网络运维| VPN之IPSec的介绍
2020-07-07 21:56 作者:admin
大家好,我是一枚从事
IT外包的
网络安全运维工程师,今天和大家分享的是
网络安全设备维护相关的内容。今天和大家聊一聊
防火墙的NAT应用场景,简单
网络安全运维,从防火墙学起,一步一步学成
网络安全运维大神。
网络维护是一种
日常维护,包括
网络设备管理(如计算机,服务器)、操作
系统维护(系统打补丁,系统升级)、
网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京
网络维护服务,北京
网络维修信息查询,同时您可以免费资讯北京
网络维护,北京
网络维护服务,北京
网络维修信息。专业的北京
网络维护信息就在
北京艾锑无限+
+
北京
网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京
网络维护信息
作为一个
网络运维人员,了解VPN及使用是必备的技能,然而IPSec又是VPN中的一种,这篇文章就是关于IPSec方面的一些内容。
起源
随着Internet的发展,越来越多的企业直接通过Internet进行互联,但由于IP协议未考虑安全性,而且Internet上有大量的不可靠用户和
网络设备,所以用户业务数据要穿越这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的
网络安全方案。
为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。
定义
IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。
通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全性。
受益
IPSec通过加密与验证等方式,从以下几个方面保障了用户业务数据在Internet中的安全传输:
· 数据来源验证:接收方验证发送方身份是否合法。
· 数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发。
· 数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
· 抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。
IPSec应用场景
业务描述
稳定可靠的路由是网络通信的基础。OSPFv3协议是一种应用广泛的路由协议,因此对于OSPFv3路由协议的安全保护是非常重要的。但OSPFv3协议本身没有定义任何认证机制,这样OSPFv3协议报文在网络中进行传输的时候很容易被拦截、修改或者仿冒,从而破坏OSPFv3的邻接关系,造成网络中断。
为了实现对OSPFv3协议报文的认证,RFC定义了IPSec机制对OSPFv3协议报文进行认证的方法。通过在携带OSPFv3协议报文的IPv6报文中插入AH头部或者ESP头部,为OSPFv3协议报文提供了数据源认证和数据完整性检验功能,从而有效的预防因OSPFv3协议报文被修改或仿冒而造成邻接关系断开和网络中断。
组网描述
如图2-15所示,SwitchA和SwitchB之间运行OSPFv3协议,透过一段公共网络为主机A和主机B提供一条可达路由。为了防止SwitchA和SwitchB之间的路由受到网络中攻击者的窥探和仿冒,可以采用IPSec对SwitchA和SwitchB之间的OSPFv3路由协议报文进行数据源认证和数据完整性检验。
图2-15 IPSec在OSPFv3网络中的应用组网图
部署特性
IPSec安全功能可以部署在OSPFv3进程、区域或者接口上。
OSPFv3支持在每条链路上配置多个不同的实例,不同的实例通过OSPFv3报文头的实例标识(instance-id)字段来区分。但是IPSec协议报文头中不支持这个字段,因此,同一接口下的所有OSPFv3实例都使用相同的安全联盟。
如图2-15所示,在设备的所有接口都部署IPSec认证功能,这样就可以保证只有通过IPSec认证的设备才能建立邻居关系。对于认证失败的报文或者IPSec两端认证方式不匹配的报文都会被丢弃。
通过Efficient VPN实现多分支安全接入
如图2-16所示,大量的分支机构接入总部时,用户通过网管系统(NMS)管理交换机,现用户希望NMS与分支之间的通信进行安全保护。
此时,用户可以部署Efficient VPN。其不仅实现了网络安全部署,而且将复杂配置集中在总部网关上、各个分支网关的配置尽量简单的方法,将管理员从IPSec VPN复杂的配置和维护中解脱出来,实现了配置的简化,提高了可维护性。
图2-16 Efficient VPN组网应用
以上文章由北京艾锑无限科技发展有限公司整理