SANGFOR_IPSEC_2014年渠道初级认证培训05_第三方IPSEC对接互联配置

第三方IPSEC对接互联配置

培训内容标准IPSEC VPN功能介绍标准IPSEC VPN建立过程 SANGFOR标准IPSEC VPN典型应用 案例及配置

培训目标了解标准IPSecVPN的功能了解IPSecVPN建立的过程 掌握第三方设备与深信服设备建立 IPSecVPN的配置

标准IPSEC VPN功能介绍 标准IPSEC VPN建立过程

SANGFOR IPSEC

SANGFOR标准IPSEC VPN典型应用案例及配置

标准IPSEC VPN功能 介绍

标准IPSEC VPN功能介绍IPSec是一种开放标准的框架结构，特定的通信方之间在IP 层通过加 密和数据摘要(hash)等手段，来保证数据包在Internet 网上传输时的私 密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。

标准IPSEC VPN功能介绍通过加密保证数据的私密性 私密性：防止信息泄漏给未经授权的个人 通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性

土豆批发价 两块钱一斤

加密

实在是 看不懂

土豆批发价 两块钱一斤

解密

4ehIDx67NMop9eR U78IOPotVBn45TR

Internet

4ehIDx67NMop9eR U78IOPotVBn45TR

标准IPSEC VPN功能介绍对数据进行hash运算来保证完整性完整性：数据没有被非法篡改，通过对数据进行hash运算，产生类似于指 纹的数据摘要，以保证数据的完整性。我偷改 数据

土豆两块钱一斤

土豆三块钱一斤

4ehIDx67NMop9两者不一致代表 数据已被篡改

Hash

Hash土豆两块钱一斤 4ehIDx67NMop9 4ehIDx67NMop9

2fwex67N32rfee3

标准IPSEC VPN功能介绍对数据和密钥一起进行hash运算 攻击者篡改数据后，可以根据修改后的数据生成新的摘要，以此掩盖自己 的攻击行为。 通过把数据和密钥一起进行hash运算，可以有效抵御上述攻击。我同时改数 据和摘要

土豆两块钱一斤

土豆三块钱一斤2fwex67N32rfee3两者还是不一致

Hash

Hash土豆两块钱一斤 fefe23fgrNMop7 fefe23fgrNMop7

fergergr23frewfgh

标准IPSEC VPN功能介绍通过身份认证保证数据的真实性 真实性：数据确实是由特定的对端发出。 通过身份认证可以保证数据的真实性。

常用的身份认证方式包括：– Pre-shared key,预共享密钥 – RSA Signature,数字签名

标准IPSEC VPN建立 过程

标准IPSEC VPN建立的过程Host A Router A Router B Host B

需要保护的流量流经路由器，触发路由器启动相关的协商过程。 启动IKE (Internet key exchange)阶段1,对通信双方进行身份认证，并 在两端之间建立一条安全的通道。 启动IKE阶段2,在上述安全通道上协商IPSec参数。 按协商好的IPSec参数对数据流进行加密、hash等保护。

标准IPSEC VPN建立过程Host A Router A Router B Host B

10.0.1.3

IKE 阶段 1协商建立IKE安全 通道所使用的参数

10.0.2.3

协商建立IKE安全 通道所使用的参数

交换预共享密钥 双方身份认

证 建立IKE安全通道

交换预共享密钥 双方身份认证 建立IKE安全通道

标准IPSEC VPN建立过程IKE阶段1 协商建立IKE安全通道所使用的参数，包括： – 加密算法

– Hash算法– DH算法 – 身份认证方法 – 存活时间

标准IPSEC VPN建立过程Host A Router A Router B Host B

10.0.1.3

IKE 阶段2协商IPSec安全参数

10.0.2.3

协商IPSec安全参数

建立IPSec SA

建立IPSec SA

标准IPSEC VPN建立过程IKE 阶段2

双方协商IPSec安全参数，称为变换集transform set,包括：– 加密算法 – Hash算法 – 安全协议 – 封装模式Transform 10 DES MD5 ESP Tunnel lifetime Transform 20 3DES SHA ESP Tunnel lifetime

– 存活时间– DH算法

标准IPSEC VPN建立过程IPSec SA (安全关联，Security Association): – 达到lifetime以后，原有的IPSec SA就会被删除 – 如果正在传输数据，系统会在原SA超时之前自动协商建立新的SA,

从而保证数据的传输不会因此而中断。