swan是什么意思n在线翻译读音例句

strongswan介绍

⽂章⽬录

stron描写春天的优美段落摘抄 gswan介绍⽂档翻译，

保障⽹络安全

strongswan是⼀套完整的IPsec实现⽅案来提供服务端和客户端之间的加密和认证。

它能⽤来保证远端⽹络通信之间的安全，这样远端连接就跟本地连接⼀样。

图中名词解释

⽹关：⽹关通常是你的防⽕墙，但它也可能是你⽹络中的主机。⽹关通常⽤来为⼀个⼩型⽹络提供DHCP和DNS服务。

远程连接/访客：通常访客是笔记本和其他移动设备，通过⽹关来远程连接到你的⽹络。图中的carol代表了⼀个访客想要连接分别在两个⽹

关后⾯的两个⽹络。

远端主机/主机到主机：主机可以是远端的⽹站服务或者备份系统。图中为“Webserverwinnetou”和各个⽹关。两个⽹关之间的连接通

常需要各⾃都初始化。

远端域/域到域：在不同地⽅的两个⼦⽹内的主机或者更多⼦⽹内的主机应该是可以相互通信的。⼜回到上图中，moon和sun两个⽹关后⾯

的两个⼦⽹10.1.0.0/24和10.2.0.0/24，原则上是可以建⽴连接，然后主机alice和bob就可以彼此安全地通信了。

IKE和IPsec基础

strongswan本质上是基于密钥的应⽤程序，使⽤互联⽹密钥交换协议(IKEv1和IKEv2)来建⽴两端之间的安全关联。IKE提供了端与端之间

彼此的强认证并且获取唯⼀的加密会话密钥。像这样的⼀个IKE会话（IKEsession）经常⽤IKE_SA(SecurityAssociation)来表⽰。

除了认证和密钥，IKE还提供了交换配置信息的⽅法（⽐如虚拟⽹络地址），提供了协商IPsecSAs（也被称作CHILD_SAs）的⽅法。

IPsesSAs定义了哪些⽹络传输是安全的，并且定义了它是怎样加密和认证的。

⼀个CHILD_SA包含两个重要的组成部分：

1、实际的IPsecSAs(有两个，每个⽅向⼀个)描述了⽤来加密和认证的算法和密钥。

2、策略（⾄少两条）定义了哪种⽹络传输可以使⽤这样的SA。

策略⼯作在两个⽅向上，也就是说，解密后的数据包只有符合⼊⼝策略风马牛不相及的意思简单 才允许被传输。当在建⽴⼀个CHILD_SA时，策略就可以从传输选择

器（Trans七夕情人节的由来 ferSelector:TS）⾥获取，TS是通过IKE协商出来的。

内核收到的未受保护的数据包且能匹配到IpSec的⼊⼝策略，将会被丢弃。这是安全特点。

实际的IPsec⽹络传输并不是由strongswan掌握，⽽是由实际⽹络和操作系统的IPsec协议栈传输(XFRM)。

strongswan使⽤平台依赖的内核接⼝来下发协商好的IPsecSAs(SecurityAssociation)和SPs(SecurityPolicy)。IPsec中有两个重要概

念：安全关联(SecurityAssociation)和欢蹦乱跳的意思 安全策略(SecurityPolicy)，这两类信息都需要存放在内核XFRM。核XFRM使⽤netns_xfrm这

个结构来组织这些信息，它也被称为xfrminstance(实例)。

上述提到的策略和SAs之间的区别，经常导致误解。例如，在上图中所⽰，如果主机moon与主机sun之间有site-site类型的隧道连接(连接

两个⽹段10.1.0.0./24和10.2.0.0/24)，主机carol有个远程私有连接到主机sun(carol的虚拟IP地址是10.3.0.10),然⽽carol并不能与

alice通信，尽管在主机sun上转发是可以的。这是因为在carol和alice之间没有IPsec策略允许他们通信。建⽴另⼀条在moon和sun之间的

SA来连接虚拟⼦⽹10.3.0.0/24与10.1.0.0/24之间的通信，将是⼀个可⾏的⽅案。

中有提到SA与SP更详细底层的解释。

⼀般来说，IPsec处理事务与路由是两个不同的主题。

有个例外就是

RoutebasedIPsec⽐PolicybasedIPsec更简单。

认证基础知识

为了确保每⼀个端的IKE_SA能够⽣成，每个端就已经声明⾃⼰是被认证过的。

strongswan提供了⼏种⽅式来实现这⼀点：

1、公钥认证：

(1)它使⽤RSA,ECDSA或者EdDSAX.509证书体系来验证对⽅的⾝份。

(2)证书能够被⾃签（证书必须被各终端安装），或者被CA系统签发。

(3)CertificateRevocationLists(CRLs)或OnlineCerificateStatusProtocal(OCSP)可以⽤来验证证书的有效性。

