网络安全架构设计和网络安全设备的部署.pptVIP

* IPSEC 协议集 回顾 IPsec基本原理 对报文进行安全封装后再在不可信赖网络上传输并检查和解除接收到的报文的安全封装 IPSec 认证－AH协议 IPSec 加密－ESP协议 安全联盟简称SA，是构成IPSec的基础 IKE（Internet Key Exchange）是一个密钥协商协议； * IPSec技术疑难 穿越NAT问题 关于MTU问题 ？ * IPSec为啥不能穿越NAT NAT只对TCP、UDP、ICMP有效，IPSec报文是AH、ESP协议的，因此NAT无法正确处理这两类的报文，导致IPSec 报文无法穿透NAT设备。 AH的目的是保护IP头部中不变的区域(包括地址域)，而NAT必须转换地址，从而使AH完整性检验失效。 因此，NAT和AH从根本上就是不兼容的。在IPSec-NAT兼容性方案中，没有必要支持AH。 VPN 1 VPN 2 AH校验＝A NAT 再次AH校验＝B A 不相等，校验失败 发起方 接收方 操作提示：当VPN的应用中存在NAT环境时，请不要选择AH算法。 * IPSec对数据包的处理 TCP层产生的或者需要转发的数据包 安全关联？ 处理策略？ 查询SPD 丢弃 绕过IPSec 应用IPSec，查询SAD SA不存在或SA无效 进行IPSec处理添加IPSec头 SA有效 添加IP头，送到IP层发送队列 返回 丢弃数据包，记录出错信息 协商成功？ 启动IKE协商 否 是 * SA的管理 SA管理的两大任务 创建 先协商SA参数，再用SA更新SADB 删除 SA管理方式 手工进行 通过Internet密钥交换协议来完成，如IKE * IPSec两种安全机制 IPSec提供了两种安全机制：认证和加密。 认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改； 加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。 AH定义了认证的应用方法，提供数据源认证和完整性保证； ESP定义了加密和可选认证的应用方法，提供可靠性保证。 IKE的作用是协助进行安全管理，它在IPSec 进行处理过程中对身份进行鉴别，同时进行安全策略的协商和处理会话密钥的交换工作。 * IP认证包头AH AH协议提供无连接的完整性、数据源认证和抗重发保护服务，但不提供保密性服务。它能保护通信免受篡改，但不能防止窃听，适用于传输非机密数据。AH在每一个数据包上添加一个身份验证包头。 IP头 IPSec AH头 传输层头（TCP/UDP） 数 据 下一个包头 长度 保留 安全参数索引(SPI) 序列号 认证数据 * AH包头字段 下一个包头(Next Header，8位)：标识紧跟AH头后面使用IP协议号的包头； 载荷长度(Payload Len，8位)：AH包头长度； 保留（Reserved，16位）：为将来的应用保留，（目前为0）； 安全参数索引 (SPI，32位)：与目的 IP 地址一同标识SA； 序列号(Sequence Number Field，32位)：从1开始的32位单增序列号，不允许重复，唯一地标识每一个发送的数据包，为SA提供反重发保护。 认证数据(Authentication Data，长度可变)：包含完整性检查和。 * VPN技术及应用简介- IPSEC 通道模式的AH报文 * IP封装安全负载ESP ESP为IP包提供完整性检查、认证和加密。它使用HMAC-MD5或HMAC-SHA-1算法对IP进行认证。为了保证各种IPSec之间实现互操作性，目前ESP必须提供对56位DES算法的支持。ESP可以单独使用，也可以和AH结合使用。 安全参数索引 序列号 （SPI） IP头 IPSec ESP 头 传输层头（TCP/UDP） 数据 ESP尾 ESP 认证尾 认证数据 填充域 填充域 下一个 长度 包头 * ESP包头字段 安全参数索引SPI(Security Parameters Index)：同AH； 序列号(Sequence Number)：同AH； 填充域(Padding)：0-255个字节。用来保证加密数据部分满足块加密的长度要求，若数据长度不足，则填充； 填充域长度(Padding Length)：接收端根据该字段长度去除数据中的填充位； 下一个包头(Next Header)：同AH； 认证数据