亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

VPN的基本概念及在PIX上的實(shí)現(xiàn)
2008-06-24   

  VPN(Virtual Private Network)的概念,我覺(jué)得《IPSec 新一代因特網(wǎng)安全標(biāo)準(zhǔn)》(IPSec: the new security standard for the Internet, intranets, and virtual private networks,機(jī)械工業(yè)出版社出版)這本書(shū)中的一句話概括得極好:“VPN是‘虛擬的’,因?yàn)樗皇且粋€(gè)物理的、明顯存在的網(wǎng)絡(luò)。兩個(gè)不同的物理網(wǎng)絡(luò)之間的連接由通道來(lái)建立。VPN是‘專用的’,因?yàn)闉榱颂峁C(jī)密性,通道被加密。VPN是‘網(wǎng)絡(luò)’,因?yàn)樗锹?lián)網(wǎng)的!我們?cè)谶B接兩個(gè)不同的網(wǎng)絡(luò),并有效地建立一個(gè)獨(dú)立的、雖然是虛擬的實(shí)體:一個(gè)新的網(wǎng)絡(luò)。”
  
  說(shuō)到VPN就繞不開(kāi)IPSec,IPSec可以說(shuō)是VPN架構(gòu)的基石。除了IPSec,也可以通過(guò)L2TP、PPTP協(xié)議來(lái)走VPN,但在絕大部分的VPN中都是用IPSec來(lái)實(shí)現(xiàn)的。
  
  IPSec提供了這么幾個(gè)基本功能:
  
  數(shù)據(jù)機(jī)密性(Data confidentiality)-IPSec傳送者在將數(shù)據(jù)發(fā)送并穿越網(wǎng)絡(luò)之前就加密數(shù)據(jù)包。
  
  數(shù)據(jù)完整性(Data integrity)-IPSec接收者在收到IPSec傳送者發(fā)送來(lái)的數(shù)據(jù)時(shí),可以驗(yàn)證數(shù)據(jù)包以確保數(shù)據(jù)在傳送過(guò)程中未被改動(dòng)。
  
  數(shù)據(jù)源驗(yàn)證(Data origin authentication)-IPSec接收者可以驗(yàn)證發(fā)送IPSec數(shù)據(jù)包的源頭。此服務(wù)依附于數(shù)據(jù)完整性服務(wù)。
  
  反重播(Anti-replay)-IPSec接收者可以檢測(cè)并拒收重播數(shù)據(jù)包。
  
  IPSec的兩個(gè)重要組成部件AH和ESP:
  
  AH(Authentication Header,驗(yàn)證頭) :AH提供的功能包括了數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證以反重播(要注意的是:AH沒(méi)有提供數(shù)據(jù)機(jī)密性服務(wù))。
  
  ESP(Encapsulating Security Payload ,封裝安全載荷):除了具有AH的所有功能外,還可以保證數(shù)據(jù)的機(jī)密性。
  
  下面是和IPSec有關(guān)的幾個(gè)重要概念:
  
  兩種傳送模式(Transport Mode):
  傳送模式(transport mode)與通道模式(tunnel mode)。兩者的主要區(qū)別:傳送模式用來(lái)保護(hù)上層協(xié)議;而通道模式用來(lái)保護(hù)整個(gè)IP數(shù)據(jù)包。
  
  加密算法:
  DES Algorithm和Triple DES Algorithm (3DES)。DES是56位的加密算法,3DES為加密強(qiáng)度三倍于DES,即168位的加密算法。
  
  密鑰交換算法:
  DH(Diffie-Hellman key agreement)和RSA(Rivest, Shamir, and Adelman Signatures )。允許通話雙方通過(guò)一個(gè)不安全的通信信道建立起一個(gè)可以被加密算法(如DES、MD5)所使用的共享安全密鑰(shared secret key)。Cisco路由器和PIX防火墻中支持768位(Group 1)和1024位(Group 2)的DH組。
  