(3)⽤来存储私钥的智能卡将以PKCS#11plugin⽅式使⽤。

(4)为了防⽌中间⼈攻击，证书⾥的subject或subjectAltName字段必须被核实。

2、预共享密钥认证：

预共享密钥是种简单的⽅式，不适合拥有⼤量⽤户的场景。

3、可扩展认证协议(EAP)

4、扩展认证(XAuth)

如果醉笑陪君三万场 使⽤IKEv2，它就可能使⽤多个认证回合，例如，第⼀次⽤证书认证设备，然后⽤基于⽤户名/密码的认证（EAP-MSCHAPv2）来认

证⽤户。也可以使⽤⾮对称的认证⽅式，例如，⽹关⽤证书认证，⽽⽤户⽤基于EAP的⽤户名/密码⽅式认证。请明⽩并不是所有的IKEv2

实现都⽀持这⼀拓展。

配置⽂件基础

配置strongswan的时候建议通过强⼤的vici接⼝和swanctl命令⾏⼯具。配置⽂件是被swanctl⽤来存储证书和相应的私有密

钥的地⽅。全局的strongswan设置信息被定义在⾥。例外，ipsecstroke接⼝和它的和s配置

⽂件都是可以被使⽤的。

使⽤和维护

strongswan通常是被swanctl命令管理的，⽽IKE进程charon是被sys文言文翻译转换器在线转换 temd控制的。

因为历史原因，strongswan可以被ipsec命令控制，ipsecstart将启动开始进程依次启动并配置密钥进程charon。

连接和CHILD_SAs在⾥被定义（或者定义在的conn章节）

连接和CHILD_SAs能以三种场景启动：

1、传输时建⽴：如果⽤了start_action=trap/auto=route，IPsec⾥针对配置好的传输的捕获策略将被安装，匹配这些策略的传输将会触

发acquire事件，导致进程建⽴被请求的IKE/IPSecSAs。

2、启动时建⽴：CHILD_SAs被配置成start_action=start(或auot=start)，当程序启动时将⾃动建⽴CHILD_SAs。

当CHILD_SAs下线时不会⾃动重启。你需要指定其他的配置项(dpd_action/dpdaction或close_action/closeaction)来⾃动重启他们，

但即使这样，这项设置也不是安全可靠的，将存在潜在的丢包。你应⼤胆使⽤捕获策略，并阅读安全建议来避免这些问题。

3、⼿动建⽴：⼀条连接没有使⽤关键字start_action(在⾥是auto=add)将不得不使⽤命令swanctl--initiate(或ipsecup)来⼿

动启动。

根据配置为⽂件，可以使⽤swanctl--install(或ipsecroute)来为那些连接⼿动安装策略，就像启动时配置

start_action=trap/auto=route。

在⼀个SA被建⽴后，就可通过swanctl--terminate（或ipsecdown）命令来关闭IKE_SA或个⼈的CHILD_SAs。

只要⽂件或者证书被改变就要被相应的–load命令重新加载下（ipsecupdate或ipsecreload*将重新加载配置⽂

件），已经建⽴的连接不会被这些重新加载命令所影响，因⽽要求SA君子慎独是什么意思 s甚⾄进程重启启动。

为了兼容传统配置，s或者ipsec.d⽬录下的⽂件被改变，那么可以执⾏ipsecreread命令来重新加载这些⽂件。香组词

使⽤不同的**swanctl--list*(或ipseclist)**命令将提供查询已加载的或取消的证书信息，⽀持的算法和加载的插件等。

⽇志和监测

当你运⾏出错，提⾼⽇志等级可能帮助⽴找到哪⾥出错了。不同的⽇志参数信息被描述在我们的WiKi上和的帮助页。

PKI

⽣成证书的最简单⽅式之⼀是使⽤ipsecpki⼯具。因为搭建⼀整套PKI是相当复杂的，我们只提供了些指导让你开始。

openssl也是⼀个⼴泛使⽤，可选择的⼯具来⽣成证书。

证书要求：

1、⽣成的叶⼦节点证书需要对对端的IKEID认证成功。

2、换句话说，你能使⽤完整的DN或者所有的形容孤独的诗句 SAN域值作为⼀个ID.

3、此外，这个证书必须是Bob信任的，例如，这个证书之前就被Bob认证过，或是由Bob信任的作者颁发的。

4、为了认证成功，对端必须进⾏完整的证书链验证。

路由

在Linux系统上，strongswan默认安装路由到路由表220，并且要求内核⽀持基于策略的路由(XFRM)。

你能⽤进程安装路由到任何的路由表，或者你完全可以关闭它。

基于这些原因，在⾥的l_routes,g_table和g_table_prio这些设置将会被使

⽤。当⼀个隧道被两个⼦⽹建⽴，charon会尝试在本地⼦⽹内找到本地的IP地址。因此⼦⽹内的IP地址应该被配置为可查找的。如果⼀个

有效的IP地址被找到，charon将添加⼀条路由条⽬指向远端⼦⽹，路由结果会像下⾯这样

10.1.0.0/24via10.2.0.1src10.2.0.2