配置ipsec

ipsec是一种开放的,有因特网工程任务组(IETF)开发的开放标准。ipsec为在未经保护的网络(如internet)上传输敏感信息提供安全。ipsec工作在网络层,在多个ipsec设备(peer,就是所谓的对等体,如cisco router们)间保护和认证ip包。
ipsec提供以下网络安全服务,这些服务是可选的,大体上,本地安全策略将指定以下一个或者多个这些服务:
-数据机密性:ipsec发送者在发送 包穿过网络之前能够加密包。
-数据完整性:ipsec接收者可以认证由ipsec发送者发送的包来确定在传输过程中没有被更改。
-数据起源验证:ipsec接收这可以验证发送ipsec数据包的源。这项服务是依赖于数据完整性服务的。
-反重放:ipsec接收者可以检测和驳回重放的包。
注意:认证(authentication)这个术语主要指的是数据完整性和数据起源验证。
使用ipsec,数据可以在公网上无欺骗,无人干涉的传输。这开启了叫做vpn的应用,包括intranets(企业内部网),extranets(企业外部网),和远程用户访问。

支持的标准:
cisco实施以下这些标准和特性:
ipsec-ip security protocol.ipsec是一个开放标准的提供对等体之间数据机密性数据完整性和数据验证的框架。ipsec在ip层提供这些安全服务,它使用ike来处理协议协商和基于本地策略的算法,以及生成加密和ipsec要使用的认证key。ipsec可以用来保护一对主机之间、主机和主机之间、网关之间的一个或者多个数据流。
注意:ipsec这个术语有时候用来描述整个ipsec数据服务和ike安全协议或者只描述数据服务。
ipse的文档是一系列的Internet Drafts, 全在这里可用: http://www.ietf.org/html.charters/ipsec-charter.html.
全面ipsec实施Security Architecture for the Internet Protocol Internet Draft

(RFC2401). cisco ios ipsec实施RFC 2402 (IP Authentication Header)以及RFC 2410 (The NULL Encryption Algorithm and Its Use With IPSec).
因特网钥匙交换(ike,internet key exchange)--一种混合协议,实施OaKley和SKEME 在isakmp框架进行钥匙交换。而且ike可以和其他协议混着用,他的出示实施使用ipsec协议。ike提供ipsec对等体认证,协商ipsec安全关联,和完成ipsec keys。

ipsec技术实施需要以下零件:
-des:数据加密标准(the data encryption standard)用来加密包数据。

cisco ios 强制带有Explicit IV的56位des-cbc。
cisco ios也能实施3重des(168位),加密,依赖于可用的指定平台的软件版本。3des是一种很强的加密模式,它开启了可订制的网络层加密。
-md5(hmac变量):md5(message digest 5)是一种哈希算法。hmac是键入的用来验证数据的哈希变量。
-sha(hmac变量):sha(sercure hash algorithem)是一种哈希算法。mac是键入的用来验证数据的哈希变量。
ipsec要使实施在cisco ios软件中,就支持以下附加标准:
-AH:认证头(authenticaiton header).一个提供数据认证和可选反回放服务的安全协议。ah镶嵌在数据协议来进行保护(整个ip数据报文).
-esp:封装安全净载。一种提供数据私有服务和可选数据认证的支持反回放的

安全协议。esp保护数据部分。
术语列表
反回放(anti-relay)
反回放是一种接受者可以驳回过期的或者重复的包的安全服务,这能保护它防止受到回放攻击。ipsec提供这项可选的服务,以数据认证和序列号混合使用。cisco ios ipsec提供,随时提供数据认证服务,除非:
手动连接安全关联这项服务不可用。
数据验证:
数据验证包括以下两个概念:
数据完整性:校验数据是否被更改。
数据起源验证(校验数据是否是真的发送者发送的)
数据认证可以提及完整性,或者两个的集合。
数据机密性:
数据机密性是保护数据不被窃听,偷取的安全服务。

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 配置ipsec

    ipsec是一种开放的,有因特网工程任务组(IETF)开发的开放标准.ipsec为在未经保护的网络(如internet)上传输敏感信息提供安全.ipsec工作在网络层,在多个ipsec设备(peer,就是所谓的对等体,如cisco router们)间保护和认证ip包.ipsec提供以下网络安全服务,这些服务是可选的,大体上,本地安全策略将指定以下一个或者多个这些服务:-数据机密性:ipsec发送者在发送 包穿过网络之前能够加密包.-数据完整性:ipsec接收者可以认证由ipsec发送者发送的包来

