华为防火墙IPSec详解与配置实验

这篇具有很好参考价值的文章主要介绍了华为防火墙IPSec详解与配置实验。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

华为防火墙IPSec讲解与配置实验

GRE是明文传输,IPSec是加密传输

一.密码学基础——数据加解密

1.常见的加密算法

(1)对称加密

  • 加密解密用同一个密钥

(2)非对称加密

  • 在加密和解密中使用两个不同的密钥,私钥用来保护数据,公钥由同一系统的人公用,用来检验信息及其发送者的真实性和身份,公钥加密私钥解密,私钥加密公钥解密

(3)哈希散列算法

散列算法:把任意长度的输入变换成固定长度的输出

h=H(M)

常见散列算法有:MD5,SHA-1,SHA-2

hash函数特点:

  • 相同输入相同输出

  • 不可逆推:不可能从哈希值逆推出原始数据

  • 等长输出:不同文件大小加密输出的哈希值大小是一样的

  • 雪崩效应:发生任何一点变化,结果都会变得不同

可以通过哈希算法验证数据完整性

IPSec使用的都是对称加密

2.常见的对称加密算法

(1)流加密算法

  • RC4(不安全)

(2)分组加密算法

  • DES

  • 3DES

  • AES-128/192/256(最安全)

3.加密算法的优缺点

(1)对称加密算法

优点:加解密速度快

缺点:密钥分发问题

(2)非对称加密算法

优点:密钥的安全性高

缺点:加解密速度较慢

二.IPSec VPN详解

1.IPSec简介

IPSec(Internet协议安全)是一个工业标准网络安全协议栈,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有限低于网络攻击,同时保持易用性。

IPSec通过在IPSec对等体之间建立双向安全联盟(VPN隧道),形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。

2.IPSec架构(协议)

IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)协议套件组成。通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。

(1)AH协议:

AH认证报头

主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,AH并不加密所保护的数据报文,仅支持认证功能。

(2)ESP协议:

ESP封装安全有效载荷协议

提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。

ESP通常使用DES、 3DES、 AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证

(3)IKE协议:

IKE网络密钥交换协议

IKE属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。

用于自动协商AH和ESP所使用的密码算法,建立和维护安全联盟SA等服务。建立在Internet安全联盟和秘钥管理协议ISAMP定义的框架,提供了一套在不安全网络上安全地分发秘钥、验证身份、建立IPSec安全联盟的过程,简化了IPSec 的管理和使用。

IPSec通过AH和ESP这两个协议来实现数据报文在网络上传输的私有性,完整性,真实性和防重放。

3.IPSec特性

(1)机密性:

支持数据加密,保证业务数据的机密性

(2)完整性:

校验数据的完整性,检查数据是否被篡改

(3)真实性:

身份验证功能,只有身份认证成功的人发送数据才能被接受,验证身份方式为PSK暗号,PKI证书等

(4)防重放:

通过序列号防止数据包重复发送

4.AH和ESP协议的简单比较

安全特性 AH ESP
协议号 51 50
数据完整性校验 支持(验证整个IP报文) 支持(传输模式,不验证IP头;隧道模式,验证整个IP报文)
数据源验证 支持 支持
数据加密 不支持 支持
防报文重放攻击 支持 支持
IPSec NAT-T(NAT穿越) 不支持 支持

从表中可以看出两个协议各有有缺点,在安全性较高的场景中可以考虑联合使用AH和ESP协议。

6.IPSec协议封装模式

(1)传输模式:

主要用于主机和主机之间端到端通信的数据保护

在传输模式下,IPSec头被插入到IP头之后 但 在所有传输层协议之前,或所有其他IPSec协议之前。

(2)隧道模式:

主要用于私网与私网之间通过公网进行通信,建立安全VPN通道。

在隧道模式下,IPSec头插在原始IP头之前,另外生成一个新的报文头放到AH或ESP(IPSec头)之前

华为防火墙IPSec详解与配置实验

 

7.IPSec应用场景

(1)站点间安全互联:

企业站点间部署IPSec功能,使用IPSec建立安全传输通道,企业之间的数据流通过IPSec 隧道进行安全传送保护。

(2)远程站点和企业总部互联:

远程分支机构、远程用户通过IPSec动态接入企业总部网络。企业总部的IP地址是固定的,远端机构或PC需要预先配置;远程机构或者远端PC的IP地址可动态获取,总部不需要预先知道。

(2)GRE Over IPSec:

IPSec只支持IP协议,通过GRE Over IPSec,可以弥补IPSec协议的不足

8.IPSec VPN(安全联盟)建立方式

安全联盟SA(Security Association)是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA。SA由三元组来唯一标识,包括安全参数索引、目的IP地址、安全协议号

IPSec的安全联盟可以通过手工配置的方式建立。也可以使用IKE(Internet Key Exchange)自动进行安全联盟建立与密钥交换的过程

(1)手工配置优缺点:

手工方式建立安全联盟比较复杂,安全联盟所需的全部信息都必须手工配置,手工方式建立的安全联盟永不老化。

(2)IKE动态协商配置优缺点:

