3.5.1ah(认证包头)协议
ah协议(rfc 2402)被设计用来提供完整性、认证性、序列完整性(防重放攻击),而不能像esp那样提供保密功能。在对保密性无要求的应用中,ah协议可以用宋保证数据的完整性。这种方案不能保护信息不被传播,但是能校验信息的完整性并对信息发起者进行认证。
3.5.2 esp(封装安全负载)协议
esp 协议(rfc2406)不但提供加密的功能,还支持ah 提供的各种服务功能。esp的认证机制与ah 相比有一定的局限,因为在其进行认证的过程中ip 包头信息并不包括在内。然而,如果只有上层协议需要进行认证的话esp还是够用的。
esp 的另一个新增特性是负载填充,它能够隐藏传输中数据包的大小,从而进一步保护了传输的安全。
表18 esp和ah
3.5.3 ike隧道设置(ike phase 1)
图20 vpn向导:ike隧道设置
以下为界面相关描述。
表19 vpn向导:ike隧道设置
标识描述
negotiation mode
您可在此点选main mode或aggressive mode。通过同一个安全网关建立的多条sa必须具有同一种协商模式。
encryption algorithm
当des 用于数据通信时,无论是发送者还是接收者都必须知道同一个密钥,该密钥要用来对信息进行加密、解密或产生和校验信息的验证码。des 加密算法使用56 位的密钥。triple des(3des)是在des 基础上的一种改进,它使用168 位密码。这样3des比des 更加安全。但同时它也要求有更高的处理能力,结果是造成了轻微的延迟和吞吐量的降低。aes 采用128 位加密,速率要优于3des。
authentication algorithm md5(信息摘要5)和sha1(安全哈斯算法)都是用来对数据包做认证的哈斯算法。sha1 算法比md5 算法更安全,但相应的速度有所降低。
key group 您需要为phase 1 阶段的ike 设置提供一个密钥组。dh1(缺省)是指一个768 位随机数的diffie-hellman 组1。dh2 是指一个1024位随机数的diffie-hellman 组2。
sa life time (seconds) 在该栏目中可定义ike 安全关联在自动重新协商前存在的时间长度。最小值为180 秒。
一个较短的sa 生存时间可以通过更换加密和验证密钥的方法来增强sa 的安全性,然而每次vpn 隧道重新协商建立时,所有访问远端资源的用户都会临时被断掉。
pre-shared key 您在此处输入预共享密钥。预共享密钥在phase 1阶段的ike协商中用于标识通信双方。它之所以被称为“预共享密钥”是因为您在与其它方通过安全连接进行通信之前首先要共享此密钥。
您可输入一个8到31位的ascii字符(区分大小写)或16到62个十六进制字符(“0-9”,“a-f”)。您需要在十六进制字符前输入“0x”(零x)的前缀,它们不包括在16到62位的密钥之内。例如,在“0x0123456789abcdef”中“0x”代表这是十六进制的密钥,“0123456789abcdef”是密钥本身。
vpn隧道的两端都需要使用相同的预共享密钥。如果此密钥不同,您会收到“pyld_malformed”(payload malformed)数据包。
back 点击back返回上一界面。
next 点击next继续进行设置。
3.5.4 ipsec设置(ike phase 2)
图21 vpn向导:ipsec设置
以下为界面相关描述。
表20 vpn向导:ipsec设置
项目描述
encapsulation mode 选择tunnel模式或transport模式。
ipsec protocol 选择一个建立sa的安全协议。
ah和esp都会增加zywall的处理负荷,造成通信上的微小延时。
encryption algorithm 当des用于数据通信时,无论是发送者还是接收者都必须知道同一个密钥,该密钥要用来对信息进行加密、解密或产生和校验信息的验证码。des加密算法使用56位的密钥。triple des(3des)是在des基础上的一种改进,它使用168位密码。这样3des比des更加安全。但同时它也要求有更高的处理能力,结果是造成了轻微的延迟和吞吐量的降低。aes采用128位加密,速率要优于3des。
如果您选择null,则会建立一条不加密的隧道。
authentication algorithm md5(信息摘要5)和sha1(安全哈斯算法)都是用来对数据包做认证的哈斯算法。sha1 算法比md5 算法更安全,但相应的速度有所降低。
sa life time (seconds)在该栏目中可定义ike 安全关联在自动重新协商前存在的时间长度。最小值为180 秒。
一个较短的sa生存时间可以通过更换加密和验证密钥的方法来增强sa的安全性,然而每次vpn 隧道重新协商建立时,所有访问远端资源的用户都会临时被断掉。
perfect forward secret (pfs) 完美向前保密(pfs)在phase 2 阶段ipsec sa 设置中被设置为none(缺省)。这提供了更快速的ipsec 建立,而不是最安全的。
用空格键选择dh1 或dh2 以应用pfs。dh1 是指
diffie-hellman 组1,有768 位的随机数。dh2 是指diffie-hellman 组2,有1024 位的随机数(更安全,但会较慢)。
back 点击back返回上一界面。
next 点击next继续进行设置。
3.5.5 vpn状态汇总
这个界面将以只读信息显示当前vpn的设置状态。您可在此使用该汇总表格来检查您的设置是否正确。
图22 vpn向导:vpn状态
以下为界面相关描述。
表21 vpn向导:vpn状态
标识描述
gateway setting
my ip address 这是zywall的wan口ip地址。
secure gateway address 这个用于标识远端路由器的ip地址和域名。
network setting
local network
starting ip address 这是zywall后面本地网络的起始ip地址(固定地址)。
ending ip 当本地网络设置为单一ip地址的时候这一栏目显示为n/a。
address/subnet 当本地网络设置为一段ip地址的时候,这里显示末尾的ip地址。
mask 当本地网络设置为一段子网的时候,这里显示子网掩码。
remote network
starting ip address 这是远端ipsec路由器后面内部网络的起始ip地址(固定地址)。
ending ip 当远端网络设置为单一ip地址的时候这一栏目显示为n/a。
address/subnet 当远端网络设置为一段ip地址的时候,这里显示末尾ip地址。
mask 当远端网络设置为一段子网的时候,这里显示子网掩码。
ike tunnel setting (ike phase 1)这里显示main mode或aggressive mode。和一个安neg otiation mode 全网关建立的多条sa必须具有相同的协商方式。
encryption algorithm 这是数据的加密方法。选项有des,3des和aes三种。
authentication algorithm md5(信息摘要5)和sha1(安全哈斯算法)是用于对数据包做认证的哈斯算法。
key group 这是在phase 1阶段ike设置中采用的密钥组。
sa life time (seconds)这里是一个ike sa重新协商建立之前的存活时间。
pre-shared key 这是一个用于在phase 1阶段ike协商中对通信双方做认证的预共享密钥。
ipsec setting(ikephase 2)
encapsulation mode 这里显示tunnel模式或transport模式。
ipsec protocol esp或ah都是用于建立sa的安全协议。
encryption algorithm 这里是数据加密的方法。选项有des,3des,aes或null。
authentication algorithm md5(信息摘要5)和sha1(安全哈斯算法)都是用于对数据包做认证的哈斯算法。
sa life time (seconds) 这里是一个ike sa自动重新协商建立之前的存活时间。
perfect forward secret(pfs) 完美向前加密(pfs)在phase 2阶段ipsec sa设置中缺省是禁用的(none)。除非选择dh1或dh2,该功能才可以启用。
back 点击back返回上一界面。
finish 点击finish,完成并保存设置。
3.5.6 vpn向导设置完成
恭喜您!您已经成功完成了zywall的vpn规则设置。
图23 vpn向导设置完成