  • CMD下的网络安全配置方法

    自带的关于网络的命令行工具很多,比如大家熟悉的ping,tracert,ipconfig,telnet,ftp,tftp,netstat,还有不太熟悉的nbtstat,pathping,nslookup,finger,route,netsh...... 这些命令又可分成三类:网络检测(如ping).网络连接(如telnet)和网络配置(如netsh).前面两种相对简单,本文只介绍两个网络配置工具. netsh 在远程shell中使用netsh首先要解决一个交互方式的问题.前面说过,很多shell

  • 安全工具netsh IPSec使用方法[ip安全策略]

    netsh ipsec 使用方法 在命令行下,通过netsh ipsec static来配置IPSEC安全策略.前提是IPSEC服务已经打开. 一个IPSEC由一个或者多个规则组成:一个规则有一个IP筛选器列表和一个相应的筛选器操作组成:这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成,因此配置IPSEC的时候必须分步进行.规则由筛选器列表和筛选器操作构成.而且存放在策略里,策略器由策略器列表来存储,这样就决定了一个步骤:建立空的安全策略

  • 在Windows与Linux下禁止被ping的设置方法[推荐]

    在Windows与Linux下禁止被ping的设置方法[推荐]

    LINUX下禁止ping命令的使用 以root进入Linux系统,然后编辑文件icmp_echo_ignore_allvi /proc/sys/net/ipv4/icmp_echo_ignore_all将其值改为1后为禁止PING将其值改为0后为解除禁止PING 直接修改会提示错误: WARNING: The file has been changed since reading it!!!Do you really want to write to it (y/n)?y"icmp_echo_i

  • VPN实验小结

    网络上关于vpn的原理的文章很多,这里就不再罗嗦了. 下面是我最近做vpn实验的小结: (一)vpn access server的配置 实验网络拓扑: pc(vpn client 4.01)---switch---router1720 (vpn access server) pc配置: ip:10.130.23.242/28 1720接口ip: f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin

  • win2003服务器通过ipsec做防火墙的配置方法

    windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因此使用ipsec进行访问控制 在windows2003下是可以通过命令 netsh ipsec进行操作 命令的语法:http://technet.microsoft.com/zh-cn/library/cc739550(v=ws.10).aspx#BKMK_add_rule 1.删除所有安全策略 netsh ipsec static del all 2.建立策略test netsh ipse

  • win2008内置防火墙配置方法说明

    而随着Windows Server 2008的日渐向我们走近,其内置的防火墙功能得到了巨大的改进.下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统,以及如何使用管理控制台单元来配置它. 为什么你应该使用这个Windows的基于主机的防火墙? 今天许多公司正在使用外置安全硬件的方式来加固它们的网络. 这意味着,它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁,保护它们自然免受互联网上恶意攻击者的入侵.但是,如果一个攻击者能够攻 破外围的防线,从而获得对内部网络的访问,

  • Windows服务器安全配置

    服务器安全配置(只针对WIN系统) 一. 原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁 修改3389 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d,这个是16进制,就是3389啦,我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们

  • CMD下的网络安全配置方法第1/3页

    自带的关于网络的命令行工具很多,比如大家熟悉的ping,tracert,ipconfig,telnet,ftp,tftp,netstat,还有不太熟悉的nbtstat,pathping,nslookup,finger,route,netsh...... 这些命令又可分成三类:网络检测(如ping).网络连接(如telnet)和网络配置(如netsh).前面两种相对简单,本文只介绍两个网络配置工具. netsh 在远程shell中使用netsh首先要解决一个交互方式的问题.前面说过,很多shell

  • WIN2003服务器安全配置终极技巧第1/6页

    WIN2003服务器安全配置终极技巧第1/6页

    网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端bt的2003服务器的安全配置,让更多的网管朋友高枕无忧. 我们配置的服务器需要提供支持的组件如下:(ASP.ASPX.CGI.PHP.FSO.JMAIL.MySql.SMTP.POP3.FTP.3389终端服务.远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配

随机推荐