VPN 概述 虚拟专用网络 (VPN) 连接在使用公共网络(如互联网)的终端之间建立安全隧道。 本章适用于 Cisco Secure Firewall Threat Defense 设备上的 远程访问和 站点到站点 VPN。它描述了互 联网协议安全 (IPsec)、互联网安全关联和密钥管理协议(ISAKMP 或 IKE)以及用于构建站点到站 点 和远程接入 VPN 的 SSL 标准。 • VPN 类型 ,第 1 页 • VPN 基础知识 ,第 2 页 • VPN 数据包流 ,第 4 页 • IPsec 流分流 ,第 4 页 • VPN 许可 ,第 5 页 • VPN 连接应具有多高的安全性? ,第 5 页 • 删除或弃用的散列算法、加密算法和 Diffie-Hellman 模数组 ,第 9 页 • VPN 拓扑选项 ,第 10 页 VPN 类型 管理中心 支持以下几种类型的 VPN 配置: • 威胁防御设备上的远程接入 VPN。 远程接入 VPN 是远程用户和您公司的专用网络之间的安全、加密连接或隧道。连接由 VPN 终 端设备组成,该设备是具有VPN客户端功能的工作站或移动设备,以及在企业专用网络边缘的 VPN 前端设备或安全网关。 Cisco Secure Firewall Threat Defense设备可以配置为通过 管理中心支持 SSL 或 IPsec IKEv2 上的 远程接入 VPN。它们作为此功能中的安全网关,将对远程用户进行身份验证、授权访问以及加 密数据,以提供与网络的安全连接。由 管理中心管理的其他任何类型的设备都不支持远程接入 VPN 连接。 CiscoSecureFirewall Threat Defense安全网关支持AnyConnect安全移动客户端完整隧道客户端。 为远程用户提供安全的SSL IPsec IKEv2连接需要此客户端。此客户端为远程用户提供了客户端 所带来的好处,而不需要网络管理员在远程计算机上安装和配置客户端,因为它可以在连接时 部署到客户端平台。它是终端设备上唯一受支持的客户端。威胁防御设备上的站点到站点 VPN 站点到站点VPN可连接不同地理位置的网络。您可以在受管设备之间以及受管设备与其他符合 所有相关标准的思科或第三方对等体之间创建站点到站点的IPsec连接。这些对等体可以采用内 部和外部 IPv4 和 IPv6 地址的任意组合。站点到站点隧道使用 InternetProtocolSecurity (IPsec) 协 议套件和 IKEv1 或 IKEv2 构建。建立 VPN 连接之后,本地网关后台的主机可通过安全 VPN 隧 道连接至远程网关后台的主机。 VPN 基础知识 借助隧道,可以使用互联网等公共TCP/IP网络在远程用户与企业专用网络之间创建安全连接。每个 安全连接都称为一个隧道。 基于 IPSec 的 VPN 技术通过互联网安全关联和密钥管理协议(ISAKMP 或 IKE)以及 IPSec 隧道标 准来建立和管理隧道。ISAKMP 和 IPSec 将完成以下操作: • 协商隧道参数。 • 建立隧道。 • 验证用户和数据。 • 管理安全密钥。 • 加密和解密数据。 • 管理隧道中的数据传输。 • 作为隧道终端或路由器管理入站和出站数据传输。 VPN 中的设备可用作双向隧道终端。它可以从专用网络接收明文数据包,将其封装,创建隧道,然 后发送到隧道的另一端,随后解封并发送到最终目标。它也会从公用网络接收封装数据包,将其解 封,然后发送给其在专用网络上的最终目标。 建立站点间 VPN 连接之后,本地网关后的主机可通过安全 VPN 隧道连接至远程网关后的主机。一 个连接由以下部分组成:这两个网关的IP地址和主机名、这两个网关后的子网,以及这两个网关用 来进行相互身份验证的方法。 互联网密钥交换 (IKE) 互联网密钥交换 (IKE) 是用于对 IPsec 对等体进行身份验证,协商和分发 IPsec 加密密钥以及自动建 立 IPsec 安全关联 (SA) 的密钥管理协议。 IKE 协商包含两个阶段。第 1 阶段协商两个 IKE 对等体之间的安全关联,使对等体能够在第 2 阶段 中安全通信。在第 2 阶段协商期间,IKE 为其他应用建立 SA,例如 IPsec。两个阶段在协商连接时 均使用提议。 IKE 策略是一组算法,供两个对等体用于保护它们之间的 IKE 协商。在各对等体商定公共(共享) IKE 策略后,即开始 IKE 协商。此策略声明哪些安全参数保护后续 IKE 协商。对于 IKE 版本 1
(IKEv1),IKE 策略包含单个算法集和模数组。与 IKEv1 不同,在 IKEv2 策略中,您可以选择多个算 法和模数组,对等体可以在第 1 阶段协商期间从中进行选择。可创建单个 IKE 策略,尽管您可能需 要不同的策略来向最需要的选项赋予更高优先级。对于站点间 VPN,您可以创建 IKE 策略。IKEv1 和 IKEv2 最多分别支持 20 个 IKE 策略,每个都有不同的值集。为您创建的每个策略分别分配一个 唯一的优先级。优先级数值越低,优先级就越高。 要定义 IKE 策略,请指定: • 唯一优先级(1 至 65,543,其中 1 为最高优先级)。 • 一种 IKE 协商加密方法,用于保护数据并确保隐私。 • 散列消息身份验证代码 (HMAC) 方法(在 IKEv2 中称为完整性算法),用于确保发送人身份, 以及确保消息在传输过程中未被修改。 • 对于 IKEv2,使用单独的伪随机函数 (PRF) 作为派生 IKEv2 隧道加密所要求的密钥内容和散列 运算的算法。这些选项与用于散列算法的选项相同。 • Diffie-Hellman 组,用于确定 encryption-key-determination 算法的强度。设备使用此算法派生加 密密钥和散列密钥。 • 身份验证方法,用于确保对等体的身份。 • 在更换加密密钥前,设备可使用该加密密钥的时间限制。 当 IKE 协商开始时,发起协商的对等体将其所有策略发送到远程对等体,然后远程对等体按优先级 顺序搜索其自己的策略的匹配项。如果 IKE 策略具有相同的加密、散列(完整性和用于 IKEv2 的 PRF)、身份验证和 Diffie-Hellman 值,而且 SA 生命周期小于或等于发送的策略中的生命周期,则 它们之间存在匹配。如果生命周期不相同,则应用远程对等体策略中较短的生命周期。默认情况下, Cisco Secure Firewall Management Center会为所有 VPN 终端部署优先级最低的 IKEv1 策略,以确保 成功协商。 IPSec IPsec 是设置 VPN 的最安全方法之一。IPsec 在 IP 数据包级别提供数据加密,提供一种基于标准的 强大的安全解决方案。使用IPsec,数据通过隧道在公共网络上传输。隧道是两个对等体之间安全的 逻辑通信路径。进入 IPsec 隧道的流量由安全协议和算法组合保护。 Ipsec 提议策略定义 IPsec 隧道所需的设置。Ipsec 提议是应用于设备上 VPN 接口的一个或多个加密 映射的集合。加密映射整合了设置 IPsec 安全关联所需的所有元素,包括: • 提议(或转换集)是确保 IPsec 隧道中流量安全的安全协议和算法的组合。在 IPsec 安全关联 (SA) 协商期间,对等体搜索在两个对等体上相同的提议。找到后,提议将用于创建一个 SA, 以保护该加密映射的访问列表中的数据流,从而保护 VPN 中的流量。IKEv1 和 IKEv2 有单独的 Ipsec提议。在IKEv1提议(或转换集)中,对于每个参数都设置一个值。对于IKEv2提议,您 可以为单个提议配置多个加密和集成算法。 • 加密映射整合了设置 Ipsec 安全关联 (SA) 所需的所有元素,包括 IPsec 规则、提议、远程对等 体以及定义 IPsec SA 所需的其他参数。当两个对等体尝试建立 SA 时,必须至少有一个兼容的 加密映射项。 当未知的远程对等体尝试启动与本地中心的 IPsec 安全关联时,站点到站点 VPN 中将使用动态 加密映射策略。中心不能是安全关联协商的发起者。动态加密策略允许远程对等体与本地中心 交换Ipsec流量,即使中心不知道远程对等体的身份。动态加密映射策略实质上创建了一个没有 配置所有参数的加密映射项。稍后将动态配置缺少的参数(作为IPsec协商的结果)以满足远程 对等体的要求。 动态加密映射策略适用于中心辐射型以及点对点VPN拓扑。要应用动态加密映射策略,请为拓 扑中的一个对等体指定动态IP地址,同时确保在此拓扑上启用动态加密映射。请注意,在全网 格 VPN 拓扑中,只能应用静态加密映射策略。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/11394.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
萌ICP备20248119号
