255字节)：长度由具体的加密算法决定。 （5）填充长度(8比特)：指出在这个字段前面填充字节的数目。 （6）下一个首部(8比特)：表示受ESP保护的载荷的类型。在传输模式下可能是6(TCP)或者17(UDP)；在隧道模式下可能是5(IPv4)或者41(IPv6)。 （7）验证数据(可变)：一个包含了完整性检查值的可变长度字段(必须是32bit字的整数倍)，完整性检查值是通过在ESP分组减去鉴别数据字段上计算得来的。 * 1．传输模式 传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性。当数据包从传输层传送给网络层时，AH协议和ESP协议会进行拦截，在IP头与上层协 议之间需插入一个IPSec头。当同时应用AH协议和ESP协议到传输模式时，应该先应用ESP协议，再应用AH协议。通常当ESP在一台主机（客户机或服务器）上 实现时使用，传输模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。 * 2．隧