返回
ipsec的shell命令配置手册

ipsec的shell命令配置手册

ID:33592268

大小:700.00 KB

页数:18页

时间:2019-02-27

ipsec的shell命令配置手册_第1页
ipsec的shell命令配置手册_第2页
ipsec的shell命令配置手册_第3页
ipsec的shell命令配置手册_第4页
ipsec的shell命令配置手册_第5页
资源描述:

《ipsec的shell命令配置手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第4章IPSec配置任务4-18第4章IPSec配置14.1VPN及IPSec概述14.1.1VPN简介14.1.2IPSec协议简介14.2术语列表34.3IPSec配置命令44.3.1Enable模式下的命令44.3.2IPSec模式下的配置命令44.4VPN的配置实例104.4.1总部到分支的配置实例104.4.2总部到移动用户的配置实例15附录A词汇18第4章IPSec配置4.1VPN及IPSec概述4.1.1VPN简介VPN在公网上常作为一个安全网关设备,支持IPSec协议。它的主要作用是采用加密、认证和网络技术在公共互连网上构建相互信任方之间的安全加密信息传输

2、通道,以期达到专用网络的效果。VPN网关在其中将发挥非常重要的核心作用。VPN网关工作在本地局域网及与其通信的远程局域网的网关位置,具有加密和认证功能。相互信任的局域网间进行通信时,仍然使用互联网作为中间信道。但是,通过VPN网关的加密功能确保信息在不安全的互联网上流通时是密文形式。这样,即便信息被截取,也无法偷窥或篡改其内容。保证通过互联网连接的局域网间通信的安全性、机密性、可认证性和完整性等安全性能。4.1.2IPSec协议简介IPSec为IP层提供安全服务的安全网络协议,保护一条或多条主机与主机间、安全网关与安全网关或安全网关与主机间的路径。它使系统能按需选择安全协

3、议,决定服务所使用的算法及放置密钥到相应位置。它使系统具有良好的互操作性,对那些不支持IPSec的主机和网络不会产生任何负面影响。第4章IPSec配置任务4-18IPSec为用户提供的服务有:¾完整性――完整性可以确定信息在从发送方到接受方的过程中是否被篡改和破坏,可以通过MAC码和数字签名提供。IPSec对接受到的数据进行数据认证,以保证数据在传输过程中没有被修改。¾机密性――机密性提供对敏感信息的保护,使未授权用户无法读取有关信息IPSec通过加密算法对数据包进行加密,以保证数据在网路中以密文传输。¾可认证性――可认证性能够确认数据的来源,确定是传送者本人,不是被别人

4、伪造的,包括认证发送者的身份和数据源。¾不可否认性――不可否认性可以视为身份识别和验证的一种扩展,它可以用来防止信息发送者对所发送信息的抵赖。通过数字签名和时间戳,信息发送者无法对自己所发送过的信息进行抵赖。¾抗重播服务――IPSec通过序列号可以检测和拒绝被重放的数据包,从而提供抗重播服务。IPSec所使用的协议:¾AH――头部认证协议。提供无连接完整性,数据源认证和选择性抗重播服务。可以使用传输和通道两种模式。¾ESP――封装安全负载。提供加密,有限传输流加密。它同时也提供无连接的完整性验证,数据源认证,选择性抗重播服务。可以使用传输和通道两种模式。AH和ESP两种安

5、全协议的区别除了所提供的安全服务不同以外,他们认证的范围也不一样。AH对整个IP报文包括IP头部进行认证。ESP则对报文的IP头部以后的数据负载进行认证。安全协议使用的安全通道存在着两种使用模式:¾传输模式――将安全协议头插入到原始IP报文的IP头部和上层协议数据之间。这种模式是由主机而不是网关使用,网关甚至可以不支持传输模式。¾通道模式――即隧道模式,在通道模式下,需要保护的IP报文被封装在新的IP报文中,作为新报文的负载,然后对新IP报文使用安全协议(AH/ESP).用于网关,当安全关联的任一个端点是网关时,就要使用通道模式。通道模式的主要优点是可以对被封装报文提供完

6、全的保护,同时使私有地址的使用成为可能。第4章IPSec配置任务4-184.1术语列表¾反重放――一种安全性服务,使得介绍者可以拒绝接受过时或包拷贝,以保护自己不被攻击。手工建立的安全联盟(即通过配置而不是通过IKE建立的安全联盟)不支持这一服务。¾数据认证――包括两个概念:数据完整性(检查数据是否被修改过)。数据来源认证(检查数据是否真的是由声称的发送者发送的)。¾数据机密性――一种保护数据不被窥探的安全性协议。¾数据流--即成组的通信,由一个由源地址掩码、目标地址掩码、IP的下一个协议域、源和目标端口组成的联合体所标识。¾安全联盟--一个IPSEC安全联盟(SA)描述

7、了两个或多个实体在某一个特定安全协议(AH或ESP)环境下,为了保护某个特定的数据流,将如何使用安全服务来进行通信。它包括了用于保护通信的共享安全密钥和变换等内容。安全联盟由安全参数索引、目的地址、安全协议三元组唯一标识。安全联盟是单向的,并对每种安全性协议唯一。所以一旦为IPSEC建立了安全联盟,两个方向的安全联盟(对于每一个协议将同时建立)。安全联盟可以手动建立也可以自动建立。手动SA,指在配置环境下,手工配置安全联盟所必要的参数,从而使安全联盟建立起来。自动SA,指在配置环境下,输入一些参数,通过IKE自动建立起安全联盟

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。