《IPSec实现局域网传输数据保护.ppt》由会员分享,可在线阅读,更多相关《IPSec实现局域网传输数据保护.ppt(21页珍藏版)》请在三一办公上搜索。
1、1,第13讲IPSec实现对局域网传输数据的保护,张群哲湖南科技职业学院 网络教研室,2,本讲主要内容,1.教师讲解IPSec工作原理身份验证报头(AH)协议封装安全报体(ESP)协议因特网密钥交换(IKE)协议2.动手实践-配置IPSec启用IPSecIPSec中的身份验证、传输模式、加密算法配置IPSec成为防火墙,3,1、什么是 IPSec?,IPSec 优势:,IPSec(Internet Protocol Security)是一套工业标准,它基于 IP 数据包级别来检验、鉴别并加密数据,IPSec 保障了数据在网络传输中的安全性,通信前和通信期间的相互验证通过 IP 数据包的加密和数
2、字签名实现了保密性拒收被修改的数据包,以保持 IP 数据的完整性防止重播攻击,4,安全IP的总体组成,IPsec总体上包括4个组成部分:安全协议,安全关联,密钥管理,以及身份验证算法与加密算法。为了利用IPsec在IP层提供安全服务,必须选择安全协议、选择安全协议中采用的身份验证算法或者加密算法,协商身份验证算法或加密算法采用的密钥,最终建立需要进行IPsec通信的IP结点之间的安全关联。,5,IPSec 工作机理,3,6,安全IP中定义的安全协议,IPsec目前只提供两种安全协议:身份验证报头(AH)协议和封装安全报体(ESP)协议。AH协议主要提供的IP层安全服务包括:访问控制、数据传递的
3、完整性验证、数据源身份验证和防范重播分组攻击。ESP协议不仅可以提供AH协议提供的身份验证类安全服务,还可以提供数据保密传递和有限的数据传递信息保密等功能。,7,2、身份验证报头(AH)协议,身份验证报头(Authentication Header)协议IPsec中定义的两个安全协议之一。AH主要对IP报文提供无连接传递的完整性验证以及对数据源的身份验证,它也可以提供防范IP报文重播攻击的功能。AH协议身份验证的范围包括尽可能多的IP报头的内容,以及IP报文携带的数据。,8,AH工作原理,在每个数据包上加一个身份报头报头包含一个带密钥的hash散列,此散列在整个数据包中计算,因此对数据的任何更
4、改将使散列无效,从而提供对数据包完整性的保护,9,AH协议报文格式,AH协议报文包括:下个报头、报体长度、预留、安全参数索引(SPI)、顺序号和身份验证数据,这6个AH报文必须的字段。,10,3、封装安全报体(ESP)协议,封装安全报体(Encapsulating Security Payload)是安全IP技术中定义的两个安全协议之一。ESP主要用于对IP报文提供保密传递、无连接传递的完整性验证以及对数据源的身份验证。ESP也可以提供防范IP报文重播攻击的功能,以及有限度的通信流保密性。ESP主要提供对IP报文加密传输的功能,它是专门为对称密钥加密算法设计的安全协议。,11,ESP工作原理,
5、对数据包的全部数据和加载内容进行全加密保证传输信息的机密性(不惧抓包)也能够提供认证和维持数据的完整性,12,ESP协议报文格式,ESP报文包括安全参数索引(SPI)、顺序编号、报体数据、填充数据、填充数据长度、下个报头、以及身份验证数据。,13,什么是 IPSec 安全策略?,IPSec 使用规则和策略保护网络安全规则的组件:过滤器过滤行为验证方法默认策略包括:客户端(仅响应):对方要求时才应用IPSec安全策略,否则采用正常通信服务器(请求安全):首先请求对方进行安全通信,若对方不支持,也可通信安全服务器(需要安全):对方必须采用IPSec安全策略,否则不能与本机通信,14,配置IPsec
6、,15,IPSec 策略间是如何工作的,16,IPSec中的身份验证,17,IPSec中的传输模式,默认:传送模式,主要用于局域网可选:隧道模式,主要用于广域网,多用于VPN(虚拟专用通道)中,在两台广域网主机之间建立一个专用的IPSec通道用于数据传输。如通信,18,IPSec中的加密算法,因特网密钥交换(IKE)协议是一种混合协议,它在保护模式下协商和提供安全关联所需要的经过身份验证的密钥资料。完整性算法:身份验证加密算法,SHA:安全散列算法,默认,强大,消耗高MD5:信息摘要算法,商业领域,强大,消耗低加密算法:数据包加密算法DES3DES,19,排除网络协议安全性中的故障,20,动手实践,IPSec配置和管理,21,课时小结,IPSec工作原理身份验证报头(AH)协议封装安全报体(ESP)协议因特网密钥交换(IKE)协议,
