ip安全培训课程.pdfVIP

一、IPSec概述

1.IPSec的应用

通过互联网平安分支机构接入

通过互联网进行平安远程访问

与合作者建立企业间联网和企业内联网接入

加强电子商务平安性

2.IPSec的好处

IPSec有以下优点：

当在路由器和防火墙中使用IPSec时，它对通过其边界

的所有通信流提供了强平安性。公司或者工作组内部

的通信不会引起与平安相关的开销。

放火墙内的IPSec能在所有的外部流量必须使用IP时阻

止旁路，因为防火墙是从互联网进入组织内部的唯一

通道。

IPSec位于传输层〔TCP、UDP〕之下，所以对所有的应

用都是透明的。因此当防火墙或者路由器使用IPSec时，

没有必要对用户系统和效劳器系统的软件做任何改变。

即使终端系统中使用IPSec，上层软件和应用也不会受

到影响。

nIPSec可以对终端用户是透明的。不需要对用户进行平

安机制的培训，如分发基于每个用户的密匙资料〔

keyingmaterial〕，或者在用户离开组织时撤销密匙资

料。

n假设有必要的话，IPSec能给个人用户提供平安性。这

对网外员工非常有用，它对在敏感的应用领域中组

一个平安虚拟子网络也是有用的。

3、IPSec体系结构

包括以下几个根本局部：AH〔AuthenticationHeader，认证报头〕、

ESP〔EncapsulatingSecurityPayload，封装平安载荷〕、IKE〔

InternetKeyManagement，密钥交换协议〕、SA〔Security

Association，平安关联〕、DOI〔DomainofInterpretation，解

释域〕、认证和加密算法。

SA是IPSec的根底，决定通信中采用的IPSec平安协议、散列方式、加

密算法和密钥等平安参数，通常用一个三元组〔平安参数索引、目

的IP地址、平安协议〕唯一表示。SA总是成对出现的，对等存在于

两端的通信实体，是通信双方协商的结果。

AH为IP数据报的IP头和上层协议数据提供完整性检查与数据源认证，

并防止重放攻击。AH不提供数据加密效劳。

ESP提供数据内容的加密，根据用户平安要求，ESP既可以用于加密IP

数据报的内容〔如：TCP、UDP、ICMP、IGMP〕，也可以用于加密整

个IP数据报。作为可选项，ESP也可以提供AH的认证效劳。

4.IPSec效劳

数据加密

IPSec的数据加密效劳由ESP〔EncapsulatingSecurityPayload，

封装平安载荷〕提供，算法采用CBC〔CipherBlockChaining，

加密块链接〕方式，这样确保了即使信息在传输过程中被窃听，

非法用户也无法得知信息的真实内容。

数据源地址验证、数据完整性检查

IPSec使用HMAC〔Hash-BaseMessageAuthenticationCode〕进行

数据验证。HMAC是使用单向散列函数对包中源IP地址、数据内容

等在传输过程中不变的字段计算出来的，具有唯一性。数据如果

在传输过程中发生改动，在接收端就无法通过验证。

防止重放攻击

IPSec使用AH〔AuthenticationHeader，认证头〕为每个SA〔

SecurityAssociation，平安关联〕建立系列号，而接收端采用

滑动窗口技术，丢弃所有的重复的包，因此可以防止重放攻击。

5.IPSec的工作模式

AH和ESP都支持两种使用模式：传输模式和隧道模式。

传输模式通常应用于主机之间端对端通信，该模式要求主

机支持IPSec。

隧道模式应用于网关模式中，即在主机的网关〔防火墙、

路由器〕上加载IPSec，这个网关就同时升级为SG〔

SecurityGateway，平安网关〕。

n传输模式主要为上层协议提供保护，AH或ESP报头插入在IP报

头和传输层协议报头之间。

隧道模式，整个IP包都封装在一个新的IP包中，并在新的IP报头和原来

的IP报头之间插入IPSec头〔AH/ESP〕。

传输模式下的AH和ESP都没有对IP报头进行封装，隧道模式下整个IP包都

被封装了。当采用ESP进行数据加密时，原始IP报头中的源地址和目的地

址都被隐藏起来，具有更好的平安性。