环境:
总部:深信服 AF 8.0.75
分部:思科AF ASA 5555
Cisco Adaptive Security Appliance Software Version 9.4(2)6
Device Manager Version 7.5(2)153
问题描述:
思科CISCO ASA 5555防火墙如何新增至深信服设备 Ipsec隧道
解决方案:
Ipsec知识
IKE模式(第1阶段)
主模式
IKE会话在发起方向响应方发送建议或建议时开始。节点间的第一次交换建立基本的安全策略;发起方提出要使用的加密和认证算法。响应方选择适当的建议书(我们假设已选择建议书)并将其发送给发起方。下一次交换将传递Diffie-Hellman公钥和其他数据。所有进一步协商在IKE SA内加密。第三个交换机会对ISAKMP会话进行身份验证。建立IKE SA后,IPSec协商(快速模式)开始。
积极模式
主动模式将IKE SA协商压缩为三个数据包,SA所需的所有数据由发起方传递。响应方发送建议、密钥材料和ID,并在下一个数据包中验证会话。发起方回复会话并对会话进行身份验证。协商更快,且发起方和响应方ID以明文形式通过。
IPsec模式(第2阶段)
快速模式
IPSec协商或快速模式类似于主动模式IKE协商,但协商除外,必须在IKE SA内受到保护。快速模式协商用于数据加密的SA,并管理该IPSec SA的密钥交换。
IKE术语表
安全关联(SA)是在两个网络实体之间建立共享安全属性以支持安全通信。SA包括
