IPSec协议简介
1.IPSec协议IPSec是一系列网络安全协议的总称,它是由IETF(EngineeringTaskForce,工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。IPSec是网络层的安全机制。通过对网络层包信息的保护,上层应用程序即使没有实现安全性,也能够自动从网络层提供的安全性中获益。这打消了人们对×××(VirtualPrivateNetwork,虚拟专用网络)安全性的顾虑,使得×××得以广泛应用。
2.加密卡在实际应用中,IPSec对报文的处理包括进行ESP协议处理、加密后给报文添加认证头、对报文完成认证后删除认证头。为了确保信息的安全性,加密/解密、认证的算法一般比较复杂,路由器IPSec软件进行加密/解密运算将会占用了大量的CPU资源,从而影响了整机性能。模块化路由器还可以使用加密卡(模块化硬件插卡)以硬件方式完成数据的加/解密运算,消除了路由器VRP主体软件处理IPSec对性能的影响,提高了路由器的工作效率。
(1)加密卡进行加密/解密的工作过程是:路由器主机将需要加密/解密的数据发送给加密卡,加密卡对数据进行加密/解密运算并给数据添加/删除加密帧头,然后加密卡将完成加密/解密的数据发送回主机,由主机转发处理后的数据。
(2)多块加密卡分流处理用户数据:模块化路由器支持多块加密卡,主机软件通过轮循方式将用户数据发送给多块状态正常的加密卡进行分流处理,实现多块加密卡对用户数据的同步处理,从而提高了数据加密/解密的处理速度。
(3)对于应用于加密卡侧的IPSec,当该路由器所有加密卡都状态异常则加密卡将无法进行IPSec处理,此时若已经打开主机备份处理开关,并且VRP主体软件IPSec模块支持该加密卡使用的加密/认证算法,则VRP主体软件IPSec模块将替代加密卡进行IPSec处理,实现对加密卡的备份。
3.IPSec对报文的处理过程IPSec对报文的处理过程如下(以AH协议为例):
(1)对报文添加认证头:从IPSec队列中读出IP模块送来的IP报文,根据配置选择的协议模式(传输或是隧道模式)对报文添加AH头,再由IP层转发。
(2)对报文进行认证后解去认证头:IP层收到IP报文经解析是本机地址,并且协议号为51,则查找相应的协议开关表项,调用相应的输入处理函数。此处理函数对报文进行认证和原来的认证值比较,若相等则去掉添加的AH头,还原出原始的IP报文再调用IP输入流程进行处理;否则此报文被丢弃。
4.与IPSec相关的几个术语数据流:在IPSec中,一组具有相同源地址/掩码、目的地址/掩码和上层协议的数据集称为数据流。通常,一个数据流采用一个访问控制列表(acl)来定义,所有为ACL允许通过的报文在逻辑上作为一个数据流。为更容易理解,数据流可以比作是主机之间一个的TCP连接。IPSec能够对不同的数据流施加不同的安全保护,例如对不同的数据流使用不同的安全协议、算法或密钥。安全策略:由用户手工配置,规定对什么样的数据流采用什么样的安全措施。对数据流的定义是通过在一个访问控制列表中配置多条规则来实现,在安全策略中引用这个访问控制列表来确定需要进行保护的数据流。一条安全策略由“名字”和“顺序号”共同唯一确定。安全策略组:所有具有相同名字的安全策略的集合。在一个接口上,可应用或者取消一个安全策略组,使安全策略组中的多条安全策略同时应用在这个接口上,从而实现对不同的数据流进行不同的安全保护。在同一个安全策略组中,顺序号越小的安全策略,优先级越高。
安全联盟(SecurityAssociation,简称SA):IPSec对数据流提供的安全服务通过安全联盟SA来实现,它包括协议、算法、密钥等内容,具体确定了如何对IP报文进行处理。一个SA就是两个IPSec系统之间的一个单向逻辑连接,输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全联盟由一个三元组(安全参数索引(SPI)、IP目的地址、安全协议号(AH或ESP))来唯一标识。安全联盟可通过手工配置和自动协商两种方式建立。手工建立安全联盟的方式是指用户通过在两端手工设置一些参数,然后在接口
上应用安全策略建立安全联盟。自动协商方式由IKE生成和维护,通信双方基于各自的安全策略库经过匹配和协商,最终建立安全联盟而不需要用户的干预。安全联盟超时处理:安全联盟更新时间有“计时间”(即每隔定长的时间进行更新)和“计流量”(即每传输一定字节数量的信息就进行更新)两种方式。安全参数索引(SPI):是一个32比特的数值,在每一个IPSec报文中都携带该值。SPI、IP目的地址、安全协议号三者结合起来共同构成三元组,来唯一标识一个特定的安全联盟。在手工配置安全联盟时,需要手工指定SPI的取值。为保证安全联盟的唯一性,每个安全联盟需要指定不同的SPI值;使用IKE协商产生安全联盟时,SPI将随机生成。安全提议:包括安全协议、安全协议使用的算法、安全协议对报文的封装形式,规定了把普通的IP报文转换成IPSec报文的方式。在安全策略中,通过引用一个安全提议来规定该安全策略采用的协议、算法等。
IPSec的配置IPSec的配置包括:创建加密访问控制列表定义安全提议选择加密算法与认证算法创建安全策略在接口上应用安全策略组加密卡实现IPSec的配置包括:创建加密访问控制列表配置加密卡使能VRP主体软件备份定义安全提议选择加密算法与认证算法创建安全策略在接口上应用安全策略组
HTTP_Status_404:我刚读这本书的简介部分,发现这本书的创作已经过去10年了,这本书会不会太老了些呢?请问博主怎么看待?
m0_:为啥我的加上了判断直接给我语句报错了打印的报错信息values后面就直接没有东西了
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。