华为防火墙配IPSEC.doc

资源描述

《华为防火墙配IPSEC.doc》由会员分享，可在线阅读，更多相关《华为防火墙配IPSEC.doc（57页珍藏版）》请在金锄头文库上搜索。

1、8 配置IPSec. 8-18.1 简介. 8-28.1.1 IPSec概述. 8-28.1.2 基于证书认证机制的IPSec. 8-28.2 配置Manual方式协商的IPSec隧道. 8-38.2.1 建立配置任务. 8-38.2.2 创建需要保护的数据流. 8-58.2.3 配置IPSec安全提议. 8-58.2.4 配置IPSec安全策略. 8-68.2.5 引用IPSec安全策略. 8-88.2.6 检查配置结果. 8-88.3 配置IKE方式协商的IPSec隧道. 8-98.3.1 建立配置任务. 8-98.3.2 创建需要保护的数据流. 8-108.3.3 配置IPSec安全提议

2、. 8-118.3.4 配置IKE安全提议. 8-118.3.5 配置IKE Peer 8-128.3.6 配置IPSec安全策略模板. 8-148.3.7 配置IPSec安全策略. 8-158.3.8 引用IPSec安全策略. 8-168.3.9 检查配置结果. 8-168.4 配置证书申请. 8-178.4.1 建立配置任务. 8-178.4.2 配置实体名称. 8-188.4.3 创建本地公私密钥对. 8-198.4.4 配置证书申请受理机构. 8-198.4.5 获取CA证书. 8-208.4.6 申请本地证书. 8-208.4.7 （可选）获取CRL. 8-218.4.8 检查配置结

3、果. 8-218.5 配置证书验证功能. 8-228.5.1 建立配置任务. 8-228.5.2 配置CRL更新周期. 8-228.5.3 配置是否检查CRL. 8-238.5.4 配置证书验证. 8-238.5.5 检查配置结果. 8-238.6 维护. 8-238.6.1 查看IPSec处理报文的统计信息. 8-238.6.2 调试IPSec. 8-248.6.3 调试IKE. 8-248.6.4 删除IKE SA. 8-248.6.5 删除SA. 8-258.6.6 清除IPSec统计报文. 8-258.6.7 维护低速加密卡. 8-258.6.8 维护CA. 8-268.7 配置举例.

4、 8-278.7.1 配置采用Manual方式建立SA示例. 8-278.7.2 配置采用IKE方式建立SA示例（预共享密钥）. 8-348.7.3 配置采用IKE方式建立SA示例（RSA签名）. 8-418.7.4 配置使用SCEP方式申请证书示例. 8-49插图目录图8-1 采用Manual方式建立SA配置示例组网图. 8-28图8-2 采用IKE方式建立SA配置示例组网图（预共享密钥）. 8-35图8-3 采用IKE方式建立SA配置示例组网图（RSA签名）. 8-42图8-4 使用SCEP方式申请证书配置示例组网图. 8-498 配置IPSec关于本章本章描述内容如下表所示。标题内容8.

5、1 简介介绍IPSec协议和证书认证机制。8.2 配置Manual方式协商的IPSec隧道介绍采用Manual方式协商的IPSec隧道的配置方法。配置举例：配置采用Manual方式建立SA示例8.3 配置IKE方式协商的IPSec隧道介绍采用IKE方式协商的IPSec隧道的配置方法。配置举例1：配置采用IKE方式建立SA示例（预共享密钥）配置举例2：配置采用IKE方式建立SA示例（RSA签名）8.4 配置证书申请介绍申请CA证书、本地证书和CRL的方法。配置举例：配置使用SCEP方式申请证书示例8.5 配置证书验证功能介绍验证证书有效性的方法。8.6 维护介绍IPSec的维护方法。8.7 配置

6、举例介绍IPSec的组网举例及配置方法。8.1 简介8.1.1 IPSec概述IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP报文提供了基于密码学的、可互操作的、高质量的安全保护机制。特定的通信双方在IP层通过加密与数据源验证等方式，保证报文在网络中传输时的私有性、完整性、真实性，并有效防御重放攻击。IPSec对报文的保护通过AH（Authentication Header）和ESP（Encapsulating Security Payload）两种安全协议实现。各协议的功能简单介绍如下：l AH协议主要提供的功能有数据源验证、数据完整性校验和防御报文重放攻击，但

