封装安全载荷esp密钥交换ike.ppt

IPSec 的工作模式和原理 IPSec 的工作模式有传输模式和隧道模式。传输模式是在IP 层对上层TCP 或UDP 的协议数据元进行封装, 并根据具体配置提供安全保护, 通常当ESP 在一台主机上实现时使用, 其结构如图3 所示。隧道模式是在ESP 关联到多台主机的网络访问装置实现时提供安全保护, 整个IP 数据包用自己的地址作为源地址加入到新的IP 头。当它用在用户终端设置时可提供更多的便利来隐藏内部服务器主机和客户机的地址, 其结构如图所示。 IPv6安全技术应用 路由安全的应用 Ipv6 中的IP 地址多数是动态分配, 通过AH 和ESP 报头, 将组合应用到交换的路由信息上, 防止信息和路由的假造, 进而防止多网络的攻击和破坏。因此要保证这一过程的安全, 下面的信息是要进行保护的: 路由更新信息）保证路由更新信息是发自有权限的合法路由器; 邻居宣告信息）保证信息来自可信的远方主机, 避免网络中出现未知的主机; 与ICMP 相关的信息）保证主机和网络不可到达等ICMP 信息来自确定主机和路由器。 IPv6安全技术应用 应用层的安全应用 Ipv6 提供的是网络层的安全, 而应用层也得有安全保障。应用程序进行数据传输时要选择通信通道, 在传输层指定通道的安全性。数据在传输中AH 和ESP 对数据进行保护, 保证身份验证和数据完整性, 接收机从安全通道接收到数据后, 再结合其他的安全机制完成数据传输。因此, 在网络层的安全基础上应用层也要提供诸如身份认证、数据完整性等安全机制。 IPv6安全技术应用 专用虚拟网VPN 的应用 所谓VPN 是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网, 它采用了认证、存取控制、机密性、数据完整性等措施, 以保证信息在传输中不被偷看、篡改、复制。VPN在Ipv4 中是通过IP 隧道技术来实现的, 有了支持IPSec 的网关, 我们可以建立功能非常完善的VPN。一端与受保护的内网相连, 另一端则是不安全的公共网络, 两个安全网关为所有需要保护的内部子网或主机建立安全通道, 所有内部通信在这个通道中传输, 中间任何一个路由器都不需要做相应设置, 这就形成了一个VPN。因此, IPsec 实现的是一种与接入网络无关的VPN 技术, 已完成了标准化的工作, 可以对VPN 提供安全保障。 * 1 1 第6章 IPv6安全技术 第6章 学习内容和要求 本章学习内容及要求 要求了解IPv6安全问题的主要内容 熟知IPv6中用到的加密机制及其特点 熟知IPv6的安全要素 掌握IPv6中的Ipsec安全标准 掌握IPv6 ACL的工作原理和配置 6.1 IPv6安全问题 网络安全的特征 6.1.2 网络安全面临的威胁 主动攻击和被动攻击 6.1.3 基本的安全需求和技术 网络安全加密技术模型 网络安全模型及对称密码加密过程 公钥密码体制 需要说明的问题 数字签名和报文鉴别 6.2 Internet的安全技术 防火墙的构成 6.2.2 传输层保护 6.2.3 应用层安全 IPv6的访问控制列表ACL IPv6的ACL (access-list)和IPv4大同小异， 不同的是： （1）IPv6 的ACL只能采用命名的方式来定义 Ipv6 access-list 列表名称 （2）IPv4在接口下面是用的ip access-group. IPv6如果想应用access-list的话，就是用命令ipv6 traffic-filter xxxx in/out. IPv6的访问控制列表ACL 在IPv4中，我们都知道最后一个默认隐藏的命令是： deny ip any any 在IPv6中也是一样。deny ipv6 any any.但是在这之前还加入了一些隐藏命令。总得顺序是这样的。 permit icmp any any nd-ns permit icmp any any nd-na deny ipv6 any any 当然这些在一个IPv6的ACL中是不会被显示出来的。 nd-na 邻居公告消息，ICMPv6 type=136 nd-ns 邻居请求消息, ICMPv6 type=135. router-advertisement 路由器公告，ICMPv6 type=134. router-solicitation 路由器请求， ICMPv6 type=133. IPv6的访问控制列表ACL 显示IPv6 ACL show ipv6 access-list IPv6的访问控制列表ACL 利用访问控制列表来限制网络中的不同主机之间的访问，通过在访问控制列表中定义规则，可以让特定主机无法访问特定网络。（拒绝PC0 ping PC1 ） 第一步：配置路由器接口。 第二步：设置IPv6访问控制