NFX 设备上的 IP 安全
概述
IPsec 提供网络级数据完整性、数据机密性、数据源身份验证和重放保护。IPsec 可以保护在任何介质上运行的通过 IP 运行的任何协议,或保护在复杂介质组合上运行的应用程序协议组合。IPsec 使系统能够选择所需的安全协议,确定用于安全服务的算法,并实施提供所请求服务所需的任何加密密钥,从而在开放系统互连 (OSI) 模型的网络层提供安全服务。IPsec 由国际工程任务组 (IETF) 标准化。
IPsec 保护一对主机或安全网关之间,或者安全网关与主机之间的一条或多条路径。为此,它提供了一种安全的方式来验证发送方/接收方,并加密网络设备之间的 IP 版本 4 (IPv4) 和版本 6 (IPv6) 流量。
IPsec 的关键概念包括:
安全关联 (SA) — SA 是在建立 IPsec 关系的设备之间协商的一组 IPsec 规范。这些规范包括身份验证和加密类型的首选项,以及用于建立 IPsec 连接的 IPsec 协议。安全关联由安全参数索引 (SPI)、IPv4 或 IPv6 目标地址以及安全协议(AH 或 ESP)唯一标识。IPsec 安全关联可以通过配置语句手动建立,也可以通过 IKE 协商动态建立。有关 SA 的详细信息,请参阅 安全关联。
IPsec 密钥管理 — VPN 隧道采用 IPsec 技术构建。虚拟专用网络 (VPN) 隧道使用三种密钥创建机制运行,例如手动密钥、AutoKey 互联网密钥交换 (IKE) 和 Diffie-Hellman (DH) 交换。NFX150 设备支持 IKEv1 和 IKEv2。有关 IPsec 密钥管理的详细信息,请参阅 IPsec 密钥管理。
IPsec 安全协议 — IPsec 使用两种协议来保护 IP 层的通信:
认证头 (AH) — 一种安全协议,用于验证 IP 数据包的来源并验证其内容的完整性。
封装安全有效负载 (ESP) — 一种用于加密整个 IP 数据包并对其内容进行身份验证的安全协议。
有关 IPsec 安全协议的详细信息,请参阅 IPsec 安全协议。
-
IPsec 隧道协商 — 要建立 IKE IPsec 隧道,需要两个协商阶段:
-
在第 1 阶段,参与方建立安全连接以协商 IPsec SA。
-
在第 2 阶段,参与方协商 IPsec SA,以便对用户数据的后续交换进行加密和验证。
有关 IPsec 隧道协商的详细信息,请参阅 IPsec 隧道协商。
从 Junos OS 19.4 R1 版开始,NFX350 设备默认支持 iked。
-
表 1 列出了 NFX 系列设备上支持的 IPsec 功能。
特征 |
参考 |
|---|---|
AutoVPN 分支 |
|
自动发现 VPN (ADVPN) 合作伙伴
注意:
在 NFX150 设备上,您无法配置 ADVPN 建议器。 |
|
站点到站点 VPN 和动态端点 |
|
基于路由的 VPN
注意:
NFX150 设备不支持基于策略的 VPN。 |
|
NAT-T |
|
失效对等体检测 |
配置安全性
在 NFX150 设备上,通过使用 IP 安全 (IPsec) 实现安全性。IP 安全 (IPsec) 的配置过程包括以下任务:
配置接口
要在 LAN 或 WAN 上启用 IPsec,必须配置接口以提供网络连接和数据流。
要配置 IPsec,请使用 FPC1 接口。
要配置接口,请完成以下步骤:
配置路由选项
路由功能和不特定于任何特定路由协议的特性统称为与协议无关的路由属性。这些功能通常与路由协议交互。在许多情况下,您可以结合与协议无关的属性和路由策略来实现目标。例如,您可以使用与协议无关的属性定义静态路由,然后使用路由策略将静态路由重新分发到路由协议(如 BGP、OSPF 或 IS-IS)中。
与协议无关的路由属性包括:
静态、聚合和生成的路由
全局首选项
火星航线
路由表和路由信息库 (RIB) 组
要配置接口路由导入到的路由表组,请完成以下步骤:
配置安全 IKE
IPsec 使用互联网密钥交换 (IKE) 协议对等方进行身份验证、协商安全关联 (SA) 设置以及交换 IPsec 密钥。IKE 配置定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。
您可以配置 IKE 跟踪选项来调试和管理 IPsec IKE。
要配置 IKE 追踪选项,请完成以下步骤:
您可以配置一个或多个 IKE 提议。每个提议都是一个 IKE 属性列表,用于保护 IKE 主机与其对等方之间的 IKE 连接。
要配置 IKE 提议,请完成以下步骤:
将预共享密钥配置为 IPsec IKE 提议的身份验证方法:
注意:为网络中的安全通信配置 IPsec 时,网络中的对等设备必须至少具有一种通用身份验证方法。无论配置的身份验证方法数量如何,一对设备之间只能使用一种身份验证方法。
root@host# set security ike proposal ike-proposal-name authentication-method pre-shared-keys
为 IKE 提案定义一个 Diffie-Hellman 组 (dh-group):
root@host# set security ike proposal ike-proposal-name dh-group group14
为 IKE 提议配置身份验证算法:
root@host# set security ike proposal ike-proposal-name authentication-algorithm sha-256
为 IKE 提议定义加密算法:
root@host# set security ike proposal ike-proposal-name encryption-algorithm aes-256-cbc
设置 IKE 提议的生存期(以秒为单位):
root@host# set security ike proposal ike-proposal-name lifetime-seconds 180 to 86400 seconds
配置一个或多个 IKE 提议后,必须将这些提议与 IKE 策略相关联。IKE 策略定义要在 IKE 协商期间使用的安全参数组合(IKE 提议)。它定义对等地址以及该连接所需的建议。根据使用的身份验证方法,它为给定对等方定义预共享密钥。在 IKE 协商期间,IKE 会查找在两个对等方上相同的 IKE 策略。启动协商的对等方将其所有策略发送给远程对等方,远程对等方尝试查找匹配项。
要配置 IKE 策略,请完成以下步骤:
使用第一阶段模式定义 IKE 策略:
root@host# set security ike policy ike-policy-name mode aggressive
定义一组 IKE 提议:
root@host# set security ike policy ike-policy-name proposals proposal-name
为 IKE 定义预共享密钥:
root@host# set security ike policy ike-policy-name pre-shared-key ascii-text text-format
配置 IKE 网关以启动和终止防火墙和安全设备之间的网络连接。
要配置 IKE 网关,请完成以下步骤:
使用 IKE 策略配置 IKE 网关:
root@host# set security ike gateway gateway-name ike-policy ike-policy-name
使用对等方的地址或主机名配置 IKE 网关:
注意:如果守护程序是 IKED 守护程序,则 NFX350 设备不支持多 IKE 网关地址冗余。只有 KMD 守护程序支持此功能。
root@host# set security ike gateway gateway-name address address-or-hostname-of-peer
启用失效对等体检测 (DPD) 功能以定期发送 DPD 消息:
root@host# set security ike gateway gateway-name dead-peer-detection always-send
配置本地 IKE 身份:
root@host# set security ike gateway gateway-name local-identity <inet | inet6 | key-id | hostname | user-at-hostname | distinguished-name>
配置远程 IKE 身份:
root@host# set security ike gateway gateway-name remote-identity <inet | inet6 | key-id | hostname | user-at-hostname | distinguished-name>
为 IKE 协商配置外部接口:
root@host# set security ike gateway gateway-name external-interface ge-1/0/1.0
配置客户端用户名:
root@host# set security ike gateway gateway-name client username client-username
配置客户端密码:
root@host# set security ike gateway gateway-name client password client-password
配置安全 IPsec
IPsec 是一套相关协议,可提供网络级数据完整性、数据机密性、数据源身份验证和重放保护。IPsec 可以保护在任何介质上运行的通过 IP 运行的任何协议,或保护在复杂介质组合上运行的应用程序协议组合。
配置 IPsec 提议,其中列出了要与远程 IPsec 对等方协商的协议和算法或安全服务。
要配置 IPsec 提议,请完成以下步骤:
配置一个或多个 IPsec 提议后,必须将这些提议与 IPsec 策略相关联。IPsec 策略定义在 IPsec 协商期间使用的安全参数(IPsec 建议)的组合。它定义了完全向前保密 (PFS) 和连接所需的建议。在 IPsec 协商期间,IPsec 会搜索在两个对等方上相同的提议。启动协商的对等方将其所有策略发送给远程对等方,远程对等方尝试查找匹配项。
要配置 IPsec 策略,请完成以下步骤:
为策略定义 IPsec 策略、完全向前保密和 Diffie-Hellman 组:
root@host# set security ipsec policy ipsec-policy-name perfect-forward-secrecy keys group14
为策略定义一组 IPsec 建议:
root@host# set security ipsec policy ipsec-policy-name proposals proposal-name
配置 IPsec 虚拟专用网络 (VPN),以提供一种通过公共 WAN(如 Internet)在远程计算机之间进行安全通信的方法。VPN 连接可以链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点之间流动的流量通过共享资源,例如路由器、交换机和构成公共 WAN 的其他网络设备。为了在通过 WAN 时保护 VPN 通信,两个参与方会创建一个 IPsec 隧道。有关详细信息,请参阅 IPsec VPN 概述。
要配置 IPsec VPN,请完成以下步骤:
为 IPsec VPN 定义 IKE 网关:
root@host# set security ipsec vpn vpn-name ike gateway remote-gateway-name
为 IPsec VPN 定义 IPsec 策略:
root@host# set security ipsec vpn vpn-name ike ipsec-policy ipsec-policy-name
为 IPsec VPN 定义本地流量选择器:
root@host# set security ipsec vpn vpn-name traffic-selector traffic-selector-name local-ip local-traffic-selector-ip-address
为 IPsec VPN 定义远程流量选择器:
root@host# set security ipsec vpn vpn-name traffic-selector traffic-selector-name remote-ip remote-traffic-selector-ip-address
定义建立 IPsec VPN 隧道的条件:
root@host# set security ipsec vpn vpn-name establish-tunnels on-traffic
配置安全策略
安全策略通过定义在计划时间允许从指定 IP 源到指定 IP 目标的流量类型,控制从一个区域到另一个区域的流量。通过策略,您可以拒绝、允许、拒绝、加密和解密、进行身份验证、确定优先级、安排、过滤和监控试图从一个安全区域跨越到另一个安全区域的流量。您可以决定哪些用户和哪些数据可以进入和退出,以及他们可以在何时何地访问。
要配置安全策略,请完成以下步骤:
配置安全区域
安全区域是策略的构建基块。它们是一个或多个接口绑定到的逻辑实体。安全区域提供了一种区分主机组(用户系统和其他主机,如服务器)及其资源的方法,以便对其应用不同的安全措施。有关信息,请参阅 了解安全区域。
要配置安全区域,请完成以下步骤: