1.确定在哪些安全网关之间对哪些数据流建立安全隧道
安全隧道是两个安全网关间端对端的隧道,一定要为其分别规定一个本端和对端。一个隧道与被保护的数据流对应,两个安全网关间能建构多条隧道。安全隧道建在两个安全网关的接口间如以太网口同/异步串口。安全隧道的本端地址及对端地址是指接口的IP地址。
结合需要在安全策略中设置对的本端和对端地址访问控制列表要保护的数据流,并在安全策略中引用访问控制列表。
2.确定建立安全联盟选用的协商方式
建立安全联盟有手工和IKE自动协商两种方式。手工方式配置较繁杂,安全策略的信息和创建安全联盟的所有信息都要手工输入,而且不满足IPSec的有些如定时更新密钥的高级特性,但它的好处是可不靠IKE而独自实现IPSec功能。而后者则相对比较简单,只用把安全策略的信息配置好,让IKE自动协商来创建与维护。推荐用IKE协商建立安全联盟。
创建安全策略时一定要确定协商方式,之后就不能再改变。若要更改协商方式,只能删除安全策略后再创建一条新的。
3.确定在安全隧道上采用的安全协议算法和报文的封装形式
安全协议有AH与ESP两种。前者支持MDS验证算法和SHA-1验证算法。后者则支持MD5和SHA-1验证算法,及DES3DES加密算法。安全隧道两端设立的策略一定要用一样的协议和算法。
IPSec对IP报文的封装有传输和隧道两种模式。对于传输模式,IPSec保护原IP报文的数据部分,不保护IP报文头;对于隧道模式, IPSec保护整个IP报文,并在原IP报文前加一个新的IP头,新IP头的源地址和目的地址分别是安全隧道的两个端点的IP地址。
根据需要配置好安全转换方式,然后在安全策略中引用此方式。
4.确定密钥和安全参数索引
若借助IKE协商安全联盟,则上述信息由IKE协商生成,不用手工输入。若通过手工方式建立安全联盟,则事先一定要确定以上信息。
在安全隧道的两端,本端的输入安全联盟的参数索引和密钥一定要和对端的一样。