ipsecvpn加密算法

① 防火墙和路由器配置ipsecvpn的区别

防火墙和路由器在IPsecvpn上的区别：
防火墙不支持show crypto isakmp policy命令，首先要启用ISAKMP策略然后show run crypto。查看管理链接策略配置show run
防火墙默认使用更高的管理链接策略，默认使用加密算法3des，DH组2，设备验证方法为预共享密钥，默认HASH算法以及生存周期为sha-1和86400秒
而路由器可以使用show crypto isakmp policy来查看管理链接策略配置
默认管理链接策略为加密算法des，Dh组1，设备验证方法为RSA签名，默认hash算法sha-1生存周期86400
注意：
当对等体为路由器防火墙混搭时，如果采用默认策略，由于策略不一致，所以无法
连接
另外在数据连接建立的策略配置中，路由器只支持ESP，而路由器默认使用AH是不行的
7.0版隧道组共享密钥特性的引入，不算配置上的差异，而且防火墙仍然支持crypto isakmp key密钥字符串 address 对方对等体ip地址
命令如下:
Tunnel-group200.0.0.1 type ipsec-121
Tunnel-group200.0.0.1 ipsec-attributes
Pre-reshared-keybenet
端口安全级别对VPN的影响：
另外由于安全特性，默认防火墙的流量是不能在同一安全级别的端口间传输的，
如果需要同安全级别的端口通信，需要如下命令
Sam-security-trafficpermit intra-interface多用于与L2L会话的中心设备，比如总公司与多个分公司VPN通信的情况，分公司之间默认不能直接通信

② 简述iPsec实现方式

IPSec通过加密与验证等方式，从以下几个方面保障了用户业务数据在Internet中的安全传输：

数据来源验证：接收方验证发送方身份是否合法。

数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。

数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改。

抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

(2)ipsecvpn加密算法扩展阅读：

IPSec用来解决IP层安全性问题的技术。IPSec被设计为同时支持IPv4和IPv6网络。

IPSec主要包括安全协议AH（Authentication Header）和ESP（Encapsulating Security Payload），密钥管理交换协议IKE（Internet Key Exchange）以及用于网络认证及加密的一些算法等。

IPSec主要通过加密与验证等方式，为IP数据包提供安全服务。

③ 能实现第三层vpn通信的是

能实现第三层vpn通信的是：
安全需求不一样
二层vpn是指的pptpvpn和l2ptvpn这两个，这是工作在第二层上VPN，三层VPN是指的ipsecvpn也就是工作在网络层上，加密方式不一样，第三层VPN是最安全的VPN，加密算法也最复杂。
2层vpn对用户来说就是一个二层通道，就相当于在连个用户节点之间拉了一根专线，mplsvpn网络（如运营商承载网）不需要对其维护3层路由，即用户的路由不需要告诉运营商。
3层vpn是用户和运营商需要建立一个3层连接，用户把自己的路由告诉运营商，让运营商在全网中打通路由通道，从而使不同节点的用户站点之间可以通行，但是用户路由也是保密的，其他用户无法访问进来。

