设为首页 友情链接
在线留言 发表文章
加入收藏 广告联系

刺猬首页

| 专案技术 | 网络技术 | 图形图象 | 网络编程 | 网页设计 | 操作系统 | 服务器 | 技术白皮书 | 在线实验室 | 刺猬论坛 |
小说专版  | 数据库 | 设计赏析 | 存储频道 | 网络安全 | 私服架设 |  Solaris | 网站评估 | PC维护技巧 | 下载中心 | 博 客 |
专   题: | Linux | java | cisco | 防病毒 | 刀片 | SOA | iscsi | ASP.NET | SQL | Oracle |
您现在的位置: IT公社 IT community >> 思科学堂 >> 思科网络学堂 >> 文章正文 用户登录 新用户注册
专 题 栏 目
最 新 热 门
最 新 推 荐
相 关 文 章
路由器安全配置速查表(
路由器安全配置速查表(
Cisco路由器上配置WRED的
多等级reflect acl 配置
配置CA互操作性之--ca
配置cbac(context-based
在pix上配置多个接口及配
# 5RIP unicast without
路由配置简化之道
CISCO IP TV点播和视频采
  配置ipsec         
配置ipsec
 

【导读】ipsec是一种开放的,有因特网工程任务组(IETF)开发的开放标准。ipsec为在未经保护的网络(如internet)上传输敏感信息提供安全。ipsec工作在网络层,在多个ipsec设备(peer,就是所谓的对等体,如cisco router们)间保护和认证ip包。

ipsec是一种开放的,有因特网工程任务组(IETF)开发的开放标准。ipsec为在未经保护的网络(如internet)上传输敏感信息提供安全。ipsec工作在网络层,在多个ipsec设备(peer,就是所谓的对等体,如cisco router们)间保护和认证ip包。

ipsec提供以下网络安全服务,这些服务是可选的,大体上,本地安全策略将指定以下一个或者多个这些服务:

-数据机密性:ipsec发送者在发送包穿过网络之前能够加密包。

-数据完整性:ipsec接收者可以认证由ipsec发送者发送的包来确定在传输过程中没有被更改。

-数据起源验证:ipsec接收这可以验证发送ipsec数据包的源。这项服务是依赖于数据完整性服务的。

-反重放:ipsec接收者可以检测和驳回重放的包。

注意:认证(authentication)这个术语主要指的是数据完整性和数据起源验证。

使用ipsec,数据可以在公网上无欺骗,无人干涉的传输。这开启了叫做vpn的应用,包括intranets(企业内部网),extranets(企业外部网),和远程用户访问。

支持的标准:

cisco实施以下这些标准和特性:

ipsec-ip security protocol.ipsec是一个开放标准的提供对等体之间数据机密性数据完整性和数据验证的框架。ipsec在ip层提供这些安全服务,它使用ike来处理协议协商和基于本地策略的算法,以及生成加密和ipsec要使用的认证key。ipsec可以用来保护一对主机之间、主机和主机之间、网关之间的一个或者多个数据流。

注意:ipsec这个术语有时候用来描述整个ipsec数据服务和ike安全协议或者只描述数据服务。

ipse的文档是一系列的Internet Drafts, 全在这里可用: http://www.ietf.org/html.charters/ipsec-charter.html.

全面ipsec实施Security Architecture for the Internet Protocol Internet Draft

(RFC2401). cisco ios ipsec实施RFC 2402 (IP Authentication Header)以及RFC 2410 (The NULL Encryption Algorithm and Its Use With IPSec).

因特网钥匙交换(ike,internet key exchange)--一种混合协议,实施OaKley和SKEME 在isakmp框架进行钥匙交换。而且ike可以和其他协议混着用,他的出示实施使用ipsec协议。ike提供ipsec对等体认证,协商ipsec安全关联,和完成ipsec keys。

ipsec技术实施需要以下零件:

-des:数据加密标准(the data encryption standard)用来加密包数据。

cisco ios 强制带有Explicit IV的56位des-cbc。

cisco ios也能实施3重des(168位),加密,依赖于可用的指定平台的软件版本。3des是一种很强的加密模式,它开启了可订制的网络层加密。

-md5(hmac变量):md5(message digest 5)是一种哈希算法。hmac是键入的用来验证数据的哈希变量。

-sha(hmac变量):sha(sercure hash algorithem)是一种哈希算法。mac是键入的用来验证数据的哈希变量。

ipsec要使实施在cisco ios软件中,就支持以下附加标准:

-AH:认证头(authenticaiton header).一个提供数据认证和可选反回放服务的安全协议。ah镶嵌在数据协议来进行保护(整个ip数据报文).

-esp:封装安全净载。一种提供数据私有服务和可选数据认证的支持反回放的

安全协议。esp保护数据部分。

术语列表

反回放(anti-relay)

反回放是一种接受者可以驳回过期的或者重复的包的安全服务,这能保护它防止受到回放攻击。ipsec提供这项可选的服务,以数据认证和序列号混合使用。cisco ios ipsec提供,随时提供数据认证服务,除非:

手动连接安全关联这项服务不可用。

数据验证:

数据验证包括以下两个概念:

数据完整性:校验数据是否被更改。

数据起源验证(校验数据是否是真的发送者发送的)

数据认证可以提及完整性,或者两个的集合。

数据机密性:

数据机密性是保护数据不被窃听,偷取的安全服务。

(责任编辑: 51CTO.com TEL:010-68476606)

频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。

原始作者:佚名 录入时间:2006-10-13 4:49:50
信息来源:不详 投稿信箱:itqoo@126.com
文章录入:admin    责任编辑:admin 
  • 上一篇文章:

  • 下一篇文章:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    - 关于我们 - 合作伙伴 - 友情链接 - 广告刊登 - 投稿热线 - 在线留言版权声明联系方式 -
    IT公社版权所有 粤ICP备05127012号
    Copyrigh@2005-2006 itqoo.com.Inc All Rights Reserved  推荐分辨率 1024*768
    联系站长:E-Mail:itqoo@126.com     MSN:urchincc@hotmail.com    QQ:点击这里给我发消息
    特别感谢:亿太网络提供空间支持