返回
第13讲ipsec实现局域网传输数据保护

第13讲ipsec实现局域网传输数据保护

ID:1511231

大小:572.50 KB

页数:21页

时间:2017-11-12

第13讲ipsec实现局域网传输数据保护_第1页
第13讲ipsec实现局域网传输数据保护_第2页
第13讲ipsec实现局域网传输数据保护_第3页
第13讲ipsec实现局域网传输数据保护_第4页
第13讲ipsec实现局域网传输数据保护_第5页
资源描述:

《第13讲ipsec实现局域网传输数据保护》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第13讲IPSec实现对局域网传输数据的保护张群哲湖南科技职业学院网络教研室zqunzhe@163.com本讲主要内容1.教师讲解IPSec工作原理身份验证报头(AH)协议封装安全报体(ESP)协议因特网密钥交换(IKE)协议2.动手实践-配置IPSec启用IPSecIPSec中的身份验证、传输模式、加密算法配置IPSec成为防火墙21、什么是IPSec?IPSec优势:IPSec(InternetProtocolSecurity)是一套工业标准,它基于IP数据包级别来检验、鉴别并加密数据,IPSec保障了数据在网络传输中的安全性通信前

2、和通信期间的相互验证通过IP数据包的加密和数字签名实现了保密性拒收被修改的数据包,以保持IP数据的完整性防止重播攻击3安全IP的总体组成IPsec总体上包括4个组成部分:安全协议,安全关联,密钥管理,以及身份验证算法与加密算法。为了利用IPsec在IP层提供安全服务,必须选择安全协议、选择安全协议中采用的身份验证算法或者加密算法,协商身份验证算法或加密算法采用的密钥,最终建立需要进行IPsec通信的IP结点之间的安全关联。4IPSec工作机理TCPLayerIPSec驱动TCPLayerIPSec驱动加密的IP数据包3安全协商过程(IS

3、AKMP)2IPSec策略IPSec策略1活动目录5安全IP中定义的安全协议IPsec目前只提供两种安全协议:身份验证报头(AH)协议和封装安全报体(ESP)协议。AH协议主要提供的IP层安全服务包括:访问控制、数据传递的完整性验证、数据源身份验证和防范重播分组攻击。ESP协议不仅可以提供AH协议提供的身份验证类安全服务,还可以提供数据保密传递和有限的数据传递信息保密等功能。62、身份验证报头(AH)协议身份验证报头(AuthenticationHeader)协议IPsec中定义的两个安全协议之一。AH主要对IP报文提供无连接传递的完整

4、性验证以及对数据源的身份验证,它也可以提供防范IP报文重播攻击的功能。AH协议身份验证的范围包括尽可能多的IP报头的内容,以及IP报文携带的数据。7AH工作原理在每个数据包上加一个身份报头报头包含一个带密钥的hash散列,此散列在整个数据包中计算,因此对数据的任何更改将使散列无效,从而提供对数据包完整性的保护8AH协议报文格式AH协议报文包括:下个报头、报体长度、预留、安全参数索引(SPI)、顺序号和身份验证数据,这6个AH报文必须的字段。下个报头报体长度预留078151631比特安全参数索引(SPI)顺序编号身份验证数据(长度可变)图

5、13-1AH协议报头格式93、封装安全报体(ESP)协议封装安全报体(EncapsulatingSecurityPayload)是安全IP技术中定义的两个安全协议之一。ESP主要用于对IP报文提供保密传递、无连接传递的完整性验证以及对数据源的身份验证。ESP也可以提供防范IP报文重播攻击的功能,以及有限度的通信流保密性。ESP主要提供对IP报文加密传输的功能,它是专门为对称密钥加密算法设计的安全协议。10ESP工作原理对数据包的全部数据和加载内容进行全加密保证传输信息的机密性(不惧抓包)也能够提供认证和维持数据的完整性11ESP协议报文

6、格式ESP报文包括安全参数索引(SPI)、顺序编号、报体数据、填充数据、填充数据长度、下个报头、以及身份验证数据。下个报体预留安全参数索引(SPI)078151631比特图13-2ESP报文格式2324顺序编号身份验证数据(可变长度)填充数据长度报体数据(可变长度)填充数据(0–255字节)12什么是IPSec安全策略?IPSec使用规则和策略保护网络安全规则的组件:过滤器过滤行为验证方法默认策略包括:客户端(仅响应):对方要求时才应用IPSec安全策略,否则采用正常通信服务器(请求安全):首先请求对方进行安全通信,若对方不支持,也可通

7、信安全服务器(需要安全):对方必须采用IPSec安全策略,否则不能与本机通信13配置IPsec14IPSec策略间是如何工作的Nopolicyassigned客户端(仅响应)服务器(请求安全)安全服务器(需要安全)NopolicyassignedNoIPSecNoIPSecNoIPSec没有通信客户端(仅响应)NoIPSecNoIPSecIPSecIPSec服务器(请求安全)NoIPSecIPSecIPSecIPSec安全服务器(需要安全)没有通信IPSecIPSecIPSec15IPSec中的身份验证16IPSec中的传输模式默认:传

8、送模式,主要用于局域网可选:隧道模式,主要用于广域网,多用于VPN(虚拟专用通道)中,在两台广域网主机之间建立一个专用的IPSec通道用于数据传输。如www.163.com通信17IPSec中的加密算法因特

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。