IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:

  • 数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。
  • 数据完整性(Data Integrity):IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
  • 数据来源认证(Data Authentication):IPsec在接收端可以认证发送IPsec报文的发送端是否合法。
  • 防重放(Anti-Replay):IPsec接收方可检测并拒绝接收过时或重复的报文。

     

IPsec具有以下优点:

  • 支持IKE(Internet Key Exchange,因特网密钥交换),可实现密钥的自动协商功能,减少了密钥协商的开销。可以通过IKE建立和维护SA的服务,简化了IPsec的使用和管理。
  • 所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec,而不必对这些应用系统和服务本身做任何修改。
  • 对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络攻击。

IPsec封装模式(传输模式和隧道模式):

Markdown

AH协议不支持加密只支持认证,ESP协议(IP协议号为50)提供加密、数据源认证、数据完整性校验和防报文重放功能。

所以现在用的最多的是ESP协议,或者AH加ESP协议封装。

配置:

acl number 3000

rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 //匹配感兴趣流

#

ipsec proposal hand

esp authentication-algorithm sha1 //esp认证加密算法

#

ipsec policy hua 10 manual

security acl 3000

proposal hand   //安全联盟提议

tunnel local 20.1.1.1  //隧道本地地址

tunnel remote 20.1.1.2 //隧道远端地址

sa spi inbound esp 12345 //对端配置要相反

sa string-key inbound esp simple huawei

sa spi outbound esp 54321 //对端配置要相反

sa string-key outbound esp simple huawei

协议抓包:

Markdown