7、不能对需要保护的报文进行加密。l ESP协议除提供AH协议的所有功能外，还可提供对IP报文的加密功能。与AH协议不同的是，其数据完整性校验不包括IP报文头。ESP协议允许对报文同时进行加密和验证，或只加密，或只验证。为简化IPSec的使用和管理，除了可以手动建立安全联盟SA（Security Association）外，还可以通过IKE（Internet Key Exchange）进行自动协商交换密钥、建立和维护SA。IKE协议用于自动协商AH和ESP所使用的密码算法，并将算法所需的必备密钥放到恰当位置。Eudemon除可以通过软件进行SA协商外，还能通过IPSec加密卡进行协商。有关加密卡的

8、相关介绍，请参见Quidway Eudemon 200 防火墙安装指南。8.1.2 基于证书认证机制的IPSecEudemon提供基于公钥基础设施PKI（Public Key Infrastructure）框架的证书认证机制，支持证书的申请、存储和验证，但不提供生成证书功能。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。它是一套软硬件系统和安全策略的集合，提供了一整套安全机制。PKI采用证书进行公钥管理，通过第三方的可信任机构，把用户的公钥和用户的其他标识信息捆绑在一起，实现在网上验证用户身份功能。PKI为用户建立起一个安全的网络运行环境，

9、用户可以在多种应用环境下方便地使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中，不能被非授权者查看；数据的完整性是指数据在传输过程中不能被非法篡改；数据的有效性是指数据不能被否认。不采用证书机制的IPSec情况下，进行网络扩容时，每新增一台设备，都需要修改其余设备的配置。操作繁琐，且易出错。证书机制可以为IPSec网络提供集中的密钥管理机制，并增强整个IPSec网络的伸缩性。在采用证书机制的IPSec网络中，每台设备都拥有CA（Certification Authority）颁发的证书，当设备之间进行通讯时，只要通过交换证书就可以确认对方的身份

10、（因为所有的设备都信任CA，所以对CA颁发的证书都信任），并获得对方的公钥（从对方的证书中获取）。这样当有新设备加入时，只需要为新增加的设备申请一个证书，就可以与其他设备进行通讯，而不需要修改其他设备的配置。在实际应用中，证书分为两种：l CA证书是颁发机构本身的证书，用于验证CA颁发的本地证书和CRL（Certificate Revocation List）的有效性。l 本地证书由CA颁发，在IPSec设备通信时使用。证书绑定了名字和本地公钥，如同网络身份证。在获取本地证书前，需要首先获取CA证书。8.2 配置Manual方式协商的IPSec隧道8.2.1 建立配置任务应用环境考虑到安全性，

11、数据流往往需要认证。在一些安全性要求较高的场合，数据流可能既需要认证又需要加密，此时需要在IPSec服务发起端和终结端的Eudemon设备上配置IPSec功能。当与Eudemon进行通信的对等体设备数量较少时，或是在小型静态环境中，可以选择Manual方式协商IPSec隧道。前置任务在配置IPSec前，需要完成以下任务：l 配置Eudemon的工作模式l 配置接口的IP地址l 配置接口加入安全区域只有Eudemon工作于路由模式才可以配置IPSec。数据准备在配置IPSec前，需要准备以下数据。序号数据1高级ACL的相关参数2安全提议的名称3使用的安全协议4AH协议的验证算法5ESP协议的验证

12、算法6ESP协议的加密算法7报文的封装形式8安全策略的名称和顺序号9SA的建立方式10隧道本端的IP地址（仅用于手工协商方式）11隧道对端的IP地址12AH协议入方向和出方向的SPI（Security Parameters Index）13ESP协议入方向和出方向的SPI14AH协议入方向和出方向的验证密钥（以字符串方式输入）15ESP协议入方向和出方向的验证密钥（以字符串形式输入）16AH协议入方向和出方向的验证密钥（以16进制方式输入）17ESP协议入方向和出方向的验证密钥（以16进制方式输入）18ESP协议入方向和出方向的加密密钥（以16进制方式输入）19接口类型和接口编号配置过程要完成

13、IPSec的配置，需要按照以下过程配置。序号过程1创建需要保护的数据流2配置IPSec安全提议3配置IPSec安全策略4引用IPSec安全策略5检查配置结果8.2.2 创建需要保护的数据流IPSec能够对不同的数据流进行安全保护。在实际应用中，需要首先通过ACL定义数据流，再在安全策略中引用该ACL，从而起到保护该数据流的作用。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令acl number acl-number match-order config | auto ，创建高级ACL，并进入相应视图。步骤 3 执行命令rule rule-id permit |

展开阅读全文

华为防火墙配IPSEC.doc

最新文档