網(wǎng)絡(luò)運(yùn)維| VPN之IPSec的介紹

2020-07-07 21:56 作者：admin

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容。今天和大家聊一聊防火墻的NAT應(yīng)用場(chǎng)景，簡(jiǎn)單網(wǎng)絡(luò)安全運(yùn)維，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢(xún)，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專(zhuān)業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門(mén)頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息
作為一個(gè)網(wǎng)絡(luò)運(yùn)維人員，了解VPN及使用是必備的技能，然而IPSec又是VPN中的一種，這篇文章就是關(guān)于IPSec方面的一些內(nèi)容。
起源
隨著Internet的發(fā)展，越來(lái)越多的企業(yè)直接通過(guò)Internet進(jìn)行互聯(lián)，但由于IP協(xié)議未考慮安全性，而且Internet上有大量的不可靠用戶(hù)和網(wǎng)絡(luò)設(shè)備，所以用戶(hù)業(yè)務(wù)數(shù)據(jù)要穿越這些未知網(wǎng)絡(luò)，根本無(wú)法保證數(shù)據(jù)的安全性，數(shù)據(jù)易被偽造、篡改或竊取。因此，迫切需要一種兼容IP協(xié)議的通用的網(wǎng)絡(luò)安全方案。
為了解決上述問(wèn)題，IPSec（Internet Protocol Security）應(yīng)運(yùn)而生。IPSec是對(duì)IP的安全性補(bǔ)充，其工作在IP層，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)。
定義
IPSec是IETF（Internet Engineering Task Force）制定的一組開(kāi)放的網(wǎng)絡(luò)安全協(xié)議。它并不是一個(gè)單獨(dú)的協(xié)議，而是一系列為IP網(wǎng)絡(luò)提供安全性的協(xié)議和服務(wù)的集合，包括認(rèn)證頭AH（Authentication Header）和封裝安全載荷ESP（Encapsulating Security Payload）兩個(gè)安全協(xié)議、密鑰交換和用于驗(yàn)證及加密的一些算法等。
通過(guò)這些協(xié)議，在兩個(gè)設(shè)備之間建立一條IPSec隧道。數(shù)據(jù)通過(guò)IPSec隧道進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)保護(hù)數(shù)據(jù)的安全性。
受益
IPSec通過(guò)加密與驗(yàn)證等方式，從以下幾個(gè)方面保障了用戶(hù)業(yè)務(wù)數(shù)據(jù)在Internet中的安全傳輸：
· 數(shù)據(jù)來(lái)源驗(yàn)證：接收方驗(yàn)證發(fā)送方身份是否合法。
· 數(shù)據(jù)加密：發(fā)送方對(duì)數(shù)據(jù)進(jìn)行加密，以密文的形式在Internet上傳送，接收方對(duì)接收的加密數(shù)據(jù)進(jìn)行解密后處理或直接轉(zhuǎn)發(fā)。
· 數(shù)據(jù)完整性：接收方對(duì)接收的數(shù)據(jù)進(jìn)行驗(yàn)證，以判定報(bào)文是否被篡改。
· 抗重放：接收方拒絕舊的或重復(fù)的數(shù)據(jù)包，防止惡意用戶(hù)通過(guò)重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊。
IPSec應(yīng)用場(chǎng)景
業(yè)務(wù)描述
穩(wěn)定可靠的路由是網(wǎng)絡(luò)通信的基礎(chǔ)。OSPFv3協(xié)議是一種應(yīng)用廣泛的路由協(xié)議，因此對(duì)于OSPFv3路由協(xié)議的安全保護(hù)是非常重要的。但OSPFv3協(xié)議本身沒(méi)有定義任何認(rèn)證機(jī)制，這樣OSPFv3協(xié)議報(bào)文在網(wǎng)絡(luò)中進(jìn)行傳輸?shù)臅r(shí)候很容易被攔截、修改或者仿冒，從而破壞OSPFv3的鄰接關(guān)系，造成網(wǎng)絡(luò)中斷。
為了實(shí)現(xiàn)對(duì)OSPFv3協(xié)議報(bào)文的認(rèn)證，RFC定義了IPSec機(jī)制對(duì)OSPFv3協(xié)議報(bào)文進(jìn)行認(rèn)證的方法。通過(guò)在攜帶OSPFv3協(xié)議報(bào)文的IPv6報(bào)文中插入AH頭部或者ESP頭部，為OSPFv3協(xié)議報(bào)文提供了數(shù)據(jù)源認(rèn)證和數(shù)據(jù)完整性檢驗(yàn)功能，從而有效的預(yù)防因OSPFv3協(xié)議報(bào)文被修改或仿冒而造成鄰接關(guān)系斷開(kāi)和網(wǎng)絡(luò)中斷。
組網(wǎng)描述
如圖2-15所示，SwitchA和SwitchB之間運(yùn)行OSPFv3協(xié)議，透過(guò)一段公共網(wǎng)絡(luò)為主機(jī)A和主機(jī)B提供一條可達(dá)路由。為了防止SwitchA和SwitchB之間的路由受到網(wǎng)絡(luò)中攻擊者的窺探和仿冒，可以采用IPSec對(duì)SwitchA和SwitchB之間的OSPFv3路由協(xié)議報(bào)文進(jìn)行數(shù)據(jù)源認(rèn)證和數(shù)據(jù)完整性檢驗(yàn)。
圖2-15 IPSec在OSPFv3網(wǎng)絡(luò)中的應(yīng)用組網(wǎng)圖 

部署特性
IPSec安全功能可以部署在OSPFv3進(jìn)程、區(qū)域或者接口上。
OSPFv3支持在每條鏈路上配置多個(gè)不同的實(shí)例，不同的實(shí)例通過(guò)OSPFv3報(bào)文頭的實(shí)例標(biāo)識(shí)（instance-id）字段來(lái)區(qū)分。但是IPSec協(xié)議報(bào)文頭中不支持這個(gè)字段，因此，同一接口下的所有OSPFv3實(shí)例都使用相同的安全聯(lián)盟。
如圖2-15所示，在設(shè)備的所有接口都部署IPSec認(rèn)證功能，這樣就可以保證只有通過(guò)IPSec認(rèn)證的設(shè)備才能建立鄰居關(guān)系。對(duì)于認(rèn)證失敗的報(bào)文或者IPSec兩端認(rèn)證方式不匹配的報(bào)文都會(huì)被丟棄。
通過(guò)Efficient VPN實(shí)現(xiàn)多分支安全接入
如圖2-16所示，大量的分支機(jī)構(gòu)接入總部時(shí)，用戶(hù)通過(guò)網(wǎng)管系統(tǒng)（NMS）管理交換機(jī)，現(xiàn)用戶(hù)希望NMS與分支之間的通信進(jìn)行安全保護(hù)。
此時(shí)，用戶(hù)可以部署Efficient VPN。其不僅實(shí)現(xiàn)了網(wǎng)絡(luò)安全部署，而且將復(fù)雜配置集中在總部網(wǎng)關(guān)上、各個(gè)分支網(wǎng)關(guān)的配置盡量簡(jiǎn)單的方法，將管理員從IPSec VPN復(fù)雜的配置和維護(hù)中解脫出來(lái)，實(shí)現(xiàn)了配置的簡(jiǎn)化，提高了可維護(hù)性。
圖2-16 Efficient VPN組網(wǎng)應(yīng)用 

 
 
 
以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理