VPN概述
VPN(Virtual Private Network,虛擬專用網絡)就是在Internet中建立的連接兩個或多個局域網的隧道。
通過配置兩端的路由設備,可以爲兩個局域網創建一條隧道,讓兩個局域網之間能夠互相通信。通過加密和身份驗證技術實現數據通信的安全,達到像專線一樣的效果。
專線網絡
專用網絡也叫專線業務,大多面向企業、政府及其它要求帶寬穩定、對服務質量要求較高的客戶。可以通過數字數據網(DDN)、幀中繼(FR)、數字用戶線路(DSL)、同步數字(SDH)專線業務。
關於TCP/IP分層
傳統的TCP/IP協議棧中缺乏有效的安全機制和保密機制,IPSec作爲一種開放標準的安全框架結構,可以用來保證IP數據報文在網絡上傳輸的機密性、完整性和防重放。
TCP/IP模型分爲對等體模型、標準模型兩種
- 對等體模型(五層)
應用層
傳輸層
網絡層
數據鏈路層
物理層, - TCP/IP標準模型(四層)
應用層
傳輸層
網絡互聯層
網絡接入層
…
實際應用中,TCP/IP對等體模型使用最爲廣泛。TCP/IP分層各有各的功能,但是缺乏安全認證和保密機制。
IPSec 概述
IPSec是IETF定義的一個協議組,通信雙方在IP層通過加密、完整性校驗、數據源認證等方式,保證了IP數據報文在網絡上傳輸的機密性、完整性和防重放。
- 機密性指對數據進行加密保護,用密文的形式傳送數據。
- 完整性指對接收的數據進行認證,以判定報文是否被篡改。
- 防重放指防止惡意用戶通過重複發送捕獲的數據包所進行的攻擊,即接收方會拒絕舊的或重複的數據包。
一個用戶通過網銀轉賬時,賬戶機密數據通過網絡傳輸至Internet,賬戶密碼等信息需要進行加密,同時要確保數據的完整性,防止被黑客篡改,防止防重放,避免同樣的數據發送多次,導致轉賬多次。
IPSec VPN應用場景
企業總部與分支內使用的都是私網IP,私網IP之間無法通過Internet進行互訪,這就需要使用IPSec VPN在企業與總部之間建立IPSec隧道,實現兩個局域網在Internet的傳輸。
IPSec架構
IPSec位於傳輸層與網絡層之間,它可以對傳輸層與應用層的數據進行保護,IPSec不是一個單獨的協議,IPSec VPN體系結構主要由AH、ESP和IKE協議套件組成,它通過AH和ESP這兩個安全協議來實現IP數據包的安全傳送,IKE協議提供密鑰協商,建立和維護安全聯盟SA等服務。
- AH協議(Authentication Header,頭部驗證)完整性校驗和防重放功能,無法加密
- ESP協議(安全載荷封裝)完整性校驗和防報文重放功能,及加密功能。
- IKE協議:用於自動協商AH和ESP所使用的密碼算法。
安全聯盟SA
SA(Security Association)安全聯盟定義了IPSec通信對等間使用的數據封裝模式、認證、加密算法及密鑰等參數,
SA是單向的,兩個對等體之間雙向通信,至少需要兩個SA,如果兩個對等體間同時使用AH和ESP安全協議來進行通信,則對等體針對每一種安全協議都需要協商一對SA。
SA由一個三元組來唯一標識,三元組包括安全參數索引SPI、目的IP地址、安全協議(AH或ESP)。
SA的建立方式
SA的建立方式分爲手工方式和IKE動態協商方式,
- 手工方式(適用於小型靜態環境)
安全聯盟所需要的全部信息都必須手動配置。缺點:手工建立方式較複雜 ,優點:不依賴IKE而單獨實現IPSec功能。 - IKE動態協商方式(適用大中型網絡,此方式配置簡單)
只需要通信對等體間配置好IKE協商參數,由IKE自動協商來創建和維護SA。
IPSec模式
IPSec協議有兩種封裝模式:傳輸模式和隧道模式
IPSec傳輸模式
傳輸模式在IP報文頭和高層協議之間插入AH和ESP頭,AH和ESP主要對上層協議數據提供保護。
傳輸模式的AH:在IP頭部插入AH頭,對整個數據包進行完整性校驗。
傳輸模式的ESP:在IP頭部插入ESP頭,在數據段後插入尾部及認證字段。對高層數據和ESP尾部進行加密,對IP數據包中的ESP報文頭,高層數據和ESP尾部進行完整性校驗。
傳輸模式的AH+ESP:在IP頭部之後插入AH和ESP頭,在數據段後插入尾部及認證字段。對高層數據和ESP進行加密,對整個IP數據包進行完整性校驗。
IPSec隧道模式
隧道模式中,AH或ESP頭封裝在原始IP報文頭之前,並另外生成一個新 的IP頭封裝到AH或ESP之前。隧道模式可以完全地對原始IP數據報進行 認證和加密,而且,可以使用IPSec對等體的IP地址來隱藏客戶機的IP 地址
隧道模式中的AH:對整個原始IP報文提供完整性檢查和認證,認證功能 優於ESP。但AH不提供加密功能,所以通常和ESP聯合使用 。
隧道模式中的ESP:對整個原始IP報文和ESP尾部進行加密,對ESP報 文頭,原始IP報文和ESP尾部進行完整性校驗。
隧道模式中的AH+ESP:對整個原始IP報文和ESP尾部迚行加密,對除 新IP頭之外的整個IP數據包進行完整性校驗
IPSec VPN配置步驟
配置IPSec VPN步驟:
- 配置網絡可達
首先確保發送方與接受發之間的網絡可達。 - 配置ACL識別興趣流
通過ACL來定義和區分不同的數據流,有部分不需要滿足完整性、機密性要求,所以要對流量進行過濾,選擇出需要進行IPSec處理的興趣流,通過配置ACL來定義和區分的數據流。 - 創建IPSec安全提議
爲了能夠正常傳輸數據流,安全隧道兩端的 對等體必須使用相同的安全協議、認證算法、加密算法和封裝模式 。如果要在兩個安全網關之間建立IPSec隧道,建議將IPSec封裝模 式設置爲隧道模式,以便隱藏通信使用的實際 - 配置IPSec安全策略
IPSec策略中會應用IPSec提議中定 義的安全協議、認證算法、加密算法和封裝模式。每一個IPSec安全 策略都使用唯一的名稱和序號來標識。IPSec策略可分成兩類:手工 建立SA的策略和IKE協商建立SA的策略。 - 在接口應用IPSec安全策略
對稱加密算法建議使用AES(128位及以上密鑰)
非對稱加密算法建議使用RSA(2048位及以上密鑰)
哈希算法建議使用SHA2(256及以上密鑰)
HMAC(基於哈希算法的消息驗證碼)算法建議使用HMAC-SHA
IPSec實現方式
IPSec VPN的強大之處再於它工作在OSI模型的第3層,它可以在兩個端點之間建立起一條“隧道”,所有基於IP的應用數據都可以通過這條隧道進行傳輸。
深信服的可以兩邊都不是固定IP也能做IPSEC,只要在公網上建立一個尋址服務器就可以,或者直接打400,讓客服給你分配一個也行,還是免費的。
另外兩邊都是固定IP的叫做主模式,一邊固定另一邊撥號的叫做野蠻模式,兩邊都不固定IP的叫做webagent。
webagent是分支或者移動用戶連接總部需要的地址,如果設備出口沒有固定公網IP可以聯繫4006306430申請一個域名,然後通過域名尋址。