标签: ipsec

什么是IPSec IPSec（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议、密钥交换和用于验证及加密的一些算法等。通过这些协议，在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发，实现保护数据的安全性。 IPSec产生原因 随着网络发展，企业直接通过Internet进行互联，IP协议没有考虑安全性，但是Internet上有大量的不可靠用户和网络设备，所以用户业务数据要穿越这些未知网络就无法保证数据的安全性，数据易被伪造、篡改或窃取。因此，迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题，IPSec（Internet Protocol Security）应运而生。IPSec是对IP的安全性补充，其工作在IP层，为IP网络通信提供透明的安全服务。 IPSec如何工作 分为四个步骤： 1、识别“感兴趣流”。设备 在收 到报文后， 一般 会将报文的五元组等信息和IPsec策略进行匹配来判断报文是否要通过IPsec隧道传输，需要通过IPsec隧道传输的流量被称为“感兴趣流”。 2、协商安全联盟（Security Association，以下简称SA）。SA是通信双方对某些协商要素的约定，只有建立了SA才能进行安全的数据传输。识别出感兴趣流后，本端网络设备会向对端网络设备发起SA协商。在这一阶段，通信双方建立IKE SA，然后在IKE SA的基础上协商建立IPsec SA。 3、数据传输。IPsec SA建立成功后，双方就可以通过IPsec隧道传输数据。IPsec为了保证数据传输的安全性，在这一阶段需要通过AH或ESP协议对数据进行加密和验证。 4、隧道拆除。通常情况下，通信双方之间的会话老化即代表通信双方数据交换已经完成，因此为了节省系统资源，通信双方之间的隧道在空闲时间达到一定值后会自动删除。 IPSec的重要性 部署IPSec具有以下价值： 数据来源验证： 接收方验证发送方身份是否合法。 数据加密： 发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。 数据完整性： 接收方对接收的数据进行验证，以判定报文是否被篡改。 抗重放： 接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。 对于设备能否支持IPSec协议在各种场景的部署，以及设备对于各种场景的流量转发能否达标显得尤为重要， 信而泰的2-3层BigTao测试平台和层DarYu测试平台以及DarPeng2000E平台的ALPS测试平台能进行IPSec的IKEv1、IKEv2、IKEGM测试。 如何进行IPSec VPN测试 信而泰ALPS测试平台支持的IPSec VPN测试功能： 1、信而泰ALPS测试平台支持IPSec的IKE协议两个国际标准版本IKEv1和IKEv2，以及国家标准化管理委员会提出由国家密码管理局批准的我国自主制定的IPSec行业标准——《GM-T 0022-2014 IPsec VPN技术规范》即IKEv1.1。 2、身份认证支持预共享密钥PSK（pre-shared key）认证、数字证书RSA（rsa-signature）认证。预共享密钥PSK（配置方式为IKEv1或IKEv2时）数字证书Cert（配置方式为IKEv1、IIKEv2或IKEGM时） 3、IKE HD（公共密钥算法）支持MODP-768(1)，MODP-1024(2)，MODP-1536(5)，MODP-2048(14)，MODP-3072(15)，MODP-4096(16)，MODP-6144(17)，MODP-8192(18)等 。 4、“完善的前向保密”PFS（Perfect Forward Secrecy）支持MODP-768（1），MODP-1024（2），MODP-1536（5），MODP-2048 （ 14 ） 等 。 5、 IKE哈希算法支持HMAC-SHA2-318，HMAC-SHA2-512，HMAC-SHA2-256，GM-SM3； IKE加密算法支持AES-CBC-128，AES-CTR-128，AES-CBC-192，AES-CBC-256，GM-SM4；IKE PRF伪随机数算法支持HMAC-SHA2-256，GM-SM3，AES-128，HMAC-SHA2-384，HMAC-SHA2-512，HMAC-SHA1； ESP哈希算法支持NULL，HMAC-MD5，HMAC-SHA2-256，HMAC-SHA2-384，HMAC-SHA2-512，GM-SM3，GM-SM3-96； ESP加密算法支持DES-CBC，3DES-CBC，AES-CTR-128，AES-CBC-128，AES-CBC-192，AES-CBC-256，GCM-128，GCM-192，GCM-256，GM-SM4； 支持校验证书； IPsec拓扑模式支持Site To Site（两个局域网之间通过VPN隧道建立连）和Remote Access（客户端与企业内网之间通过VPN隧道建立连接） 应用场景 示例 IPSec VPN点对多点IKEv1测试： 拓扑说明： 本例使用测试仪上的Port1（作为多个分支机构模拟的多个防火墙来和DUT的G0/0/1端口建立IPSec隧道）和Port2（作为DUT的G0/0/2端 口 后的网络，模拟DUT后的总部） 操作步骤： 第一步：预约端口，创建并设置网络邻居 第二步：创建测试用例，编辑流量模型及应用模型 第三步：保存配置并运行 查看结果： 统计中第一阶段及第二阶段协商成功数量为100。 DUT上IPSec VPN协商成功数量为100

什么是IPsec？IPsec（互联网协议安全）是一种 VPN 协议，用于加密和保护通过互联网发送的数据。IPsec VPN 提供出色的数据身份验证、机密性和完整性。要使IPsec正常工作，发送和接收设备必须共享公钥，并且所有通信设备都必须安装 IPsec 客户端软件应用程序。对特定应用没有限制，用户可以访问整个网络。 什么是SSL？SSL（安全套接字层）是一种在服务器和客户端之间提供安全通道的安全协议。通常，这是在Web服务器和浏览器或邮件服务器和邮件客户端之间。SSL不是以纯文本形式发送数据，而是创建一个加密链接并保护信用卡号和登录详细信息等敏感信息。SSL仅提供一种加密选项，但可以使用第三方身份验证来增强安全性。该协议不需要客户端软件，并允许对指定应用程序进行受控和管理访问。 那么ipsec和ssl有什么区别？ 1、连通性 VPN协议之间的主要区别在于SSL将用户连接到特定的应用程序和服务，而 IPsec将远程主机连接到整个网络并支持所有基于IP的应用程序。 IPse速度更快，并且针对快速访问VoIP和流媒体进行了优化，并且可以更快地检索网络层的项目。使用SSL，用户将无法访问打印机或集中存储等网络资源。 2、兼容性 IPsec VPN需要基于主机的客户端，这意味着要访问IPsec VPN，我们的设备必须安装IPsec客户端软件应用程序。由于大多数Web浏览器都内置了SSL功能，因此它几乎可以在世界上的每台计算机上使用。 3、安全 如果实现最大的数据安全是您的首要任务，那么IPsec就是最佳选择。IPSec提供内置身份验证，非常适合保护数据完整性，并且IPsec VPN 具有强大的抗重放功能以及不同加密级别的选项。 SSL缺乏内置身份验证并依赖于第三方集成。IPsec可以使用更强大的 AES 标准，而SSL只能使用单一的DES（128位密钥），这对于大多数应用程序来说是不够的。 4、管理 IPsec VPN解决方案通常更易于设置和管理。除了VPN应用程序安装外，其他一切都在客户端免提，用户只需打开VPN客户端即可获得安全访问。 SSL则不同。使用SSL时，客户端计算机连接到特定的应用程序而不是整个网络，这需要定期配置以确保每台计算机都具有必要的访问权限。 以上是ipsec和ssl的区别分析。希望能帮助到大家参考！