导图社区 深信服IPSec VPN组网及SANGFOR VPN产品
内容包含IPSec协议族、IPSec VPN简介、建立阶段、应用场景及产品比较制作精良,内容涵盖全面,供深信服认证考试用
社区模板帮助中心,点此进入>>
互联网9大思维
安全教育的重要性
组织架构-单商户商城webAPP 思维导图。
个人日常活动安排思维导图
域控上线
西游记主要人物性格分析
17种头脑风暴法
python思维导图
css
CSS
IPSec VPN组网
IPSec协议族
两种工作模式
传输模式
应用场景:主要用于主机与主机之间端到端通信的数据保护
封装方式:不改变原有IP包头,在原数据包头后面差入IPSec包头,将原来的数据封装成被保护的数据
隧道模式
应用场景:主要用于私网与私网之间通过公网进行通信,建立安全VPN通道
封装方式:增加新的IP头,其后是IPSec包头,之后再将原来的整个数据包封装
俩个通信保护协议
鉴别头(AH)51:不提供保密服务,不加密所保护的数据包,不管是传输还是隧道模式,它保护的是整个IP数据包
提供的安全服务
1.无连接数据完整性:通过哈希函数产生的校验来保护
2.数据源认证:通过在计算验证码时加入一个共享密钥来实现
3.抗重放服务:AH报头中的序列号可以防止重放攻击
封装安全载荷(ESP)50 提供的安全服务
1.无连接数据完整性
2.数据源认证
3.抗重放服务
4.数据保密:通过使用密码算法加密IP数据包的相关部分来实现
5.有限的数据流保护:由隧道模式下的保密服务提供
密钥交换管理协议
阶段1(俩种基本模式)
主模式
野兽模式
阶段2
两个数据库
安全策略数据库SPD
安全关联数据库SAD
解释域DOI
IPSec VPN简介
IPsec:是一组基于网络层的,应用密码学的安全通信协议族。IPSec没有具体哪个协议,而是一个开放的协议族
设计目标:是在ipv4与ipv6环境中为网络层流量提供灵活的安全服务
IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。主要用于保护TCP、UDP、ICMP和隧道的IP数据包
IPSec提供的安全服务: 访问控制、不可否认性、重传攻击保护、数据源鉴别、完整性、机密性
IPSec建立阶段
安全联盟SA:是通信对等体之间某些要素的约定,通信双方符合SA约定内容就可以建立SA
用IPSec保护IP包之前,必须先建立安全联盟
SA三元组
安全参数索引
目的IP地址
安全协议号
IKE
产生背景:安全联盟建立用手工建立,当节点增多配置将很困难,同时难以保证安全性。这时就用IKE自动建立安全联盟与密钥交换
用途:为IPSec协商生成密钥,供AH/ESP加解密和验证使用
工作过程
协商阶段:通信各双方彼此间建立了一个已通过身份验证和安全保护的通道,此阶段的交换建立了一个IKE SA。第一阶段有两种协商模式
主模式协商:3次交换过程,6个消息交互
野兽模式协商:3个交互消息,前俩个明文,第3个加密
数据传输阶段:用已经建立的安全联盟为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSec SA,产生真正可以加密数据流的密钥,IPSec SA用于最终的IP数据安全传送,DPD主要是为了防止标准IPSEC出现“隧道黑洞”
IPSec VPN应用场景
NAT:公司分部与总部实现加密信息同步,端口复用技术,隧道模式下的ESP可以顺利通过NAT的数据传输
多VPN:NAT-T允许多个IPSec VPN同时连接
1.隧道协商过程中,IKE规定源和目的端口都必须为UDP500,在多VPN场景下源端口可能会在防火墙设备NAT后发生变化,从而导致IKE协商失败
2.数据传输过程中,由于ESP工作在网络层,没有传输层头部,从而无法进行NAPT端口复用,导致数据传输失败
SANGFOR VPN
与标准的IPSec VPN相比,SANGFOR VPN应用的特殊场景
1.更细致的极限粒度
隧道间路由技术,分支用户通过总部上网,实现总部的统一管控
隧道内NAT技术,解决多个分支网段IP冲突的问题
建立过程
建立条件
至少一端是总部,且有足够的授权,硬件与硬件之间互联不需要授权,与第三方分支对接需要分支授权,移动客户端需要移动客户端授权
至少有一端在公网上可访问
建立VPN两端的内网地址不能冲突
建立VPN两端的软件版本要匹配
过程
1.寻址
2.认证
3.策略
数据传输过程:建立隧道,认证,然后进行封装
特殊场景
分支通过总部互联场景——通过在分支一与分支二中配置隧道路由实现
分支通过总部实现上网——分支一中配置隧道间路由实现
分支地址冲突场景——配置隧道内NAT实现
