华为防火墙配IPSEC.docx
- 文档编号:26540459
- 上传时间:2023-06-20
- 格式:DOCX
- 页数:73
- 大小:63.78KB
华为防火墙配IPSEC.docx
《华为防火墙配IPSEC.docx》由会员分享,可在线阅读,更多相关《华为防火墙配IPSEC.docx(73页珍藏版)》请在冰豆网上搜索。
华为防火墙配IPSEC
8配置IPSec
插图目录
8配置IPSec
关于本章
本章描述内容如下表所示。
标题
内容
简介
介绍IPSec协议和证书认证机制。
配置Manual方式协商的IPSec隧道
介绍采用Manual方式协商的IPSec隧道的配置方法。
配置举例:
配置采用Manual方式建立SA示例
配置IKE方式协商的IPSec隧道
介绍采用IKE方式协商的IPSec隧道的配置方法。
配置举例1:
配置采用IKE方式建立SA示例(预共享密钥)
配置举例2:
配置采用IKE方式建立SA示例(RSA签名)
配置证书申请
介绍申请CA证书、本地证书和CRL的方法。
配置举例:
配置使用SCEP方式申请证书示例
配置证书验证功能
介绍验证证书有效性的方法。
维护
介绍IPSec的维护方法。
配置举例
介绍IPSec的组网举例及配置方法。
简介
8.1.1IPSec概述
IPSec(IPSecurity)协议族是IETF制定的一系列协议,它为IP报文提供了基于密码学的、可互操作的、高质量的安全保护机制。
特定的通信双方在IP层通过加密与数据源验证等方式,保证报文在网络中传输时的私有性、完整性、真实性,并有效防御重放攻击。
IPSec对报文的保护通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)两种安全协议实现。
各协议的功能简单介绍如下:
AH协议主要提供的功能有数据源验证、数据完整性校验和防御报文重放攻击,但不能对需要保护的报文进行加密。
ESP协议除提供AH协议的所有功能外,还可提供对IP报文的加密功能。
与AH协议不同的是,其数据完整性校验不包括IP报文头。
ESP协议允许对报文同时进行加密和验证,或只加密,或只验证。
为简化IPSec的使用和管理,除了可以手动建立安全联盟SA(SecurityAssociation)外,还可以通过IKE(InternetKeyExchange)进行自动协商交换密钥、建立和维护SA。
IKE协议用于自动协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。
Eudemon除可以通过软件进行SA协商外,还能通过IPSec加密卡进行协商。
有关加密卡的相关介绍,请参见《QuidwayEudemon200防火墙 安装指南》。
8.1.2基于证书认证机制的IPSec
Eudemon提供基于公钥基础设施PKI(PublicKeyInfrastructure)框架的证书认证机制,支持证书的申请、存储和验证,但不提供生成证书功能。
PKI是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。
它是一套软硬件系统和安全策略的集合,提供了一整套安全机制。
PKI采用证书进行公钥管理,通过第三方的可信任机构,把用户的公钥和用户的其他标识信息捆绑在一起,实现在网上验证用户身份功能。
PKI为用户建立起一个安全的网络运行环境,用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。
数据的机密性是指数据在传输过程中,不能被非授权者查看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。
不采用证书机制的IPSec情况下,进行网络扩容时,每新增一台设备,都需要修改其余设备的配置。
操作繁琐,且易出错。
证书机制可以为IPSec网络提供集中的密钥管理机制,并增强整个IPSec网络的伸缩性。
在采用证书机制的IPSec网络中,每台设备都拥有CA(CertificationAuthority)颁发的证书,当设备之间进行通讯时,只要通过交换证书就可以确认对方的身份(因为所有的设备都信任CA,所以对CA颁发的证书都信任),并获得对方的公钥(从对方的证书中获取)。
这样当有新设备加入时,只需要为新增加的设备申请一个证书,就可以与其他设备进行通讯,而不需要修改其他设备的配置。
在实际应用中,证书分为两种:
CA证书
是颁发机构本身的证书,用于验证CA颁发的本地证书和CRL(CertificateRevocationList)的有效性。
本地证书
由CA颁发,在IPSec设备通信时使用。
证书绑定了名字和本地公钥,如同网络身份证。
在获取本地证书前,需要首先获取CA证书。
配置Manual方式协商的IPSec隧道
8.2.1建立配置任务
应用环境
考虑到安全性,数据流往往需要认证。
在一些安全性要求较高的场合,数据流可能既需要认证又需要加密,此时需要在IPSec服务发起端和终结端的Eudemon设备上配置IPSec功能。
当与Eudemon进行通信的对等体设备数量较少时,或是在小型静态环境中,可以选择Manual方式协商IPSec隧道。
前置任务
在配置IPSec前,需要完成以下任务:
配置Eudemon的工作模式
配置接口的IP地址
配置接口加入安全区域
只有Eudemon工作于路由模式才可以配置IPSec。
数据准备
在配置IPSec前,需要准备以下数据。
序号
数据
1
高级ACL的相关参数
2
安全提议的名称
3
使用的安全协议
4
