【WALL1600下一代防火墙】下一代防火墙VPN功能配置ipsec简介

发布时间：2013-09-14

点击量：2468

应用场景

总公司和分公司各自的内网要能够互相共享资料，且共享资料的流量需要经过各自的出口设备后在Internet上传输，为了保证流量在Internet传输过程中的安全性，希望资料在网络传输中不易被黑客截获破解窃取，保证资料的安全保密，此时您可以在总公司和分公司的网络设备上建立IPSec VPN，它即能实现总公司和分公司之间能够互相访问共享资料，也能对数据传输进行加密，保证了数据的安全性。如果用户的网络已经构建好，那么防火墙要想部署在用户网络中，如果采用路由模式，那么就要修改用户的网络结构和配置。为了避免对用户的网络结构进行调整，可以使设备工作在透明网桥模式（NGFW作为桥模式串在出口路由和核心交换机之间）。通过将防火墙设备映射到外网，通过IKE自动协商建立起IPSec 的VPN加密隧道。使得这两个局域网内部的PC机1和PC机2之间的通信，在这两个局域网间数据是被加密传输的。

各自适用场景：

端到网关方式：通过IPSec客户端拨入的方式，可以在单个端用户到安全网关之间建立安全的传输通道，实现资料共享的同时保障通信数据的安全保密。

端到端方式：适用在单个端用户之间通过中心网关中转建立安全的传输通道，以保证传输数据的机密性和完整性。

透明/混合模式：串联接入的好处是结构清晰，结合硬件bypass，即桥组的inside口和outside口分别对应硬件bypass的接口，当设备下电或者上电，硬件自动bypass，网络中断时间在10s以内，避免了无人值守的情况下网络的长时间中断。（备注：目前版本暂不支持硬件bypass功能）

旁路模式：当已经建好的网络无法接受串接带来拓扑的改变的话，此时使用旁路是一个好的方法。旁路在不改变网络的拓扑结构的情况下可实现桥模式的功能。并且当设备宕机的时候不影响网络。

IPSEC VPN原理简介

IPSec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPSec提供了以下网络安全服务，这些安全服务是可选的，通常情况下，本地安全策略决定了采用以下安全服务的一种或多种：

l 1、数据的机密性—IPSec的发送方对发给对端的数据进行加密

l 2、数据的完整性—IPSec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改

l 3、数据来源的认证—IPSec接收方验证数据的起源

l 4、抗重播—IPSec的接收方可以检测到重播的IP包丢弃

使用IPSec可以避免数据包的监听、修改和欺骗，数据可以在不安全的公共网络环境下安全的传输，IPSec的典型运用是构建VPN。

IPSec使用“封装安全载荷（ESP）”或者“鉴别头（AH）”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播；

使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ，根据安全策略数据库（SPDB）随IPSec使用，用来协商安全联盟（SA）并动态的管理安全联盟数据库。

数字证书原理简介

IPsec 的密钥管理协议IKE RFC标准中对参与通讯的各方安全网关(或安全路由器)身份认证有3种方法：预共享密钥，公钥加密，数字签名。

数字证书称为数字标识（Digital Certificate ，Digital ID）。它提供了一种在 Internet 上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。数字证书它是由一个由权威机构即CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在交往中用它来识别对方的身份。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关交易操作。通俗地讲，数字证书就是个人或单位在 Internet上的身份证。

比较专业的数字证书定义是，数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循相关国际标准。有了数字证书，我们在网络上就可以畅通无阻。

预共享密钥与数字证书的区别

IPsec 对参与通讯的各方安全网关(或安全路由器)身份认证有3种方法：预共享密钥，公钥加密，数字签名。

区别：预共享密钥的认证方式，认证密钥易泄露。使用数字证书的认证，能够更有效保障身份认证的安全性。

各自适用的场景：

预共享密钥方式：预共享密钥身份验证要求在协商密钥前预先把参与通讯的各方安全网关对应的密钥先保存在安全网关上，在IP地址不固定的情况下只能采取所有的安全网关都用相同的密钥，这显然只能适合小型且对安全性要求不高的网络。共享密钥优点是软件实现起来比较容易，配置简单，且设备投资比较小。

数字证书方式：公钥加密身份验证利用非对称加密算法验证设备的身份，要求协商密钥前预先把参与通讯的各方对应的公钥配置到安全网关上，安全性有很大的提高，但管理起来还是不方便。

主模式与野蛮模式的区别

ispec的vpn隧道第一阶段建立方式分为主模式和野蛮模式，这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。

具体区别在于：

1、主模式在IKE协商的时候要经过三个阶段：SA交换、密钥交换、ID交换和验证；野蛮模式只有两个阶段：SA交换和密钥生成、ID交换和验证。

2、主模式一般采用IP地址方式标识对端设备；而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。

因此相比较而言，主模式更安全，而野蛮模式协商速度更快，VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。