NFX 设备上的 IP 安全性
概述
IPsec 提供网络级数据完整性、数据机密性、数据源身份验证和重放保护。IPsec 可以保护在任何介质上通过 IP 运行的任何协议,也可以保护在复杂的介质组合上运行的混合应用协议。IPsec 在开放系统互连 (OSI) 模型的网络层提供安全服务,使系统能够选择所需的安全协议,确定用于安全服务的算法,并实施提供所请求服务所需的任何加密密钥。IPsec 由国际工程任务组 (IETF) 进行标准化。
IPsec 保护一对主机或安全网关之间,或者一个安全网关与一个主机之间的一条或多条路径。它通过提供一种安全的方式来验证发送方/接收方,并加密网络设备之间的 IP 版本 4 (IPv4) 和版本 6 (IPv6) 流量,从而实现这一点。
IPsec 的关键概念包括:
-
安全关联 (SA) — SA 是在建立 IPsec 关系的设备之间协商的一组 IPsec 规范。这些规范包括身份验证和加密类型的首选项,以及用于建立 IPsec 连接的 IPsec 协议。安全关联由安全参数索引 (SPI)、IPv4 或 IPv6 目的地址以及安全协议(AH 或 ESP)进行唯一标识。IPsec 安全关联既可通过配置语句手动建立,也可以通过 IKE 协商动态建立。有关 SA 的详细信息,请参阅 安全关联。
-
IPsec 密钥管理 — VPN 隧道使用 IPsec 技术构建。虚拟专用网 (VPN) 隧道采用三种密钥创建机制运行,如手动密钥、AutoKey 互联网密钥交换 (IKE) 和 Diffie-Hellman (DH) 交换。NFX150 设备支持 IKEv1 和 IKEv2。有关 IPsec 密钥管理的详细信息,请参阅 IPsec 密钥管理。
-
IPsec 安全协议 — IPsec 使用两种协议来保护 IP 层的通信:
-
认证头 (AH) — 一种用于确定 IP 数据包来源并验证其内容完整性的安全协议。
-
封装安全有效负载 (ESP) — 一种用于加密整个 IP 数据包并对其内容进行验证的安全协议。
有关 IPsec 安全协议的详细信息,请参阅 IPsec 安全协议。
-
-
IPsec 隧道协商 — 要建立 IKE IPsec 隧道,需要进过两个协商阶段:
-
在第 1 阶段,参与方建立安全连接以协商 IPsec SA。
-
在第 2 阶段,参与方协商 IPsec SA,以便对用户数据的后续交换进行加密和验证。
有关 IPsec 隧道协商的详细信息,请参阅 IPsec 隧道协商。
从 Junos OS 19.4 R1 版开始,NFX350 设备默认支持 IKED。
从 Junos OS 24.2R1 版开始,NFX150 设备和 NFX250 设备均支持 IKED。
注意:NFX350 设备将 IKED 作为默认守护程序。从 Junos OS 24.2R1 开始,IKED 是 NFX150 和 NFX250 设备上的默认守护程序。
-
表 1 列出了 NFX 系列设备上支持的 IPsec 功能。
特征 |
参考 |
|---|---|
AutoVPN 辐射 |
|
自动发现 VPN (ADVPN) 合作伙伴
注意:
在 NFX150 设备上,无法配置 ADVPN 建议器。 |
|
站点到站点 VPN 和动态端点 |
|
基于路由的 VPN
注意:
NFX150 设备不支持基于策略的 VPN。 |
|
NAT-T |
|
失效对等体检测 |
配置安全性
在 NFX150 设备上,安全性是通过使用 IP 安全 (IPsec) 来实现的。IP 安全 (IPsec) 的配置过程包括以下任务:
配置接口
要在 LAN 或 WAN 上启用 IPsec,必须配置接口以提供网络连接和数据流。
要配置 IPsec,请使用 FPC1 接口。
要配置接口,请完成以下步骤:
配置路由选项
不特定于任何特定路由协议的路由功能和特性统称为与协议无关的路由属性。这些功能经常与路由协议交互。在许多情况下,您结合了与协议无关的属性和路由策略来实现某个目标。例如,使用与协议无关的属性定义静态路由,然后使用路由路由策略将静态路由重新分发到路由协议(如 BGP、OSPF 或 IS-IS)中。
与协议无关的路由属性包括:
静态、汇聚和生成的路由
全局优先
火星路线
路由表和路由信息库 (RIB) 组
要配置将接口路由导入到其中的路由表组,请完成以下步骤:
配置安全 IKE
IPsec 使用互联网密钥交换 (IKE) 协议对 IPsec 对等方进行身份验证,协商安全关联 (SA) 设置,并交换 IPsec 密钥。IKE 配置定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。
您可以配置 IKE 跟踪选项来调试和管理 IPsec IKE。