AH协议的验证算法
5
ESP协议的验证算法
6
ESP协议的加密算法
7
报文的封装形式
8
安全策略的名称和顺序号
9
SA的建立方式
10
隧道本端的IP地址(仅用于手工协商方式)
11
隧道对端的IP地址
12
AH协议入方向和出方向的SPI(SecurityParametersIndex)
13
ESP协议入方向和出方向的SPI
14
AH协议入方向和出方向的验证密钥(以字符串方式输入)
15
ESP协议入方向和出方向的验证密钥(以字符串形式输入)
16
AH协议入方向和出方向的验证密钥(以16进制方式输入)
17
ESP协议入方向和出方向的验证密钥(以16进制方式输入)
18
ESP协议入方向和出方向的加密密钥(以16进制方式输入)
19
接口类型和接口编号
配置过程
要完成IPSec的配置,需要按照以下过程配置。
序号
过程
1
创建需要保护的数据流
2
配置IPSec安全提议
3
配置IPSec安全策略
4
引用IPSec安全策略
5
检查配置结果
8.2.2创建需要保护的数据流
IPSec能够对不同的数据流进行安全保护。
在实际应用中,需要首先通过ACL定义数据流,再在安全策略中引用该ACL,从而起到保护该数据流的作用。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令acl[number]acl-number[match-order{config|auto}],创建高级ACL,并进入相应视图。
步骤3执行命令rule[rule-id]{permit|deny}protocol[source{source-addresssource-wildcard|address-setaddress-set-name|any}|destination{destination-addressdestination-wildcard|address-setaddress-set-name|any}|source-port{operatorport|rangeport1port2|port-setport-set-name}|destination-port{operatorport|rangeport1port2|port-setport-set-name}|icmp-type{icmp-typeicmp-code|icmp-message}|precedenceprecedence|tostos|time-rangetime-name|logging]*,配置ACL规则。
----结束
配置时请注意:
需要精确配置ACL。
−建议只对确实需要IPSec保护的数据流进行保护,即在配置ACL规则时,严格配置需要保护的数据流的动作关键字为permit。
−建议避免盲目使用关键字any,否则,数据流定义范围过大,会对不需要加密的普通数据流也进行加密。
当被加密的数据流到达没有配置IPSec的网关设备时,会因网关无法识别加密数据而被丢弃。
对于有不同安全保护要求的数据流,需要创建不同的ACL和相应的安全策略。
隧道两端的设备,ACL需要镜像配置。
8.2.3配置IPSec安全提议
隧道两端的设备,安全协议、验证算法、加密算法、报文封装格式需要配置相同,否则不能成功建立SA。
IPSec安全提议(Proposal)用于指定IPSec所采取的一系列措施,包含对需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令ipsecproposalproposal-name,创建安全提议并进入安全提议视图。
Eudemon最多支持50个安全提议。
步骤3执行命令transform{ah|ah-esp|esp},选择安全协议。
步骤4根据transform命令配置的安全协议,配置验证算法和加密算法。
如果transform命令配置为ah或ah-esp,则配置AH协议采用的验证算法,执行命令ahauthentication-algorithm{md5|sha1}。
如果transform命令配置为esp或ah-esp,则配置ESP协议采用的验证和加密算法。
−执行命令espauthentication-algorithm{md5|sha1},配置ESP验证算法。
−执行命令espencryption-algorithm{3des|des|aes[128|192|256]},配置ESP加密算法。
步骤5执行命令encapsulation-modetunnel,指定报文封装形式。
----结束
8.2.4配置IPSec安全策略
隧道两端的设备,SA参数SPI、string-key、authentication-hex和encryption-hex需要镜像配置,否则不能正确建立隧道。
IPSec安全策略规定了对什么样的数据流采用什么样的安全提议。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令ipsecpolicypolicy-nameseq-numbermanual,创建安全策略。
一个安全策略组最多支持配置512条安全策略,所有安全策略的总数也不能超过512。
用户购买了支持多少条隧道数的License,就支持创建多少条隧道,也就是如果创建了超出License限制数目的安全策略是不起作用的。
步骤3执行命令proposalproposal-name,在安全策略中引用安全提议。
步骤4执行命令securityaclacl-number,在安全策略中引用访问控制列表。
一条安全策略只能引用一条ACL。
如果配置安全策略引用了多条ACL,最后配置的ACL生效。
步骤5执行命令tunnellocalip-address,配置隧道的起点。
tunnellocal命令中的IP地址只能是应用IPSec的接口地址。
步骤6执行命令tunnelremoteip-address,配置隧道的终点。
在配置SA时,需要分别设置inbound和outbound两个方向的SA的参数。
只需配置IPSec安全提议使用的协议的相应配置。
如:
配置IPSec安全提议时使用transformah选择了ah安全协议,则配置SA参数时只需配ah一套参数,不需配esp的参数。
saspi命令需要与sastring-key或saauthentication-hex或saencryption-hex共同使用,才能成功创建手工IPSec隧道。
先配置sastring-key命令后,则无法再配置saauthentication-hex或saencryption-hex命令,后配置的会覆盖sastring-key命令的配置;相反,先配置saauthentication-hex或saencryption-hex再配置sastring-key,前面两条命令的配置都会被sastring-key命令的配置覆盖。
saauthentication-hex和saencryption-hex两条命令的配置相互没有影响。
步骤7执行命令saspiinboundahspi-number,配置采用AH协议的入方向SA的SPI。
步骤8执行命令saspioutboundahspi-number,配置采用AH协议的出方向SA的SPI。
步骤9执行命令saspiinboundespspi-number,配置采用ESP协议的入方向SA的SPI。
步骤10执行命令saspioutboundespspi-number,配置采用ESP协议的出方向SA的SPI。
如果分别以两种方式输入了密钥,则最后设定的密钥有效。
在安全隧道的两端,应当以相同的方式输入密钥。
如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立安全隧道。
步骤11执行命令sastring-keyinboundahstring-key,配置采用AH协议的入方向SA的验证密钥(以字符串方式输入)。
步骤12执行命令sastring-keyoutboundahstring-key,配置采用AH协议的出方向SA的验证密钥(以字符串方式输入)。
步骤13执行命令sastring-keyinboundespstring-key,配置采用ESP协议的入方向SA的验证密钥(以字符串方式输入)。
步骤14执行命令sastring-keyoutboundespstring-key,配置采用ESP协议的出方向SA的验证密钥(以字符串方式输入)。
步骤15执行命令saauthentication-hexinboundahhex-key,配置采用AH协议的入方向SA的验证密钥(以16进制方式输入)。
步骤16执行命令saauthentication-hexoutboundahhex-key,配置采用AH协议的出方向SA的验证密钥(以16进制方式输入)。
步骤17执行命令saauthentication-hexinboundesphex-key,配置采用ESP协议的入方向SA的验证密钥(以16进制方式输入)。
步骤18执行命令saauthentication-hexoutboundesphex-key,配置采用ESP协议的出方向SA的验证密钥(以16进制方式输入)。
步骤19执行命令saencryption-hexinboundesphex-key,配置采用ESP协议的入方向SA的加密密钥(以16进制方式输入)。
步骤20执行命令saencryption-hexoutboundesphex-key,配置采用ESP协议的出方向SA的加密密钥(以16进制方式输入)。
----结束
8.2.5引用IPSec安全策略
在指定接口上引用IPSec安全策略,从而对经过此接口且符合ACL的报文应用IPSec保护。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤3执行命令undoipfast-forwardingqff,关闭接口的快速转发功能。
步骤4执行命令ipsecpolicypolicy-name,在接口上应用安全策略。
----结束
一个接口只能应用一个安全策略组,一个安全策略组可以应用到多个接口上。
但Manual方式配置的安全策略只能应用到一个接口。
如果所应用的安全策略是Manual方式建立SA,会立即生成SA。
如果所应用的安全策略是IKE方式建立SA,需要经过IKE协商才会生成SA。
Eudemon实现的IPSec安全策略除可以应用到串口、以太网口等实际物理接口外,还能应用到Tunnel、VirtualTemplate、Dialer等虚拟接口。
此时即可根据实际组网需求,在如L2TP等隧道上应用IPSec。
8.2.6检查配置结果
可以在所有视图下执行以下命令检查配置结果。
操作
命令
查看SA的相关信息
displayipsecsa[brief|remoteip-address|policypolicy-name[seq-number]|duration]
查看安全提议的信息
displayipsecproposal[nameproposal-name]
查看安全策略的信息
displayipsecpolicy[brief|namepolicy-name[seq-number]]
配置IKE方式协商的IPSec隧道
8.3.1建立配置任务
应用环境
考虑到安全性,数据流往往需要认证。
在一些安全性要求较高的场合,数据流可能既需要认证又需要加密,此时需要在IPSec服务发起端和终结端的Eudemon设备上配置IPSec功能。
对于中、大型的动态网络环境,推荐使用IKE方式协商IPSec隧道。
IKE协商支持预共享密钥(pre-share)、RSA签名(rsa-sig)和RSA加密NONCE(rsa-encr)3种身份验证方式。
其中,RSA签名方式需要预先申请证书,申请过程请参见“配置证书申请”。
前置任务
在配置IPSec前,需要完成以下任务:
配置Eudemon的工作模式
配置接口的IP地址
配置接口加入安全区域
配置需要协商的两台Eudemon获取CA证书、本地证书和CRL(RSA签名方式)
只有Eudemon工作于路由模式才可以配置IPSec。
使用证书的验证要求所有证书和CRL都已经导入到内存。
并且都使用同一个CA中心。
需要协商的两台Eudemon之间通信正常。
数据准备
在配置IPSec前,需要准备以下数据。
序号
数据
1
高级ACL的相关参数
2
安全提议的名称
3
使用的安全协议
4
AH协议的验证算法
5
ESP协议的验证算法
6
ESP协议的加密算法
7
报文的封装形式
8
安全策略的名称和顺序号
9
SA的建立方式
10
隧道对端的IP地址
11
接口类型和接口编号
12
CA证书、本地证书和CRL(RSA签名方式)
配置过程
要完成IPSec的配置,需要按照以下过程配置。
序号
过程
1
创建需要保护的数据流
2
配置IPSec安全提议
3
配置IKE安全提议
4
配置IKEPeer
5
配置IPSec安全策略模板
6
配置IPSec安全策略
7
引用IPSec安全策略
8
检查配置结果
8.3.2创建需要保护的数据流
IPSec能够对不同的数据流进行安全保护。
在实际应用中,需要首先通过ACL定义数据流,再在安全策略中引用该ACL,从而起到保护该数据流的作用。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令acl[number]acl-number[match-order{config|auto}],创建高级ACL,并进入相应视图。
步骤3执行命令rule[rule-id]{permit|deny}protocol[source{source-addresssource-wildcard|address-setaddress-set-name|any}|destination{destination-addressdestination-wildcard|address-setaddress-set-name|any}|source-port{operatorport|rangeport1port2|port-setport-set-name}|destination-port{operatorport|rangeport1port2|port-setport-set-name}|icmp-type{icmp-typeicmp-code|icmp-message}|precedenceprecedence|tostos|time-rangetime-name|logging]*,配置ACL规则。
----结束
8.3.3配置IPSec安全提议
IPSec安全提议(Proposal)用于指定IPSec所采取的一系列措施,包含对需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令ipsecproposalproposal-name,创建安全提议并进入安全提议视图。
步骤3执行命令transform{ah|ah-esp|esp},选择安全协议。
在配置NAT穿越的情况下,必须选择ESP协议。
步骤4根据transform命令配置的安全协议,配置验证算法和加密算法。
如果transform命令配置为ah或ah-esp,则配置AH协议采用的验证算法,执行命令ahauthentication-algorithm{md5|sha1}。
如果transform命令配置为esp或ah-esp,则配置ESP协议采用的验证和加密算法。
−执行命令espauthentication-algorithm{md5|sha1},配置ESP验证算法。
−执行命令espencryption-algorithm{3des|des|aes[128|192|256]},配置ESP加密算法。
步骤5执行命令encapsulation-modetunnel,选择报文封装形式。
----结束
8.3.4配置IKE安全提议
IKE安全提议用来协商建立安全通道,协商参数包括验证方式、加密算法、验证算法、Diffie-Hellman组标识和SA生存周期。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令ikeproposalproposal-number,创建IKE安全提议并进入IKE安全提议视图。
可以按照优先级创建多条IKE提议,但是协商双方必须至少有一条匹配的IKE提议才能协商成功。
步骤3执行命令encryption-algorithm{des-cbc|3des-cbc|aes-cbc},选择加密算法。
步骤4执行命令authentication-method{p
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 防火墙 IPSEC