KE动态协商建立的安全联盟相对简单些,只需要通信对端体间配置好IKE协商参数,由IKE协议自动协商来创建和维护SA。通过IKE协商建立的安全联盟具有生存周期。

  • 基于时间的生存周期

  • 基于流量的生存周期

生存周期达到指定的时间或流量时,安全联盟就会失效。安全联盟失效前,IKE将为IPSec重新协商新的安全联盟。

网络中,进行通信的IPSec对等体设备数量越少时,或者在小型静态环境中,手工配置安全联盟是可行的; 对于中、大型动态网络环境,推荐使用IKE动态协商建立安全联盟。

(3)IKE的用途:

  • IKE为IPsec协商生成密钥,供AH/ESP加解密和验证使用。

  • 在IPSec通信双方之间, 动态地建立安全关联( SA: SecurityAssociation),对SA进行管理和维护。

9.IKE的工作过程

第一阶段内容:彼此间建立了一个已通过身份验证和安全保护的通道,此阶段的交换建立了一个ISAKMP安全联盟。 任务是认证和密钥交互。

第二阶段:用已经建立的安全联盟为IPsec协商安全服务,建立IPSec SA,产生真正可以用来加密数据流的密钥。

(1)第一阶段

第一阶段有两种协商模式:主模式协商,野蛮模式协商

①主模式协商

主模式协商速度较慢,但是安全性高,只能使用IP地址,建议同一个厂商时使用主模式,协商过程有6个包。

建立过程:

华为防火墙IPSec详解与配置实验

华为防火墙IPSec详解与配置实验

协商建立IKE安全通道所使用的参数:认证方式、加密方式、hash算法、申明所使用的的DH算法、密钥有效时间、配置身份ID、对方的通信的地址

②野蛮模式协商

野蛮模式协商速度较快,安全性较低,可以使用用户名等,建议不同厂商时使用野蛮模式协商

野蛮模式下有三个交互包:

  • 第一个交互包发起方建议SA,发起DH交换

  • 第二个交互包接收方接受SA

  • 第三个交互包发起方认证接受方

建立过程:

华为防火墙IPSec详解与配置实验

③两种模式简单比较

第一阶段模式 主模式 野蛮模式
消息交互 交互6个消息 交互3个消息
身份ID 以IP地址作为身份ID,自动生成本端身份ID和对端身份ID 可以以多种形式(IP,字符串等)手动或自动的生成本段和对端的身份ID
预共享密钥 只能基于IP地址来确定预共享密钥 基于ID信息(主机名和IP地址)来确定预共享密钥
安全性 较高 前4个消息以明文传输,最后两个消息加密,对对端身份进行了保护 较低 前2个消息以明文传输,最后一个消息进行加密,不保护对端身份
速度 较慢 较快

(2)第二阶段

华为防火墙IPSec详解与配置实验

协商参数:

加密算法、hash算法、安全协议、封装模式、存活时间、DH算法

当第一阶段时间到期后:密钥失效后,第二次密钥和第一次密钥有关系(继承)

完美向前发生成独立密钥。

三.实验环境及要求

1.实验环境:

华为防火墙IPSec详解与配置实验

 2.要求:

 华为防火墙IPSec详解与配置实验

 

四.IPSec具体配置

1.配置思路

(1)配置各个设备接口IP

(2)将防火墙上的接口加入适当的区域(tunnel接口不要忘记)

(3)配置防火墙上的公网路由(默认路由)

(4)配置IPSec tunnel接口

(5)配置IKE安全提议

(6)配置IKE peer(IKE 对等体)

(7)配置IPSec安全提议

(8)配置IPSec安全框架

(9)引流到tunnel接口(配置tunnel接口的转发路由)

(10)放行防火墙安全策略(放行协商流量和业务流量)

2.具体配置内容

以下内容都是FW1上的,FW2上的与其类似不多说

(1)接口,区域,路由配置内容

FW1上的各个接口配置
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
#
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 192.168.10.254 255.255.255.0
#
#
interface Tunnel0
 ip address 10.1.1.1 255.255.255.0
 tunnel-protocol ipsec
 source 1.1.1.1
 destination 2.2.2.1
 ipsec profile 1
#
​
​
区域配置
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
 add interface Tunnel0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
​
路由配置
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 172.168.10.0 255.255.255.0 Tunnel0
#
​
​

(2)IPSec配置内容

FW1上的IPSec配置
IPSec安全提议配置
#
ipsec proposal 13
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
#
​
ike安全提议配置
ike proposal 1
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
#
​
ike对等体配置
#
ike peer 1
 undo version 2
 pre-shared-key %^%#CQd:Ch|[=L*^v$VBPk'HsSz59kT.GU:'Rk0K_"c/%^%#
 ike-proposal 1
#
​
IPSec安全框架配置
#
ipsec profile 1
 ike-peer 1
 proposal 13
#
​
FW2上的IPSec配置与FW1一致,预共享密钥必须一致

(3)防火墙安全策略配置内容文章来源地址https://www.toymoban.com/news/detail-411690.html

FW1安全策略配置
#
security-policy
 rule name ipec
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  source-address 1.1.1.0 mask 255.255.255.0
  source-address 2.2.2.0 mask 255.255.255.0
  destination-address 1.1.1.0 mask 255.255.255.0
  destination-address 2.2.2.0 mask 255.255.255.0
  action permit
#
这里我没有配置业务流量,
是因为我将tunnel接口加入到了防火墙的信任区域,流量在信任区域传输,不需要放行业务流量

到了这里,关于华为防火墙IPSec详解与配置实验的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • H3C防火墙及IPsec综合实验

    1.1 网络拓扑 实验中所有设备的地址配置都如图上标注(下图有处地方错了,防火墙的下行口左边连接的是VLAN10,右边是VLAN20)。 设备名称对应表 设备名称 对应设备 F1000_1 FW S5820V2-54QS-GE_2 SW1 S5820V2-54QS-GE_3 SW2 MSR36-20_4 Master MSR36-20_5 ISP MSR36-20_6 Branch 1.2 实验需求 总部所有业务网段

    2024年02月05日
    浏览(55)
  • 华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)

    华为防火墙综合案例 实验拓扑 实验要求 如图所示,总计四个网络(成都总公司、绵阳分公司、Internet、出差在外员工所处的某酒店网络) IP地址已经规划完成 成都总公司CE1交换机为三层交换机连接了两个vlan,内网客户端直接通过二层交换机连接出口防火墙 绵阳分公司一个

    2024年02月07日
    浏览(49)
  • 防火墙Ipsec vpn的配置

    拓补图 1.  IP地址的配置,略 2. 路由的配置 [FW1]ip route-static  0.0.0.0 0 100.1.1.1 [FW2]ip route-static 0.0.0.0 0 100.1.2.1 3. 防火墙划分区域 [FW1]firewall zone trust  [FW1-zone-trust]add interface  g1/0/0 [FW1-zone-trust]add interface g1/0/2 [FW1]firewall zone  untrust [FW1-zone-untrust]add interface  g1/0/1 [FW2]firewall zone  

    2024年02月08日
    浏览(36)
  • 思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)

    网络拓扑如上图所示,为方便记忆从左到右顺时针方向的网段的分别为192.168.1.0, 2.0, 3.0。 配置目标:两台思科防火墙之间建立IPsec VPN(野蛮模式),使得左边192.168.1.0网段能够访问右边192.168.3.0网段。左边ASA1作为连接发起端,右边ASA2作为连接接收端。在这里两边都是固定IP地

    2024年02月22日
    浏览(41)
  • 结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

    这两天跟着老师学习了网络安全防御之防火墙的配置,过程中不乏遇到了许多问题,例如 访问https://ip:8443地址却没有提示继续进入的接口,或者是无法ping通防火墙测试端口 等问题,希望接下来的分享能够帮助到大家! 为了节省大家的时间,我把实验和具体问题分开罗列,大

    2024年02月01日
    浏览(48)
  • 设备安全——防火墙j基础策略实验【华为NSP】

    本实验为了熟悉基于云连接防火墙建立配置与拦截 环境:使用华为eNSP模拟器 点击启动云进行设置 第三步:只要不是公网网卡就可以 第七步映射,使1与2能互通 在开启防火墙时,如果你是第一次打开它需要你输入原始账号【admin】与密码【Admin@123】、进入后要求你重新设置密

    2023年04月18日
    浏览(48)
  • 华为防火墙nat(easy-ip)实验

    目的:         掌握在防火墙上配置源NAT的方法,使内网用户可以通过NAT技术访问外网资源,节省公网IP地址,增强网络安全性。 需求: 办公网内网(trust)可以访问生产服务器(dmz)和外网client2(untrust)。 client2可以访问生产服务器,但不可以访问办公网。 生产服务器不能

    2024年02月09日
    浏览(40)
  • 华为防火墙区域配置

    防火墙区域配置 trust区域内R1上的业务网段192.168.0.0/24和192.168.1.0/24仅能访问DMZ区域的web服务器 trust区域内R1上的业务网段192.168.2.0/24和192.168.3.0/24仅能访问DMZ区域的ftp服务器 位于untrust区域的全部外部网段都能够访问dmz区域的web服务器和ftp服务器 trust区域内除192.168.0.0/24以外所有

    2024年02月06日
    浏览(44)
  • 华为防火墙 配置 SSLVPN

    需求: 公司域环境,大陆客户端居家办公室需要连到公司域,这里可以在上海防火墙上面开通SSLVPN,员工就可以透过SSLVPN连通上海公司的内网,但是由于公司域控有2个站点,一个在上海,一个在台北,所以还需要拨通VPN后,也实现跟台北的内网互通。 前提:上海,台北已实

    2024年02月04日
    浏览(43)
  • 配置华为防火墙端口映射

    如果想检测由防火墙到服务器的连通性,需放行local到dmz的流量

    2024年02月14日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包