IPsec是一个网络层安全协议族,提供包括机密性、完整性在内的安全服务。它有两种工作模式:传输模式和隧道模式,以及两个通信保护协议AH和ESP。IPsec通过IKE进行安全联盟SA的建立与密钥交换,确保数据传输的安全。在NAT环境下,IPsec仍能保障数据传输,并通过DPD避免VPN隧道黑洞。IPsec广泛应用在企业分支与总部之间的安全通信和NAT环境下的安全传输。
一、 IPsec简介
- 是一组基于网络层的,应用密码学的安全通信协议族。IPsec不是具体指哪个协议,而是一个开放的协议族。
- 设计目标:是在IPv4和IPv6环境中为网络层流量提供灵活的安全服务。
- 是基于IPsec协议族构建的在IP层实现的安全虚拟专网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
** IPsec提供的安全服务**
机密性、完整性、数据源鉴别、重传攻击保护、不可否认性
二、 IPsec协议簇安全框架
2.1 IPsec协议族
- 两种工作模式:传输模式、隧道模式
- 两个通信保护协议:鉴别头(AH,Authentication Header)、封装安全载荷(ESP,Encapsulating Security Payload)
- 密钥交换管理协议(IKE):阶段一(两种基本模式:主模式、野蛮模式)、阶段2(Quick mode)
- 两个数据库:安全策略数据库SPD(Security Policy Database)、安全关联数据库SAD(Security Association Database)
- 解释域DOI(Domain of Interpretation)
三、 IPsec工作模式
3.1 传输模式
主要应用场景:经常用于主机和主机之间端到端通信的数据保护。
封装方式:不改变原有的IP包头,在原数据包后面插入如IPsec包头,将原来的数据封装成被保护的数据
3.2 隧道模式
主要应用场景:经常用于私网与公网之间通过公网进行通信,建立安全VPN通道。
最低0.47元/天 解锁文章
扫一扫
2838
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
