ipsecvpn加密演算法

① 防火牆和路由器配置ipsecvpn的區別

防火牆和路由器在IPsecvpn上的區別：
防火牆不支持show crypto isakmp policy命令，首先要啟用ISAKMP策略然後show run crypto。查看管理鏈接策略配置show run
防火牆默認使用更高的管理鏈接策略，默認使用加密演算法3des，DH組2，設備驗證方法為預共享密鑰，默認HASH演算法以及生存周期為sha-1和86400秒
而路由器可以使用show crypto isakmp policy來查看管理鏈接策略配置
默認管理鏈接策略為加密演算法des，Dh組1，設備驗證方法為RSA簽名，默認hash演算法sha-1生存周期86400
注意：
當對等體為路由器防火牆混搭時，如果採用默認策略，由於策略不一致，所以無法
連接
另外在數據連接建立的策略配置中，路由器只支持ESP，而路由器默認使用AH是不行的
7.0版隧道組共享密鑰特性的引入，不算配置上的差異，而且防火牆仍然支持crypto isakmp key密鑰字元串 address 對方對等體ip地址
命令如下:
Tunnel-group200.0.0.1 type ipsec-121
Tunnel-group200.0.0.1 ipsec-attributes
Pre-reshared-keybenet
埠安全級別對VPN的影響：
另外由於安全特性，默認防火牆的流量是不能在同一安全級別的埠間傳輸的，
如果需要同安全級別的埠通信，需要如下命令
Sam-security-trafficpermit intra-interface多用於與L2L會話的中心設備，比如總公司與多個分公司VPN通信的情況，分公司之間默認不能直接通信

② 簡述iPsec實現方式

IPSec通過加密與驗證等方式，從以下幾個方面保障了用戶業務數據在Internet中的安全傳輸：

數據來源驗證：接收方驗證發送方身份是否合法。

數據加密：發送方對數據進行加密，以密文的形式在Internet上傳送，接收方對接收的加密數據進行解密後處理或直接轉發。

數據完整性：接收方對接收的數據進行驗證，以判定報文是否被篡改。

抗重放：接收方拒絕舊的或重復的數據包，防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊。

(2)ipsecvpn加密演算法擴展閱讀：

IPSec用來解決IP層安全性問題的技術。IPSec被設計為同時支持IPv4和IPv6網路。

IPSec主要包括安全協議AH（Authentication Header）和ESP（Encapsulating Security Payload），密鑰管理交換協議IKE（Internet Key Exchange）以及用於網路認證及加密的一些演算法等。

IPSec主要通過加密與驗證等方式，為IP數據包提供安全服務。

③ 能實現第三層vpn通信的是

能實現第三層vpn通信的是：
安全需求不一樣
二層vpn是指的pptpvpn和l2ptvpn這兩個，這是工作在第二層上VPN，三層VPN是指的ipsecvpn也就是工作在網路層上，加密方式不一樣，第三層VPN是最安全的VPN，加密演算法也最復雜。
2層vpn對用戶來說就是一個二層通道，就相當於在連個用戶節點之間拉了一根專線，mplsvpn網路（如運營商承載網）不需要對其維護3層路由，即用戶的路由不需要告訴運營商。
3層vpn是用戶和運營商需要建立一個3層連接，用戶把自己的路由告訴運營商，讓運營商在全網中打通路由通道，從而使不同節點的用戶站點之間可以通行，但是用戶路由也是保密的，其他用戶無法訪問進來。

