华为防火墙配置总部与分布之间×××

重点：***核心技术；***应用
一.***核心技术：
1.加密：
1）ipsec是ipv6中一个字段，应用ipv4中可以建立×××（虚拟专用网）；
2）ipsec一方传递消息之前，先使用加密算法和加密密钥，将消息改头换面，称之为加密；另一方收到消息后使用相同的加密算法和加密密钥，逆向将消息恢复为真实面目，该过程称为解密。（使用对称加密）
3）对称加密算法有：DES、3DES、AES;
2.验证：
1）ipsec一方传递消息之前，先使用验证算法和验证密钥对消息进行处理，得到签名然后将签名随消息一同发出去；另一方收到消息后，使用相同的验证算法和验证密钥对消息进行处理（hash），同样得到签名，然后对比报文中携带的签名，如果相同则证明该消息没有被篡改。
2）验证算法有：MD5、SHA1、SHA2；
3.ipsec中：AH只能用来验证，没有加密功能;ESP同时具有加密和验证功能，AH和ESP可以单独使用也可以配合使用。
4.ipsec两种封装模式：
1）隧道模式：ipsec将AH头或ESP头插入到原始IP头之前，另外生成一个新的报文放在AH和ESP头前；隧道模式使用心得报文头来封装消息，新ip头中的源/目的地址为隧道两端的公网ip地址，适用于两个网关之间建立IPsec隧道，是目前比较常用的封装模式。
2）传输模式：AH头和ESP头被插入到IP头和传输层协议头之间，不改变报文头，隧道的源和目的地址就是最终通信双方的源和目的地址，通信双方只能保护消息，不能保护一个网络的消息，只适用于两台主机之间通信。
5.安全联盟：SA
1）ipsec中通信双方建立的连接叫做安全联盟SA,即使用相同的封装模式、加密算法、加密密钥、验证算法、验证密钥；SA是单向的逻辑连接，为了让每个方向都得到保护，每个方向都需要建立SA；每一个安全联盟均有一个唯一的标识符SPI。
2）安全联盟SA的方向：outbound方向和inbound，一个安全联盟内，一端的outbound是另一端的inbound；
6.IKE和ISAKMP：密钥管理
1)ISAKMP(网络SA和密钥管理协议）主要定义IKE伙伴（IKE Peer）之间的合作关系（及IKE SA）的建立过程；
2）Oakley协议和SKEME协议的核心是DH（diffe-hellman迪菲.赫尔曼）算法，主要用于在Internet上安全的分发密钥及验证身份，以保障数据安全传输。
3）DH算法为IPSecSA、IKE SA提供需要的加密密钥、验证密钥，且动态刷新；
4）IKE协议的终极目标是通过协商在总部和分部之间动态建立ipsec SA，并能够实时维护ipsec SA;
5）IKE（密钥交换）：分为v1和v2；
6）ipsec安全协议框架：
安全协议：ESP（加密+验证）、AH（验证）
加密：DES、3DES、AES（对称加密算法）
验证：MD5、SHA（hash算法）
密钥交换：IKE（ISAKMP、DH）
二.ipsec ×××应用：
1.ipsec与NAT并存于一个防火墙的要求：
1）问题：ipsec要求数据必须是完整的，而nat必须要源地址或目标地址，二者存在冲突；
2）解决问题：在nat策略中配置一条针对ipsec流量不进行地址转换的策略，该策略的优先级要高于其他策略，并且该策略中定义的流量范围是其他策略的子集；
3）ipsec和nat server并存解决方案：在配置NAT server时指定no-revers参数，不生成反向server-map表项即可。
2.ipsec的安全策略配置思路：
1）设置默认策略为允许：firewall packet-filter default permit all
2）配置ipsec，发起访问，分析会话表，编写安策略规则；
3）设置默认策略为拒绝：firewall packet-filter default deny all
3.ipsec常用应用场景：
1）移动用户使用L2TP over IPSec远程接入：配置L2TP-->ACL-->IPSEC-->客户端拨号；
2）总部和分部站点到站点IPSec×××：配置ip、路由及安全区域-->配置nat与***共存-->ipsec×××第一阶段：配置安全提议、创建IKE对等体-->ipsec×××第二阶段：配置一个ipsec安全提议、创建acl定义感兴趣流、创建安全策略、在外网网卡调用安全策略-->配置区域间安全策略