欢迎来到天天文库
浏览记录
ID:20997382
大小:488.00 KB
页数:33页
时间:2018-10-18
《华为路由器和防火墙配置ipsec》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、QuidwayEudemon100/100E/200/200S配置指南安全防范分册插图目录目录8配置IPSec8-18.1简介8-28.2配置采用Manual方式协商的IPSec隧道8-28.2.1建立配置任务8-28.2.2创建需要保护的数据流8-48.2.3配置IPSec安全提议8-48.2.4配置IPSec安全策略8-58.2.5引用IPSec安全策略8-78.2.6检查配置结果8-78.3配置采用IKE方式协商的IPSec隧道8-88.3.1建立配置任务8-88.3.2创建需要保护的数据流8-98.3.3配置IPSec安全提议8-98.3.4配置IK
2、E安全提议8-108.3.5配置IKEPeer8-108.3.6配置IPSec安全策略模板8-118.3.7配置IPSec安全策略8-118.3.8检查配置结果8-128.4维护8-128.4.1维护采用Manual方式协商的IPSec隧道8-128.4.2维护采用IKE方式协商的IPSec隧道8-138.4.3维护低速加密卡8-148.4.4删除安全联盟8-148.4.5清除IPSec统计报文8-158.5配置举例8-158.5.1配置采用manual方式建立SA示例8-158.5.2配置采用IKE方式建立SA示例8-22文档版本02(2007-05-11
3、)华为技术有限公司iiiQuidwayEudemon100/100E/200/200S配置指南安全防范分册插图目录插图目录图8-1IPSec配置组网图8-15图8-2IKE配置举例组网图8-22文档版本02(2007-05-11)华为技术有限公司iiiQuidwayEudemon100/100E/200/200S配置指南安全防范分册8配置IPSec8配置IPSec关于本章本章描述内容如下表所示。标题内容8.1简介介绍IPSec协议和组网方式。8.2配置采用Manual方式协商的IPSec隧道介绍采用Manual方式协商的IPSec隧道的配置方法。配置举例:配
4、置采用manual方式建立SA示例8.3配置采用IKE方式协商的IPSec隧道介绍采用IKE方式协商的IPSec隧道的配置方法。配置举例1:配置采用IKE方式建立SA示例8.4维护介绍IPSec的维护方法。8.5配置举例介绍IPSec的组网举例。8.1文档版本02(2007-05-11)华为技术有限公司8-29QuidwayEudemon100/100E/200/200S配置指南安全防范分册8配置IPSec简介IPSec(IPSecurity)协议族是IETF制定的一系列协议,它为IP报文提供了高质量的、可互操作的、基于密码学的安全保护机制。特定的通信双方在
5、IP层通过加密与数据源验证等方式,保证报文在网络中传输时的私有性、完整性、真实性和防重放。IPSec对报文的保护通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)两个安全协议实现。各协议的功能简单介绍如下:lAH协议主要提供的功能有数据源验证、数据完整性校验和防报文重放功能,但不能对需要保护的报文进行加密。lESP协议除提供AH协议的所有功能外,还可提供对IP报文的加密功能。与AH协议不同的是,其数据完整性校验不包括IP报文头。ESP协议允许对报文同时进行加密和验证,或只加密,或只验证。为
6、简化IPSec的使用和管理,可以通过IKE(InternetKeyExchange)进行自动协商交换密钥、建立和维护安全联盟。IKE协议用于自动协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。l网络拓扑结构简单时,可以选择配置采用Manual方式协商的IPSec隧道;l网络拓扑结构复杂时,需要选择配置采用IKE方式协商的IPSec隧道。Eudemon防火墙除可以通过软件进行安全联盟协商外,还能通过IPSec加密卡进行。加密卡的相关介绍,请参见《QuidwayEudemon100E/200S防火墙硬件描述》。8.1配置采用Manual方式
7、协商的IPSec隧道8.1.1建立配置任务应用环境一般来说,考虑到安全性,数据流需要认证;在一些安全性要求更高的场合,数据流就可能既需要认证又需要加密。当有上述需求时,即可配置防火墙IPSec功能。网络拓扑结构较简单时,可以参考本配置指导。前置任务在配置IPSec前,需要完成以下任务:l配置防火墙的工作模式(可选)l配置接口IP地址l配置接口加入安全区域文档版本02(2007-05-11)华为技术有限公司8-29QuidwayEudemon100/100E/200/200S配置指南安全防范分册8配置IPSec数据准备在配置IPSec前,需要准备以下数据:序号
8、数据1高级ACL相关参数2安全提议名称3使用的安全协
此文档下载收益归作者所有