防火牆IPSec VPN實驗
原理概述:
指采用IPSec協定來實作遠端接入的一種VPN技術,IPSec全稱為Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定義的安全标準架構,在公網上為兩個私有網絡提供安全通信通道,通過加密通道保證連接配接的安全——在兩個公共網關間提供私密資料封包服務
IPSEC是一套比較完整成體系的VPN技術,它規定了一系列的協定标準。
VPN作為一項成熟的技術,廣泛應用于組織總部和分支機構之間的組網互聯,其利用組織已有的網際網路出口,虛拟出一條“專線”,将組織的分支機構和總部連接配接起來,組成一個大的區域網路。
VPN使用者通路内網資源還需為撥入到UTM25的使用者配置設定一個虛拟的私有IP,使SSL VPN用戶端的使用者可以像區域網路使用者一樣能正常通路區域網路内的資源。
由于IP封包本身并不內建任何安全特性,惡意使用者很容易便可僞造IP封包的位址、修改封包内容、重播以前的IP資料包以及在傳輸途中攔截并檢視資料包的内容。是以,傳統IP層協定不能擔保收到的IP資料包的安全。在應用層保證網絡安全的方法隻對特定的應用有效,不夠通用。人們迫切需要能夠在IP層提供安全服務的協定,這樣可以使TCP/IP高層的所有協定受益。IPSec(Internet Protocol Security)正是用來解決IP層安全性問題的技術。IPSec被設計為同時支援IPv4和IPv6網絡。
IPSec是Internet工程任務組(IETF)制定的一個開放的網絡層安全架構協定。它并不是一個單獨的協定,而是一系列為IP網絡提供安全性的協定和服務的集合。IPSec主要包括安全協定AH(Authentication Header)和ESP(Encapsulating Security Payload),密鑰管理交換協定IKE(Internet Key Exchange)以及用于網絡認證及加密的一些算法等。
IPSec兩種封裝模式
封裝模式是指将AH或ESP相關的字段插入到原始IP封包中,以實作對封包的認證和加密,封裝模式有傳輸模式和隧道模式兩種。
傳輸封裝:是将ESP/AH封裝在原始IP和資料之間。
隧道封裝:是将ESP/AH封裝在原始IP頭部外圍,在ESP/AH的外圍再封裝一層新IP頭部。
ESP為網絡層協定,協定号:50。
AH為網絡層協定,協定号為:51。
ESP資料加密:加密範圍為ESP頭内所有資料,不包含ESP頭部。
ESP資料認證:包含ESP頭部和尾部,不包含ESP外圍的IP頭部,是以ESP可以支援NAT穿越。
AH認證範圍:可以對整個網絡進行認證,AH不支援NAT穿越。
UDP500、4500是什麼端口?
UDP 500 是ISAKMP網際網路安全關聯和鑰匙管理協定的服務端口
PORT 500是Internet Security Association and Key Management Protocol (ISAKMP)端口号
UDP 4500 是GET VPN使用的端口如果中間裝置有nat的話 使用的就是這個端口
PORT 4500是UDP-encapsulated ESP and IKE端口号
IPSec 協定的基本工作原了解讀:
發送方在發送資料前對資料實施加密,然後把密文資料發送到網絡中去,開始傳輸。在整個傳輸過程中,資料都是以密文方式傳輸的,直到資料到達目的節點,才由接收方對密文進行解密,提取明文資訊。
IPSec 協定對網絡層的通信使用了加密技術,它不是加密資料包的頭部和尾部資訊(如源位址、目的位址、端口号、CRC 校驗值等),而是對資料包中的資料進行加密。由于加密過程發生在 IP 層,是以可在不改變 HTTP 等上層應用協定的情況下進行網絡協定的安全加密,為通信提供透明的安全傳輸服務。
IPSec 協定中使用端到端的工作模式,掌握加密、解密方法的隻有資料的發送方和接收方,兩者各自負責相應的資料加密、解密處理,而網絡中其他節點隻負責轉發資料,無須支援 IPSec,進而可以實作加密通信與傳輸媒介無關,保證機密資料在公共網絡環境下的适應性和安全性。是以,IPSec 可以應用到非常廣泛的環境中,能為區域網路、撥号使用者、遠端站點、Internet 之上的通信提供有力的保護,而且還能用來篩選特定資料流,還可以用于不同區域網路之間通過網際網路的安全互聯。
IPSec 協定不是一個單獨的協定,它包括應用于 IP 層上網絡資料安全的一整套協定,主要包括 AH(Authentication Header,IP 認證頭部協定)、ESP(Encapsulating Security Payload,封裝安全負載協定)、IKE(Internet Key Exchange,Internet 密鑰交換協定)和用于網絡認證及加密的一些算法等。
實驗目的:
了解IPSec VPN的理論知識
了解IPSec VPN的配置原理
掌握防火牆web頁面的配置
實驗背景:
防火牆FW1為北京分部的網關裝置,防火牆FW2為深圳的網關裝置,路由為ISP的裝置,使用IPSec VPN實作不同公司分支互通
實驗拓撲:
1:配置防火牆web頁面:
[FW1]web-manager enable
[FW1-GigabitEthernet0/0/0]ip address 10.1.10.1 255.255.255.0
[FW1-GigabitEthernet0/0/0]service-manage all permit 2:登入WEB頁面:
華為防火牆預設密碼是Admin@123
輸入位址:https://10.1.10.1:8443
3:配置接口:
4:劃分接口:
FW1:
将G1/0/1劃分到防火牆trust區域,将G1/0/0劃分到untrust區域
FW2:
将G1/0/1劃分到防火牆trust區域,将G1/0/0劃分到untrust區域
配置接口IP位址:
FW1:
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 11.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.1.254 255.255.255.0 FW2:
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.2.254 255.255.255.0 5:配置靜态路由:
預設目的位址為預設路由
下一跳為11.1.1.254
優先級預設為60
6:配置自定義服務:
UDP500:
配置目的端口為500
配置完成後,點選确認按鈕
7:配置IPSec VPN:
添加源安全區域:local、untrust
添加目的安全區域:local、untrust
添加源位址為:11.1.1.1/24、12.1.1.2/24
添加目的位址為:12.1.1.2/24、11.1.1.1/24
選擇服務為esp和udp500
8:配置資料VPN:
添加安全區域:trust、untrust
添加目的安全區域:trust、untrust
添加源位址為10.1.1.0/24、10.1.2.0/24
添加目的位址為10.1.1.0/24、10.1.2.0/24
FW2同理:
9:ISP配置:
#
interface GigabitEthernet0/0/0
ip address 11.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 12.1.1.254 255.255.255.0 配置完成後,測試其連通性
連通性正常
抓包分析
使用的封裝協定為ESP協定