要配置 IKE traceoptions,请完成以下步骤:
您可以配置一个或多个 IKE 提议。每个提议都是一个 IKE 属性列表,用于保护 IKE 主机与其对等方之间的 IKE 连接。
要配置 IKE 提议,请完成以下步骤:
将预共享密钥配置为 IPsec IKE 提议的身份验证方法:
注意:为网络中的安全通信配置 IPsec 时,网络中的对等设备必须至少具有一种通用身份验证方法。无论配置多少种身份验证方法,一对设备之间都只能使用一种身份验证方法。
root@host# set security ike proposal ike-proposal-name authentication-method pre-shared-keys
为 IKE 提议定义 Diffie-Hellman 组 (dh-group):
root@host# set security ike proposal ike-proposal-name dh-group group14
为 IKE 提议配置身份验证算法:
root@host# set security ike proposal ike-proposal-name authentication-algorithm sha-256
为 IKE 提议定义加密算法:
root@host# set security ike proposal ike-proposal-name encryption-algorithm aes-256-cbc
设置 IKE 提议的生存期(以秒为单位):
root@host# set security ike proposal ike-proposal-name lifetime-seconds 180 to 86400 seconds
配置一个或多个 IKE 提议后,必须将这些提议与 IKE 策略相关联。IKE 策略定义在 IKE 协商期间使用的安全参数(IKE 提议)组合。它定义一个对等地址以及该连接所需的提议。根据使用的身份验证方法,它会为给定的对等方定义预共享密钥。在 IKE 协商期间,IKE 会查找两个对等方上相同的 IKE 策略。发起协商的对等方将其所有策略发送到远程对等方,远程对等方尝试查找匹配项。
要配置 IKE 策略,请完成以下步骤:
使用第一阶段模式定义 IKE 策略:
root@host# set security ike policy ike-policy-name mode aggressive
定义一组 IKE 提议:
root@host# set security ike policy ike-policy-name proposals proposal-name
为 IKE 定义预共享密钥:
root@host# set security ike policy ike-policy-name pre-shared-key ascii-text text-format
配置 IKE 网关以启动和终止防火墙与安全设备之间的网络连接。
要配置 IKE 网关,请完成以下步骤:
使用 IKE 策略配置 IKE 网关:
root@host# set security ike gateway gateway-name ike-policy ike-policy-name
使用对等方的地址或主机名配置 IKE 网关:
注意:如果 deamon 是 IKED 守护程序,则 NFX350 设备不支持多 IKE 网关地址冗余。只有 KMD 守护程序支持此功能。
root@host# set security ike gateway gateway-name address address-or-hostname-of-peer
启用失效对等体检测 (DPD) 功能以定期发送 DPD 消息:
root@host# set security ike gateway gateway-name dead-peer-detection always-send
配置本地 IKE 身份:
root@host# set security ike gateway gateway-name local-identity <inet | inet6 | key-id | hostname | user-at-hostname | distinguished-name>
配置远程 IKE 身份:
root@host# set security ike gateway gateway-name remote-identity <inet | inet6 | key-id | hostname | user-at-hostname | distinguished-name>
配置用于 IKE 协商的外部接口:
root@host# set security ike gateway gateway-name external-interface ge-1/0/1.0
配置客户端的用户名:
root@host# set security ike gateway gateway-name client username client-username
配置客户端密码:
root@host# set security ike gateway gateway-name client password client-password
配置安全 IPsec
IPsec 是一套相互关联的协议,可提供网络级数据完整性、数据机密性、数据源身份验证和重放保护。IPsec 可以保护在任何介质上通过 IP 运行的任何协议,也可以保护在复杂的介质组合上运行的混合应用协议。
配置 IPsec 提议,其中列出了要与远程 IPsec 对等方协商的协议和算法或安全服务。
要配置 IPsec 提议,请完成以下步骤:
配置一个或多个 IPsec 提议后,必须将这些提议与 IPsec 策略相关联。IPsec 策略定义 IPsec 协商期间使用的安全参数(IPsec 提议)组合。它定义了完全向前保密 (PFS) 和连接所需的提议。在 IPsec 协商期间,IPsec 搜索两个对等方上相同的提议。发起协商的对等方将其所有策略发送到远程对等方,远程对等方尝试查找匹配项。
要配置 IPsec 策略,请完成以下步骤:
为该策略定义 IPsec 策略、完全向前保密和 Diffie-Hellman 组:
root@host# set security ipsec policy ipsec-policy-name perfect-forward-secrecy keys group14
为策略定义一组 IPsec 提议:
root@host# set security ipsec policy ipsec-policy-name proposals proposal-name
配置 IPsec 虚拟专用网 (VPN),以提供一种通过公共 WAN(如互联网)在远程计算机之间安全通信的方法。一个 VPN 连接可链接两个 LAN(站点到站点 VPN)或链接一个远程拨号用户和一个 LAN。在这两点间流动的流量在共享资源(如路由器、交换机和构成公共 WAN 的其他网络设备)之间进行传输。为了在通过 WAN 时保护 VPN 通信,两个参与方会创建一个 IPsec 隧道。有关详细信息,请参阅 IPsec VPN 概述。
要配置 IPsec VPN,请完成以下步骤:
为 IPsec VPN 定义 IKE 网关:
root@host# set security ipsec vpn vpn-name ike gateway remote-gateway-name
为 IPsec VPN 定义 IPsec 策略:
root@host# set security ipsec vpn vpn-name ike ipsec-policy ipsec-policy-name
为 IPsec VPN 定义本地流量选择器:
root@host# set security ipsec vpn vpn-name traffic-selector traffic-selector-name local-ip local-traffic-selector-ip-address
为 IPsec VPN 定义远程流量选择器:
root@host# set security ipsec vpn vpn-name traffic-selector traffic-selector-name remote-ip remote-traffic-selector-ip-address
定义建立 IPsec VPN 隧道的标准:
root@host# set security ipsec vpn vpn-name establish-tunnels on-traffic
配置安全策略
安全策略通过定义在计划时间允许从指定 IP 源到指定 IP 目标的流量类型,控制从一个区域到另一个区域的流量。通过策略,您可以拒绝、允许、拒绝、加密和解密、身份验证、确定优先级、计划、过滤和监控试图从一个安全区域穿越到另一个安全区域的流量。您可以决定哪些用户和哪些数据可以进入和退出,以及这些用户和数据可以访问的时间和位置。
要配置安全策略,请完成以下步骤:
配置安全区域
安全区域是策略的构建块。它们是一个或多个接口绑定到的逻辑实体。安全区域提供了一种将主机组(用户系统和其他主机,例如服务器)及其资源相互区分的方法,以便对它们应用不同的安全措施。有关信息,请参阅 了解安全区域。
要配置安全区域,请完成以下步骤: