NFX 设备的 IP 安全
概述
IPsec 提供网络级数据完整性、数据机密性、数据源身份验证和防重播保护。IPsec 可以保护在任何介质上运行的任何 IP 协议,或者保护在复杂介质组合上运行的应用程序协议的组合。IPsec 在开放系统互连 (OSI) 模型的网络层提供安全服务,允许系统选择所需的安全协议,确定用于安全服务的算法,以及实施提供所请求服务所需的任何加密密钥。IPsec 由国际工程任务组 (IETF) 标准化。
IPsec 可保护一对主机或安全网关之间或安全网关与主机之间的一个或多个路径。通过提供安全的方法对发送方/接收方进行身份验证,并加密网络设备之间的 IP 版本 4 (IPv4) 和版本 6 (IPv6) 流量,可达到此目的。
IPsec 的关键概念包括:
安全关联 (SA) — SA 是建立 IPsec 关系的设备之间协商的一组 IPsec 规范。这些规格包括身份验证和加密类型的首选项,以及用于建立 IPsec 连接的 IPsec 协议。安全关联由安全参数索引 (SPI)、IPv4 或 IPv6 目标地址和安全协议(AH 或 ESP)唯一标识。IPsec 安全关联通过配置语句手动建立,或通过动态协商IKE建立。有关 SLA 的信息,请参阅 安全关联。
IPsec 密钥管理 — VPN 隧道采用 IPsec 技术构建。虚拟专用网 (VPN) 隧道采用三种密钥创建机制运行,例如手动密钥、AutoKey 互联网密钥交换 (IKE) 和 Diffie-Hellman (DH) 交换。NFX150设备支持 IKEv1 和 IKEv2。有关 IPsec 密钥管理详细信息,请参阅 IPsec 密钥管理。
IPsec 安全协议 — IPsec 使用两个协议保护 IP 层的通信:
认证头 (AH) — 一种安全协议,用于验证 IP 数据包的来源并验证其内容的完整性。
封装安全有效负载 (ESP) — 一种用于加密整个 IP 数据包并验证其内容的安全协议。
有关 IPsec 安全协议的信息,请参阅 IPsec 安全协议。
IPsec 隧道协商 — 要建立IKE IPsec 隧道,需要两个阶段的协商:
在第 1 阶段,参与方建立安全连接以协商 IPsec SLA。
在第 2 阶段,参与方协商 IPsec SLA,以便对用户数据后续交换进行加密和验证。
有关 IPsec 隧道协商的信息,请参阅 IPsec 隧道协商。
表 1 列出了这些设备上支持的 IPsec NFX 系列功能。
特征 |
参考 |
|---|---|
AutoVPN 分支 |
|
自动发现 VPN (ADVPN) 合作伙伴
注意:
对于NFX150,您不能配置 ADVPN 建议器。 |
|
站点到站点 VPN 和动态端点 |
|
基于路由的 VPN
注意:
NFX150设备不支持基于策略的 VPN。 |
|
NAT-T |
|
不工作对等方检测 |
配置安全性
在NFX150设备上,安全性通过使用 IP 安全 (IPsec) 实现。IP 安全 (IPsec) 的配置过程包括以下任务:
配置接口
要启用 LAN 或 WAN 上的 IPsec,您必须配置接口来提供网络连接和数据流。
要配置 IPsec,请使用 FPC1 接口。
要配置接口,请完成以下步骤:
配置路由选项
并非特定于任何特定路由协议的路由功能统称为与协议无关的路由属性。这些功能通常与路由协议交互。在许多情况下,您组合使用与协议无关的属性和路由策略来实现目标。例如,您可使用与协议无关的属性定义静态路由,然后使用路由策略将静态路由重新分发到路由协议中,例如 BGP、OSPF 或 IS-IS。
与协议无关的路由属性包括:
静态、聚合和生成的路由
全局优先级
Martian 路由
路由表和路由信息库 (RIB) 组
要配置要导入接口路由的路由表组,请完成以下步骤:
配置安全策略IKE
IPsec 使用 互联网密钥交换 (IKE) 协议来验证 IPsec 对等方、协商安全关联 (SA) 设置以及交换 IPsec 密钥。该IKE配置定义了建立与对等安全网关建立安全IKE安全连接的算法和密钥。
您可配置IKE追踪选项,以调试和管理 IPsec IKE。
要配置IKE追踪选项,请完成以下步骤:
您可以配置一个或多个IKE提议。每个提议都是一IKE属性列表,用于IKE主机及其对等方IKE连接。
要配置IKE提议,请完成以下步骤:
将预共享密钥配置为 IPsec 协议IKE方法:
注意:为网络中安全通信配置 IPsec 时,网络中对等设备必须至少具有一种通用身份验证方法。无论配置的身份验证方法数量如何,一对设备之间只能使用一种认证方法。
root@host# set security ike proposal ike-proposal-name authentication-method pre-shared-keys
为多服务提议定义 Diffie-Hellman 组(IKE dh-group):
root@host# set security ike proposal ike-proposal-name dh-group group14
为网络提议配置IKE算法:
root@host# set security ike proposal ike-proposal-name authentication-algorithm sha-256
定义此提议IKE算法:
root@host# set security ike proposal ike-proposal-name encryption-algorithm aes-256-cbc
为此提议设置IKE生存期(以秒):
root@host# set security ike proposal ike-proposal-name lifetime-seconds 180 to 86400 seconds
配置一个或多个IKE提议之后,必须将这些提议与一个IKE策略关联。安全IKE策略定义了一组安全参数(IKE提议),用于在协议协商IKE。它定义对等地址和该连接所需的提议。根据使用哪种认证方法,它会定义给定对等方的预共享密钥。在IKE协商期间,IKE对等方IKE相同的策略。发起协商的对等方将其所有策略都发送到远程对等方,而远程对等方尝试查找匹配项。
要配置IKE策略,请完成以下步骤:
定义具有IKE模式的一个策略:
root@host# set security ike policy ike-policy-name mode aggressive
定义一组IKE提议:
root@host# set security ike policy ike-policy-name proposals proposal-name
定义预共享密钥IKE:
root@host# set security ike policy ike-policy-name pre-shared-key ascii-text text-format
配置一IKE网关,以在防火墙和安全设备之间发起和终止网络连接。
要配置IKE网关,请完成以下步骤:
使用IKE策略配置 IKE网关:
root@host# set security ike gateway gateway-name ike-policy ike-policy-name
使用对等IKE地址或主机名配置路由网关:
注意:如果 deamon 是 IKED 守护程序,NFX350 设备上不支持多IKE网关地址冗余。只有 KMD 守护程序支持此功能。
root@host# set security ike gateway gateway-name address address-or-hostname-of-peer
启用不工作对等方检测 (DPD) 功能以定期发送 DPD 消息:
root@host# set security ike gateway gateway-name dead-peer-detection always-send
配置本地 IKE 身份:
root@host# set security ike gateway gateway-name local-identity <inet | inet6 | key-id | hostname | user-at-hostname | distinguished-name>
配置远程IKE身份:
root@host# set security ike gateway gateway-name remote-identity <inet | inet6 | key-id | hostname | user-at-hostname | distinguished-name>
配置外部接口以用于IKE协商:
root@host# set security ike gateway gateway-name external-interface ge-1/0/1.0
配置客户端的用户名:
root@host# set security ike gateway gateway-name client username client-username
配置客户端密码:
root@host# set security ike gateway gateway-name client password client-password
配置安全 IPsec
IPsec 是一套相关协议,可提供网络级别数据完整性、数据机密性、数据源身份验证和防重播保护。IPsec 可以保护在任何介质上运行的任何 IP 协议,或者保护在复杂介质组合上运行的应用程序协议的组合。
配置 IPsec 提议,其中列出了要与远程 IPsec 对等方协商的协议、算法或安全服务。
要配置 IPsec 提议,请完成以下步骤:
配置一个或多个 IPsec 提议后,必须将这些提议与 IPsec 策略关联。IPsec 策略可定义 IPsec 协商期间使用的安全参数(IPsec 提议)组合。它定义完全向前保密 (PFS) 以及连接所需的提议。在 IPsec 协商期间,IPsec 将搜索两个对等方上相同的提议。发起协商的对等方将其所有策略都发送到远程对等方,而远程对等方尝试查找匹配项。
要配置 IPsec 策略,请完成以下步骤:
为策略定义 IPsec 策略、完全向前保密和 Diffie-Hellman 组:
root@host# set security ipsec policy ipsec-policy-name perfect-forward-secrecy keys group14
为策略定义一组 IPsec 提议:
root@host# set security ipsec policy ipsec-policy-name proposals proposal-name
配置 IPsec 虚拟专用网 (VPN),以便提供一种在公共 WAN(如互联网)中远程计算机之间安全通信的方式。一个 VPN 连接可链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。这两点之间的信息流通过共享资源(如路由器、交换机和作为公共 WAN 的其他网络设备)传输。为了在通过 WAN 时保护 VPN 通信,两个参与方会创建一个 IPsec 隧道。有关详细信息,请参阅 IPsec VPN 概述。
要配置 IPsec VPN,请完成以下步骤:
定义IKE IPsec VPN 的路由网关:
root@host# set security ipsec vpn vpn-name ike gateway remote-gateway-name
为 IPsec VPN 定义 IPsec 策略:
root@host# set security ipsec vpn vpn-name ike ipsec-policy ipsec-policy-name
为 IPsec VPN 定义本地流量选择器:
root@host# set security ipsec vpn vpn-name traffic-selector traffic-selector-name local-ip local-traffic-selector-ip-address
为 IPsec VPN 定义远程流量选择器:
root@host# set security ipsec vpn vpn-name traffic-selector traffic-selector-name remote-ip remote-traffic-selector-ip-address
定义建立 IPsec VPN 隧道的标准:
root@host# set security ipsec vpn vpn-name establish-tunnels on-traffic
配置安全策略
安全策略通过定义允许从指定 IP 源按计划时间到达指定 IP 目标的流量类型,控制从一个区域到另一个区域的流量。策略允许您拒绝、允许、拒绝、加密和解密、身份验证、优先级排序、计划、过滤和监控尝试从一个安全区域到另一个安全区域的流量。您可以决定进出哪些用户、可以进入和退出什么数据,以及可以进入何时何地。
要配置安全策略,请完成以下步骤:
配置安全区域
安全区域是策略的构建块。它们是一个或多个接口绑定到的逻辑实体。安全区域提供了区分主机组(用户系统和其他主机,如服务器)及其资源的方式,以便对它们应用不同的安全措施。有关信息,请参阅 了解安全区域。
要配置安全区域,请完成以下步骤: