华为防火墙配IPSEC.doc

doc,ipsec,华为,防火墙,材料设备
文档页数:56
文档大小:642.5KB
文档格式:doc
文档分类:材料设备
上传会员:
上传日期:
最后更新:

8配置IPSec 8.1简介 8.1.1 IPSec 极述 8.1.2基于证书认证机制的IPSec 8.2配置 Manual 方式协商的 IPSec 隧道 8.2.1建立配置任务 8.2.2 创建需要保护的数据流 8.2.3配置IPSec安全提议 8.2.4配置IPSec安全策略 8.2.5 引用 IPSec 安全策略 8.2.6检查配置结果 8.3 配置 IKE 方式协商的 IPSec 群道 8.3.1建立配置任务 8.3.2 创建需要保护的数据流 8.3.3配置IPSec安全提议 8.3.4配置IKE安全提议 8.3.5AW IKE Peer 8.3.6配置IPSec安全策略模板 8.3.7配置IPSec安全策略 8.3.8引用IPSec安全策略 8.3.9检查配置结果 8.4配置证书申请 8.4.1建立配置任务 8.42配置实体名称 8.43 创建本地公私密钥对 8.4.4配置证书申请受理机构 8.4.5 获取 CA证书 8.46申请本地证书 8.4.7(可选)获取CRL 8.4.8检查配置结果 8.5配置证书验证功能 8.5.1建立配置任务 8.5.2配置CRL更新周期 8.5.3配置是否检查CRL 8.5.4配置证书验证 8.5.5 检查配置结果 8.6维护 8.6.1查看IPSec处理报文的统计信息 8.6.2调试IPSec 8.6.3 调试 IKE 8.6.4删除IKE SA 8.6.5 川除 SA
8.6.6清险IPSec统计报文 8.6.7维护低速加密卡 8.6.8 维护CA 8.7配置举例 8.Z.1配置采用Manual方式建立SA示例 8.7.2配置采用IKE方式建立SA示例(预共享密钥) 8.7.3配置采用IKE方式建立SA示例(RSA签名) 8.7.4配置使用SCEP方式申请证书示例
插图目录 图8-1采用Manual方式建立SA配置示例组网图 图8-2采用IKE方式建立SA配置示例组网图(预共享密钥) 图8-3采用IKE方式建立SA配置示例组网图(RSA签名) 图8-4使用SCEP方式申请证书配置示例组网图 配置IPSec 关于本章 本章描述内容如下表所示.

标题 内容 8.1简企 介绍IPSec协议和证书认证机制.

8.2配置Manual方式协商的 介绍采用Manual方式协商的IPSec隧道的配置方法.

IPSec隧道 配置举例:配置采用 Manual方式建立SA示例
标题 内容 8.3配置IKE方式协商的 介绍采用IKE方式协商的IPSec隧道的配置方法.

IPSee 道 配置举例1:配置采用IKE方式建立SA示例(预共 享密钥) 配置举例2:配置采用IKE方式建立SA示例(RSA 签名) 8.4配置证书申请 介绍申请CA证书、本地证书和CRL的方法.

配置举例:配置使用SCEP方式申请证书示例 8.5配置证书验证功能 介绍验证证书有效性的方法.

8.6维护 介绍IPSec的维护方法.

8.7配置举例 介绍IPSec的组网举例及配置方法.

8.1简介 8.1.1IPSec概述 IPSec(IPSecurity)协议族是IETF制定的一系列协议,它为IP报文提 供了基于密码学的、可互操作的、高质量的安全保护机制.

特定的通信 双方在IP层通过加密与数据源验证等方式,保证报文在网络中传输时的 私有性、完整性、真实性,并有效防御重放攻击.

IPSec对报文的保护通过AH(Authentication Header)和 ESP(Encapsulating Security Payload)两种安全协议实现.

各协议的功能 简单介绍如下: AH协议主要提供的功能有数据源验证、数据完整性校验和防御报 文重放攻击,但不能对需要保护的报文进行加密.

ESP协议除提供AH协议的功能外,还可提供对IP报文的加 密功能.

与AH协议不同的是,其数据完整性校验不包括IP报文头.

ESP协议允许对报文同时进行加密和验证,或只加密,或只验证.

为简化IPSec的使用和管理,除了可以手动建立安全联盟SA(Security Association)外,还可以通过IKE(IntermetKey Exchange)进行自动协 商交换密钥、建立和维护SA.

IKE协议用于自动协商AH和ESP所使用 的密码算法,并将算法所需的必备密钥放到恰当位置.

Eudemon除可以通过软件进行SA协商外,还能通过IPSec加密卡进行协 商.

有关加密卡的相关介绍,请参见《QuidwayEudemon200防火墙 安装指南》.

8.1.2基于证书认证机制的IPSec Eudemon 提供基于公钥基础设施 PKI(PublicKeyInfrastructure)框架的 证书认证机制,支持证书的申请、存储和验证,但不提供生成证书功能.

PKI是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责 验证数字证书持有者身份的一种体系.

它是一套软硬件系统和安全策略 的集合,提供了一整套安全机制.

PKI采用证书进行公钥管理,通过第 三方的可信任机构,把用户的公钥和用户的其他标识信息捆绑在一起, 实现在网上验证用户身份功能.

PKI为用户建立起一个安全的网络运行环境,用户可以在多种应用环境 下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整 性、有效性.

数据的机密性是指数据在传输过程中,不能被非授权者查 看:数据的完整性是指数据在传输过程中不能被非法纂改:数据的有效 性是指数据不能被否认.

不采用证书机制的IPSec情况下,进行网络扩容时,每新增一台设备, 都需要修改其余设备的配置.

操作繁琐,且易出错.

证书机制可以为IPSec网络提供集中的密钥管理机制,并增强整个IPSec 网络的伸缩性.

在采用证书机制的IPSec网络中,每台设备都拥有 CA(CertificationAuthority)颁发的证书,当设备之间进行通讯时,只 要通过交换证书就可以确认对方的身份(因为的设备都信任CA, 所以对CA颁发的证书都信任),并获得对方的公钥(从对方的证书中 获取).

这样当有新设备加入时,只需要为新增加的设备申请一个证书, 就可以与其他设备进行通讯,而不需要修改其他设备的配置.

资源链接请先登录(扫码可直接登录、免注册)
十二年老网站,真实资源!
高速直链,非网盘分享!浏览器直接下载、拒绝套路!
本站已在工信部及公安备案,真实可信!
手机扫码一键登录、无需填写资料及验证,支持QQ/微信/微博(建议QQ,支持手机快捷登录)
①升级会员方法:一键登录后->用户中心(右上角)->升级会员菜单
②注册登录、单独下载/升级会员、下载失败处理等任何问题,请加客服微信
不会操作?点此查看“会员注册登录方法”

投稿会员:匿名用户
我的头像

您必须才能评论!

手机扫码、免注册、直接登录

 注意:QQ登录支持手机端浏览器一键登录及扫码登录
微信仅支持手机扫码一键登录

账号密码登录(仅适用于原老用户)