  驗(yàn)證算法:
  MD5(Message Digest 5)和SHA-1(Secure Hash Algorithm-1)。又稱為HASH算法,基本原理是對(duì)一個(gè)任意長(zhǎng)度的輸入值進(jìn)行處理,產(chǎn)生一個(gè)固定長(zhǎng)度的輸出信息(稱為摘要,digest)。HMAC-MD5和HMAC-SHA是MD5和SHA的HMAC(Hashed message authentication codes )變體,比MD5和SHA更為強(qiáng)壯,HMAC-MD5產(chǎn)生的摘要長(zhǎng)度為96位,而HMAC-SHA產(chǎn)生的摘要長(zhǎng)度為128位。
  
  IKE(Internet Key Exchange,Internet密鑰交換):用于驗(yàn)證IPSec的對(duì)端體,協(xié)商IKE SA和IPSec SA(Security Association)的安全策略,驗(yàn)證加密材料的建立。
  
  SA(Security Association,安全聯(lián)盟):兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來(lái)的一種協(xié)定,規(guī)定了通信實(shí)體將怎樣利用安全服務(wù)來(lái)實(shí)現(xiàn)安全的通訊。
  
  接下來(lái)是一個(gè)IPSec會(huì)話的五個(gè)主要過(guò)程:
  
  1、定義哪些數(shù)據(jù)要進(jìn)行安全傳輸;
  2、IKE階段一(Phrase One):通過(guò)協(xié)商IKE SA來(lái)驗(yàn)證IPSec對(duì)端體,并建立起一個(gè)可以在IKE階段二(Phrase Two)協(xié)商IPSec SA的安全通道;
  3、IKE階段二(Phrase Two):IKE協(xié)商IPSec SA的參數(shù)并在對(duì)端體之間建立起匹配的IPSec SA;
  4、數(shù)據(jù)傳輸:IPSec通道被正確地建立起來(lái),數(shù)據(jù)在IPSec對(duì)端體之間進(jìn)行安全傳輸;
  5、IPSec通道被終止。
  
  下面結(jié)合一個(gè)實(shí)例來(lái)說(shuō)明在PIX Firewall上配置VPN的過(guò)程,設(shè)備為兩個(gè)PIX,拓?fù)鋱D大致如下:
  
  (Inside:10.1.1.1)PIX1(Outside:192.168.1.52)----(cloud)----(Outside:172.22.112.12)PIX2(Inside:172.16.1.1)
  
  IKE階段一(Phrase One)
  
  IKE Phrase 1所要做的主要任務(wù)有--
  
  * 打開(kāi)IKE(這里是在outside接口上打開(kāi)IKE)。
  以上定義的相對(duì)應(yīng)語(yǔ)句:
  isakmp enable outside
  * 定義密鑰分發(fā)方式:可以用手工分發(fā),也可以用CA服務(wù)器來(lái)分發(fā)。我們這里采用手工分發(fā)方式;
  * 定義驗(yàn)證方式:可以在pre-shared密鑰或者RSA signatures中選擇。我們這采用pre-shared密鑰,密鑰為“securevpn”。
  * 定義對(duì)端IPSec設(shè)備的IP地址或者主機(jī)名。這里即為:172.22.112.12。
  以上定義的相對(duì)應(yīng)語(yǔ)句:
  isakmp identity address
  isakmp key securevpn address 172.22.112.12 netmask 255.255.255.255
  !--- securevpn為pre-share key,172.22.112.12為對(duì)端IPSec設(shè)備IP地址。
  * 定義ISAKMP策略(注:在Cisco設(shè)備中,ISAKMP和IKE是同義)。這里包括了定義加密算法(這里用DES),定義HASH算法(這里用MD5),以及定義IKE SA的生存期(這里定義為1000秒,此項(xiàng)可選)。
  以上定義的相對(duì)應(yīng)語(yǔ)句:
  isakmp policy 1 authentication pre-share
  !--- 定義驗(yàn)證方式
  isakmp policy 1 encryption des
  !--- 定義加密算法
  isakmp policy 1 hash md5
  !--- 定義HASH算法
  isakmp policy 1 group 1
  !--- 定義密鑰交換算法
  isakmp policy 1 lifetime 1000
  !--- 定義IKE SA生存期
  