④ 商用密码产品认证产品种类以及认证依据

商用密码产品认证产品种类以及认证依据

一、商用密码产品认证产品种类

1. 智能密码钥匙

   实现密码运算、密钥管理功能的终端密码设备，一般使用USB接口形态。

2. 智能IC卡

   实现密码运算和密钥管理功能的含CPU（中央处理器）的集成电路卡，包括应用于金融等行业领域的智能IC卡。

3. POS密码应用系统、ATM密码应用系统、多功能密码应用

   为金融终端设备提供密码服务的密码应用系统。

4. PCI-E/PCI密码卡

   具有密码运算功能和自身安全保护功能的PCI硬件板卡设备。

5. IPSecVPN产品

   基于IPSec协议，在通信网络中构建安全通道的设备。

6. IPSecVPN安全网关

   与IPSecVPN产品类似，但更侧重于网关级别的安全通道构建。

7. SSLVPN产品/安全网关

   基于SSL/TLS协议，在通信网络中构建安全通道的设备。

8. 安全认证网关

   采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务的设备。

9. 密码键盘

   用于保护PIN输入安全并对PIN进行加密的独立式密码模块。

10. 金融数据密码机

    用于确保金融数据安全，并符合金融磁条卡、IC卡业务特点的密码设备。

11. 服务器密码机

    能独立或并行为多个应用实体提供密码运算、密钥管理等功能的设备。

12. 签名验签服务器

    用于服务端的，为应用实体提供基于PKI体系和数字证书的数字签名、验证签名等运算功能的服务器。

13. 时间戳服务器

    基于公钥密码基础设施应用技术体系框架内的时间戳服务相关设备。

14. 安全门禁系统

    采用密码技术，确定用户身份和用户权限的门禁控制系统。

15. 动态令牌

    生成并显示动态口令的载体。

16. 动态令牌认证系统

    对动态口令进行认证，对动态令牌进行管理的系统。

17. 安全电子签章系统

    提供电子印章管理、电子签章/验章等功能的密码应用系统。

18. 电子文件密码应用系统

    在电子文件创建、修改、授权、阅读等操作中提供密码运算、密钥管理等功能的应用系统。

19. 可信计算密码支撑平台

    采取密码技术，为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。

20. 证书认证系统

    对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。

21. 证书认证密钥管理系统

    对生命周期内的加密证书，密钥对进行全过程管理的系统。

22. 对称密钥管理产品

    为密码应用系统生产、分发和管理对称密钥的系统及设备。

23. 安全芯片

    含密码算法、安全功能，可实现密钥管理机制的集成电路芯片。

24. 电子标签芯片

    采用密码技术，载有与预期应用相关的电子识别信息，用于射频识别的芯片。

25. 其他密码模块

    实现密码运算、密钥管理等安全功能的软件、硬件、固件及其组合。

二、商用密码产品认证依据

商用密码产品认证主要依据以下国家或行业标准进行：

• GM/T0027《智能密码钥匙技术规范》
• GM/T0028《密码模块安全技术要求》
• GM/T0041《智能IC卡密码检测规范》
• JR/T0025-2018《中国金融集成电路（IC）卡规范第7部分：借记贷记应用安全规范》
• 《PCI密码卡技术规范》
• GM/T0018《密码设备应用接口规范》
• GM/T0022《IPSecVPN技术规范》
• GM/T0023《IPSecVPN网关产品规范》
• GM/T0024《SSLVPN技术规范》
• GM/T0025《SSLVPN网关产品规范》
• GM/T0026《安全认证网关产品规范》
• GM/T0049《密码键盘密码检测规范》
• GM/T0045《金融数据密码机技术规范》
• GM/T0030《服务器密码机技术规范》
• GM/T0029《签名验签服务器技术规范》
• GM/T0033《时间戳接口规范》
• GM/T0036《采用非接触卡的门禁系统密码应用技术指南》
• GM/T0021《动态口令密码应用技术规范》
• GM/T0031《安全电子签章密码技术规范》
• GM/T0055《电子文件密码应用技术规范》
• GM/T0011《可信计算密码支撑平台功能与接口规范》
• GM/T0012《可信计算可信密码模块接口规范》
• GM/T0058《可信计算TCM服务模块接口规范》
• GM/T0034《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》
• GM/T0051《密码设备管理对称密钥管理技术规范》
• GM/T0008《安全芯片密码检测准则》
• GM/T0035.2《射频识别系统密码应用技术要求第2部分：电子标签芯片密码应用技术要求》

此外，商用密码产品的密码算法应符合GM/T0001《祖冲之序列密码算法》、GM/T0002《SM4分组密码算法》、GM/T0003《SM2椭圆曲线公钥密码算法》、GM/T0004《SM3密码杂凑算法》、GM/T0009《SM2密码算法使用规范》、GM/T0010《SM2密码算法加密签名消息语法规范》、GM/T0044《SM9标识密码算法》等国家密码管理要求的密码算法。同时，产品的随机数检测应遵循GM/T0005《随机性检测规范》、GM/T0062《密码产品随机数检测要求》。