④ 商用密碼產品認證產品種類以及認證依據

商用密碼產品認證產品種類以及認證依據

一、商用密碼產品認證產品種類

1. 智能密碼鑰匙

   實現密碼運算、密鑰管理功能的終端密碼設備，一般使用USB介面形態。

2. 智能IC卡

   實現密碼運算和密鑰管理功能的含CPU（中央處理器）的集成電路卡，包括應用於金融等行業領域的智能IC卡。

3. POS密碼應用系統、ATM密碼應用系統、多功能密碼應用

   為金融終端設備提供密碼服務的密碼應用系統。

4. PCI-E/PCI密碼卡

   具有密碼運算功能和自身安全保護功能的PCI硬體板卡設備。

5. IPSecVPN產品

   基於IPSec協議，在通信網路中構建安全通道的設備。

6. IPSecVPN安全網關

   與IPSecVPN產品類似，但更側重於網關級別的安全通道構建。

7. SSLVPN產品/安全網關

   基於SSL/TLS協議，在通信網路中構建安全通道的設備。

8. 安全認證網關

   採用數字證書為應用系統提供用戶管理、身份鑒別、單點登錄、傳輸加密、訪問控制和安全審計服務的設備。

9. 密碼鍵盤

   用於保護PIN輸入安全並對PIN進行加密的獨立式密碼模塊。

10. 金融數據密碼機

    用於確保金融數據安全，並符合金融磁條卡、IC卡業務特點的密碼設備。

11. 伺服器密碼機

    能獨立或並行為多個應用實體提供密碼運算、密鑰管理等功能的設備。

12. 簽名驗簽伺服器

    用於服務端的，為應用實體提供基於PKI體系和數字證書的數字簽名、驗證簽名等運算功能的伺服器。

13. 時間戳伺服器

    基於公鑰密碼基礎設施應用技術體系框架內的時間戳服務相關設備。

14. 安全門禁系統

    採用密碼技術，確定用戶身份和用戶許可權的門禁控制系統。

15. 動態令牌

    生成並顯示動態口令的載體。

16. 動態令牌認證系統

    對動態口令進行認證，對動態令牌進行管理的系統。

17. 安全電子簽章系統

    提供電子印章管理、電子簽章/驗章等功能的密碼應用系統。

18. 電子文件密碼應用系統

    在電子文件創建、修改、授權、閱讀等操作中提供密碼運算、密鑰管理等功能的應用系統。

19. 可信計算密碼支撐平台

    採取密碼技術，為可信計算平台自身的完整性、身份可信性和數據安全性提供密碼支持。

20. 證書認證系統

    對數字證書的簽發、發布、更新、撤銷等數字證書全生命周期進行管理的系統。

21. 證書認證密鑰管理系統

    對生命周期內的加密證書，密鑰對進行全過程管理的系統。

22. 對稱密鑰管理產品

    為密碼應用系統生產、分發和管理對稱密鑰的系統及設備。

23. 安全晶元

    含密碼演算法、安全功能，可實現密鑰管理機制的集成電路晶元。

24. 電子標簽晶元

    採用密碼技術，載有與預期應用相關的電子識別信息，用於射頻識別的晶元。

25. 其他密碼模塊

    實現密碼運算、密鑰管理等安全功能的軟體、硬體、固件及其組合。

二、商用密碼產品認證依據

商用密碼產品認證主要依據以下國家或行業標准進行：

• GM/T0027《智能密碼鑰匙技術規范》
• GM/T0028《密碼模塊安全技術要求》
• GM/T0041《智能IC卡密碼檢測規范》
• JR/T0025-2018《中國金融集成電路（IC）卡規范第7部分：借記貸記應用安全規范》
• 《PCI密碼卡技術規范》
• GM/T0018《密碼設備應用介面規范》
• GM/T0022《IPSecVPN技術規范》
• GM/T0023《IPSecVPN網關產品規范》
• GM/T0024《SSLVPN技術規范》
• GM/T0025《SSLVPN網關產品規范》
• GM/T0026《安全認證網關產品規范》
• GM/T0049《密碼鍵盤密碼檢測規范》
• GM/T0045《金融數據密碼機技術規范》
• GM/T0030《伺服器密碼機技術規范》
• GM/T0029《簽名驗簽伺服器技術規范》
• GM/T0033《時間戳介面規范》
• GM/T0036《採用非接觸卡的門禁系統密碼應用技術指南》
• GM/T0021《動態口令密碼應用技術規范》
• GM/T0031《安全電子簽章密碼技術規范》
• GM/T0055《電子文件密碼應用技術規范》
• GM/T0011《可信計算密碼支撐平台功能與介面規范》
• GM/T0012《可信計算可信密碼模塊介面規范》
• GM/T0058《可信計算TCM服務模塊介面規范》
• GM/T0034《基於SM2密碼演算法的證書認證系統密碼及其相關安全技術規范》
• GM/T0051《密碼設備管理對稱密鑰管理技術規范》
• GM/T0008《安全晶元密碼檢測准則》
• GM/T0035.2《射頻識別系統密碼應用技術要求第2部分：電子標簽晶元密碼應用技術要求》

此外，商用密碼產品的密碼演算法應符合GM/T0001《祖沖之序列密碼演算法》、GM/T0002《SM4分組密碼演算法》、GM/T0003《SM2橢圓曲線公鑰密碼演算法》、GM/T0004《SM3密碼雜湊演算法》、GM/T0009《SM2密碼演算法使用規范》、GM/T0010《SM2密碼演算法加密簽名消息語法規范》、GM/T0044《SM9標識密碼演算法》等國家密碼管理要求的密碼演算法。同時，產品的隨機數檢測應遵循GM/T0005《隨機性檢測規范》、GM/T0062《密碼產品隨機數檢測要求》。