  IKE階段二(Phrase Two)
  
  IKE Phrase 2所要做的主要任務(wù)有--
  
  * 定義哪些流量需要進(jìn)行安全傳輸,也就是定義interesting traffic的過(guò)程,用ACL來(lái)定義:
  以上定義的相對(duì)應(yīng)語(yǔ)句:
  access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
  !--- 允許10.1.1網(wǎng)段的機(jī)器訪問(wèn)172.16.1網(wǎng)段,172.16.1網(wǎng)段為對(duì)端PIX2的內(nèi)網(wǎng)地址。
  * 定義傳送集(Transform Set)。記住,Transform Set=AH+ESP+Transport Mode(這里定義為esp-des和esp-md5-hmac)。
  以上定義的相對(duì)應(yīng)語(yǔ)句:
  crypto ipsec transform-set chevelle esp-des esp-md5-hmac
  !-- chevelle為transform set名,transform set定義了采用ESP,加密算法為DES,驗(yàn)證算法為HMAC-MD5。
  * 定義crypto map,并將crypto map映射到相應(yīng)接口上。(這里定義了使用ISAKMP來(lái)進(jìn)行Phrase 2協(xié)商,interesting traffic為ACL 101決定的traffic,對(duì)端IPSec IP地址為172.22.112.12,并將名為chevelle的transform set綁定到此crypto map上)。
  以上定義的相對(duì)應(yīng)語(yǔ)句:
  crypto map transam 1 ipsec-isakmp
  !--- 使用ISAKMP進(jìn)行Phrase 2協(xié)商
  crypto map transam 1 match address 101
  !--- interesting traffic由ACL 101決定
  crypto map transam 1 set peer 172.22.112.12
  !--- 對(duì)端IPSec IP地址
  crypto map transam 1 set transform-set chevelle
  !--- 將chevelle綁定
  crypto map transam interface outside
  !--- 將crypto map映射到outside接口
  
  另外幾個(gè)很容易忽視但絕不能忘記的配置:
  
  nat (inside) 0 access-list 101
  !--- 讓ACL 101的流量不進(jìn)行NAT操作
  sysopt connection permit-ipsec
  !--- 忽略對(duì)IPSec流量的ACL或conduit檢查。這句絕對(duì)重要!
  route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
  !--- 定義缺省路由。走VPN之前先保證你的網(wǎng)絡(luò)是通的
  
  最后是完整的配置(這個(gè)例子是Cisco站上的,我上面做了分解并加了注釋):
  
  PIX Version 5.1(5)
  nameif ethernet0 outside security0
  nameif ethernet1 inside security100
  enable password ****** encrypted
  passwd ****** encrypted
  hostname Maui-PIX-01
  fixup protocol ftp 21
  fixup protocol http 80
  fixup protocol h323 1720
  fixup protocol rsh 514
  fixup protocol rtsp 554
  fixup protocol smtp 25
  fixup protocol sqlnet 1521
  names
  access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
  pager lines 24
  logging on
  no logging timestamp
  no logging standby
  no logging console
  no logging monitor
  no logging buffered
  no logging trap
  no logging history
  logging facility 20
  logging queue 512
  interface ethernet0 auto
  interface ethernet1 auto
  mtu outside 1500
  mtu inside 1500
  ip address outside 192.168.1.52 255.255.255.0
  ip address inside 10.1.1.1 255.255.255.0
  no failover
  failover timeout 0:00:00
  failover ip address outside 0.0.0.0
  failover ip address inside 0.0.0.0
  arp timeout 14400
  nat (inside) 0 access-list 101
  route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
  timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
  timeout rpc 0:10:00 h323 0:05:00
  ti

熱詞搜索:

上一篇:利用MPLS VPN實(shí)現(xiàn)VPDN的LNS復(fù)用
下一篇:用MPLS VPNs 做HSRP舉例

分享到: 收藏