16
2024
04
11:32:59

huawei IPSec VPN IPSec策略管理 IPSec全局设置

https://support.huawei.com/enterprise/zh/doc/EDOC1100112416/c11c5416


IPSec VPN


概述

基本概念

IPSec

IPSec协议族是IETF(Internet Engineering Task Force)制定的一系列协议,它为IP数据包提供了高质量的、可互操作的、基于密码学的安全性。特定的通信双方在IP层通过加密与数据源认证等方式,来保证数据报文在网络上传输时的私有性、完整性、真实性和防重放。

IPSec通过认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)这两个安全协议来实现上述目标。因特网密钥交换协议IKE(Internet Key Exchange)为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。

IPSec安全协议

IPSec协议中的AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供数据可靠性保证。

  • AH认证头协议:提供数据源认证、数据完整性校验和报文防重放功能。发送端对IP头的不变部分和IP净荷进行离散运算,生成一个摘要字段。接收端根据接收的IP报文,对报文重新计算摘要字段,通过摘要字段的比较,判别报文在网络传输期间是否被篡改。

  • ESP封装安全载荷协议:除提供AH认证头协议的所有功能之外,还可对IP报文净荷进行加密。ESP协议允许对IP报文净荷进行加密和认证、只加密或者只认证,ESP没有对IP头的内容进行保护。

IPSec对等体

IPSec用于在两个端点之间提供安全的IP通信,通信的两个端点被称为IPSec对等体。

安全联盟

SA(Security Association)安全联盟定义了IPSec通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。

IPSec协议的封装模式

  • 传输模式:在IP报文头和上层协议报文头之间插入一个IPSec报文头(AH或ESP)。在这种模式下,原IP报文头不变,只是IP协议字段被改为AH或ESP,并重新计算IP报文头校验和。传输模式适用于两台主机,或者是一台主机和一个安全网关之间的通讯。

  • 隧道模式:在原始IP报文头外封装一个IPSec报文头(AH或ESP),然后在最外层封装新的IP报文头,原IP报文被当作有效载荷的一部分受到IPSec的保护。隧道模式一般用在两个安全网关之间。在一个安全网关被加密的报文,只有到达另一个安全网关才能够被解密。

认证算法与加密算法

  • IPSec可以使用MD5(Message Digest 5)、SHA-1(Secure Hash Algorithm)、SHA-2三种认证算法。MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高,SHA-2算法相对于SHA-1来说,加密数据位数的上升增加了破解的难度,使得安全性能要远远高于SHA-1。

  • IPSec可以使用DES、3DES(Triple Data Encryption Standard)和AES(Advanced Encryption Standard)三种加密算法。其中,AES使用128bit、192bit或256bit密钥长度的加密算法对明文进行加密。

IKE协商方式建立IPSec隧道

IKE

IKE协议建立在Internet安全联盟和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol)定义的框架上,IKE为IPSec提供了一套在不安全的网络上安全地分发密钥、验证身份、建立IPSec SA的过程,简化了IPSec的管理和使用。

IKE版本

IKE支持IKEv1和IKEv2两个版本:

  • IKEv1:使用了两个阶段为IPsec进行密钥协商,其中第一阶段交换和密钥协商定义了两种模式:主模式(Main Mode)和野蛮模式(Aggressive Mode)。野蛮模式能够更快的创建IKE SA,但没有主模式安全;主模式只能采用IP地址方式标识对等体,而野蛮模式可以采用IP地址方式或者名称方式标识对等体。

  • IKEv2:定义了三种交换,能够比IKEv1更快的创建IKE SA。

IKE安全机制

  • DH(Diffie-Hellman)交换及密钥分发:Diffie-Hellman算法是一种公开密钥算法。通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥。加密的前提是交换加密数据的双方必须要有共享的密钥。IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。

  • 完善的前向安全性PFS(Perfect Forward Secrecy):PFS是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IPSec第二阶段的密钥是从第一阶段的密钥导出的,当第一阶段IKE密钥被窃取后,攻击者将可能收集到足够的信息来导出第二阶段IPSec SA的密钥,PFS通过执行一次额外的DH交换,保证第二阶段密钥的安全。

  • 身份验证:身份验证指确认通信双方的身份,包括预共享密钥(Pre-shared key)验证和数字证书验证。Pre-shared key验证是指验证字用来作为一个输入产生密钥,通信双方采用共享的密钥,通过对报文进行摘要计算和匹配,判断二者的共享密钥是否相同,如果相同,则验证通过,否则验证失败。数字证书验证是指通信双方按约定的算法将报文进行摘要计算,信息发送方用自己的私人密钥对报文摘要进行加密,生成数字签名。信息接收方使用信息发送方的公开密钥对数字签名进行解密,与原始计算的报文摘要进行匹配,如果计算结果相同,则验证通过,否则验证失败。

虚拟隧道接口建立IPSec隧道

IPSec虚拟隧道接口是一种三层逻辑接口,可以支持动态路由协议,所有路由到IPSec虚拟隧道接口的报文都将进行IPSec保护。

IKE协商方式建立的IPSec隧道通过ACL识别待加解密流量,这种情况下流量使用IPSec加解密与路由选路没有关联关系。为了增强网络规划的可扩展性,可以使用虚拟隧道接口流量的IPSec保护功能,通过虚拟隧道接口配置IPSec保护,将IPSec加解密和隧道接口的路由选择进行集成,同时也降低了网络维护成本。其中,虚拟隧道接口可以为GRE隧道接口或IPSec隧道接口。

采用Efficient VPN策略建立IPSec隧道

Efficient VPN

IPSec Efficient VPN技术以其高度的安全性、可靠性以及灵活多变性成为企业构建其VPN网络的首选。分支与总部之间建立IPSec隧道时,必须在分支上进行完整的IPSec及其他网络资源配置。在包含数百个站点的大型网络场景中,大量的分支将使IPSec的配置和维护非常复杂。

Efficient VPN方案将IPSec及其它相应配置集中在Efficient VPN Server端,当Remote端配置好建立安全联盟所需的基本参数时,Remote端发起协商并与Server端建立起IPSec隧道,然后Server端将IPSec的其它相关属性及其他网络资源“推送”给Remote端,简化了分支的IPSec和其他网络资源的配置和维护。

Efficient VPN运行模式

  • Client模式:Remote设备通过IPSec Efficient VPN配置接入总部,自动向Server端申请IP地址和其他网络资源,包括DNS域、DNS服务器地址、WINS服务器地址和推送的ACL资源等,并通过DHCP协议向Remote端PC用户设置总部服务器资源。Remote端自动启用NAT转换功能,Remote端子网内的PC用户发送访问报文,Remote端对匹配推送的ACL资源的报文做源地址NAT转换后,报文通过IPSec隧道接入总部;对不匹配推送的ACL资源的报文不做源地址NAT转换,报文不通过IPSec隧道,而接入Internet。

  • Network模式:与Client模式不同的是,分支和总部IP地址已统一规划,Remote端不会向Server端申请IP地址,不自动启用NAT功能。

  • Network-plus模式:是Network模式和IP地址推送的组合。分支和总部IP地址已统一规划,但Remote端会向Server端申请IP地址,Remote端获取的IP地址只用于总部对分支进行Ping、Telnet等管理维护功能,不对保护的数据流做NAT转换。

Efficient VPN License

缺省情况下,设备作为Server端配置Efficient VPN无需获得License许可即可应用此功能,设备作为Remote端配置Efficient VPN则受限无法使用。如果需要配置Remote端的Efficient VPN功能,请联系华为办事处申请并购买如下License。

项目

说明

设备本地名称

设置IKE协商时的本端名称,区分大小写。

“IPSec策略管理”中设置IPSec策略,如果指定“本端身份类型”为名称,则需要设置此参数,并且和对端设备上设置的“对端名称”需要保持一致。

缺省情况下,未设置设备本地名称,此时设备本地名称使用设备的名称。查看或修改设备的名称,请参见“设备概览”“设备信息”

IPSec SA老化管理

设置IPSec SA的全局生存周期。IPSec协商建立SA时,采用本端设置的全局生存周期和对端的生存周期中较小的一个。

设置生存周期有两种方式:

如果生存周期到达指定的时间或指定的流量,则IPSec SA就会失效。IPSec SA快要失效前,IPSec协商建立新的SA,这样在旧的SA失效前新的SA就已经准备好。

如果设置了“IPSec策略应用”“IPSec SA老化方式”,则全局生存周期不生效。

缺省情况下,基于时间的全局生存周期是3600秒,基于流量的全局生存周期是1843200KB。

IKE心跳发送间隔(秒)

发送心跳报文的时间间隔。

当对端在配置的“IKE心跳超时时间”内未收到本端发送的心跳报文时,则删除IPSec SA。所以在配置时需使配置的超时时间比心跳报文发送时间长。

IKE心跳超时时间(秒)

等待心跳报文的超时时间。

在网络上一般不会出现超过连续三次的报文丢失,所以配置超时时间时可以采用对端配置的心跳报文发送时间间隔的三倍。

NAT保存间隔(秒)

设置发送NAT保活报文的时间间隔。

启用IPSec的NAT穿越功能,IPSec隧道建立后,如果长时间没有报文穿越NAT网关,NAT网关上的NAT会话表项老化删除,导致无法继续通过IPSec隧道传输数据,所以周期性发送NAT保活报文,保持NAT会话表项。

缺省情况下,发送NAT保活报文的时间间隔是20秒。

抗重放

选择是否启用抗重放功能。

IPSec抗重放检测功能,将检测到的重放报文在解封装处理之前丢弃,可以降低设备资源的消耗。

缺省情况下,使能抗重放功能。

IPSec隧道的DF位设置

设置报文的DF(Don't Fragment)位:

缺省情况下,IPSec隧道的DF位设置采用copy方式。

隧道报文加密前分片

当DF位为0,即IP报文允许分片时,选择是否启用隧道报文加密前分片。

IPSec加密端预先判断报文长度,加密后的报文超过出接口的MTU,可在加密前对报文进行分片。解密端会将重组工作交给终端主机完成,则减少解密端设备的资源消耗。

缺省情况下,IPSec隧道报文的分片方式为加密后分片。

  • clear:指定DF标志位设置为0,表示IP报文允许分片。

  • set:指定DF标志位设置为1,表示IP报文不允许分片。

  • copy:指定DF标志位为原始报文的标志位。

  • 基于时间(秒):从IPSec SA建立开始,SA存活的时间。

  • 基于流量(KB):IPSec SA允许处理的最大流量。

  1. 依次单击VPN > IPSec VPN > IPSec全局设置,进入全局参数设置界面。


    图2-213 IPSec全局设置界面



  2. 根据需要依次输入或选择各参数,如表2-159所示。

  3. 单击“应用”,使配置生效。


    如果需要设置所有的参数恢复到缺省值,则单击“重置”,提示操作成功表示配置生效。





推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/5789.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: