隧道技术V

基础

定义:在一个公用网络中,通过某种方式虚拟出来的一条企业内部专线。
Site-Site V(站点到站点

场景:企业总部与分支机构,企业与合作伙伴
分类:GRE,IPSec ,厂商私有vpn协议
Access V(远程访问)
场景:出差员工访问企业内部资源,移动用户访问企业内部

分类:IPSec,PPTP,L2TP+IPSec,SSL V,厂商私有vpn协议

IPsec V

完善V要求

一种设计完善的vpn就得解决私网IP数据的安全性即四方面:

  • 身份认证
  • 机密性
  • 完整性
  • 防重放攻击

基于四方面:

身份认证:
设备身份认证: Pre-Shared Keys (预共享 key 认证)、 RSA 签名认证
用户身份认证 : 短信 、 usb-key 、 用户名和密码等
机密性:加密算法

对称密钥算法:加密方与解密方采用相同的密钥,用于加密用户数据

DES,3DES,AES

非对称密钥算法:加密方通过对端的公钥加密数据,解密方通过自己的私钥解密数据,用于密钥交换和数字签名

RSA,DH
完整性:HASH/散列算法
MD5算法,SHA-1/-2/-3算法
防重放攻击主要靠 IPSec 的序列号(Sequence Number)机制 + 滑动窗口(Sliding Window) 来实现,具体由 AH 和 ESP 协议 完成

IPSec协议

两种协议:

  • AH协议:完整性,防重放
  • ESP协议:完整性,数据加密,防重放

两种模式:

  • 传输模式(Transport Mode)
  • 隧道模式(Tunnel Mode)

AH传输模式

AH隧道模式

ESP传输模式

ESP隧道模式

接收方处理过程相反

对比

IKE协议原理

如何选择共同的算法和密钥,选择AH 还是 ESP,本地如何区分与不同设备之间的保护策略,为了解决这些问题,就需要一个规定来统一,SA就产生了。

SA如何产生?

1.手工配置

人工密钥协商:SA的内容由管理员手工指定、手工维护。

手工维护容易出错,而且手工建立的SA没有生存周期限制,永不过期,除非手工删除,因此有安全隐患,在项目中几乎不会使用。

2.IKE自动管理

SA的自动建立、动态维护和删除是通过IKE进行的。而且SA有生命期。如果安全策略要求建立安全、保密的连接,但又不存在与该连接相应的SA,IPSec会立刻启动IKE来协商SA。

IKE概述

用于动态建立SA。属于一种混合型协议,使用UDP协议,端口号500。
IKE、SA、IPsec、ISAKMP关系

  • IKE 是"谈判和生成 SA 的工具"。
  • ISAKMP是谈判框架,定义了"怎么谈",相当于搭好谈判桌
  • SA 是"谈判结果、供 IPSec 使用的具体参数"。
  • IPSec 是"利用这些 SA 对流量进行加密/认证的整套机制"。

组成成分

IKE = ISAKMP的框架 + Oakley的模式 + SKEME的机制
1.ISAKMP - 建筑的框架和蓝图 (RFC 2408)

角色 :定义了SA协商过程的通用框架数据包格式状态转换流程

关键点

  • 它规定了"如何交谈"(消息怎么封装、怎么交换)。
  • 它规定了"谈什么"(协商、建立、修改、删除SA)。

但它本身不定义具体的加密算法或密钥生成方法,这使得它可以被不同的密钥交换方案使用。

2.Oakley - 建筑的具体施工模式之一

角色 :定义了多种密钥交换模式(如野蛮模式、主模式等)。

关键点:它详细说明了如何通过一系列消息来回,最终让双方生成相同的共享密钥。它提供了模式的多样性。

3.SKEME - 建筑的另一种施工技术

角色 :提供了另一种密钥交换机制,特点是支持快速密钥更新基于公钥加密的认证

关键点:它贡献了如何利用公钥技术来验证对方身份的思想。

两个阶段

两个IPSec实体之间的IKE协商分为两个阶段

第一阶段:建立ISAKMP SA(也可称为IKE SA)

两种模式:

  • 主模式(main mode):6条ISAKMP消息交互
  • 野蛮模式(aggressive mode):3条ISAKMP消息交互

目的:ISAKMP SA是为第二阶段的ISKMP消息提供安全保护

第二阶段:建立IPSec SA

一种模式: 快速模式(quick mode):3条ISAKMP消息交互

目的:IPSec SA是为IP数据提供安全保护,即前面概念中介绍的SA,ISAKMP SA可以用来保护多个第二阶段IPSec SA协商的通信过程

四个密钥

SSL V

SSL是工作在TCP层之上的加密协议。

SSL协议采用C/S架构。

SSL服务器端使用TCP协议的443号端口提供SSL服务。

协议握手过程:HTTPS=HTTP+SSL

接入方式

Web接入

实现原理:对返回Web页面中的URL进行改写,使得远程用户在公网上可以访问到私网中的URL。

TCP接入
实现原理:在远程主机上安装一个V客户端,以代理方式与SSL V网关建立SSL连接,SSL V网关再以代理方式与服务器端建立TCP连接。

IP接入
实现原理:在远程主机上安装一个虚拟网卡,配上内网的IP地址和可以访问内网的路由。远程主机与内网服务器之间传送的数据报文通过路由进行IP层的转发。

身份认证

**本地认证:**用户的帐号和密码保存在网关本地的数据库中,由网关独立地对用户身份进行认证。

**外部认证:**用户的帐号和密码保存在外部服务器上。在接收到用户提交的帐号和密码后,网关将其交给外部服务器进行验证。网关根据服务器返回的验证结果决定是否允许用户登录SSL V。

部署方式

双臂模式

**特点:**网关跨接在内网和外网之间。

**优点:**网关可以全面地保护内网,对内外网之间的所有的通讯数据进行管理和控制。

**缺点:**网关成为整个内网出口的性能瓶颈;网关的可靠性也关系到整个内网访问外网通讯的稳定性。

单臂模式

**特点:**网关设备部署于内网,代理远程主机对内网服务器的访问。

**优点:**网关的处理能力不会成为整个内网访问外网的性能瓶颈,网关的临时故障也不会影响到整个内网对外网的访问。

**缺点:**网关设备不能全面地保护内部网络,只能对部分网络流量进行管理和控制。

相关推荐
网络研究院16 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智16 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest16 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_16 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
2601_9618451516 天前
粉笔行测题库|系统班|刷题
网络·百度·微信·微信公众平台·facebook·新浪微博
程序猿阿伟16 天前
《Chrome离线扩展安装的底层逻辑与场景落地指南》
服务器·网络·chrome
InHand云飞小白16 天前
无人值守站点网络困境?工业级路由器IR315破解连接难题
网络·物联网·4g·工业路由器·4g路由器·iiot·蜂窝路由器
森G16 天前
75、服务器源码解析---------云视频服务项目
linux·服务器·网络·c++·qt
江华森16 天前
TCP/IP 协议栈实战 — 7 个实验详解
网络·tcp/ip·智能路由器
酉鬼女又兒16 天前
零基础入门计算机网络运输层:端到端通信核心作用、端口号分类规则、复用分用工作机制及UDP与TCP协议全方位对比详解
网络·网络协议·tcp/ip·计算机网络·考研·udp·php