提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
前言
以下是我自己在学习IPsec时的一些感悟和笔记,发表这篇博客的目的是为了和大家一起讨论,学习。若文章有误还请指正,若需引用请标明出处。
一、IPsec是什么?
IPsec不是一种特定的协议,它是一组应用密码学的基于网络层的协议簇,主要用于提供IP层的网络安全通信。
二、IPsec概述
1.IPsec提供了两种安全机制:认证和加密
2.IPsec用于在ipv4和ipv6环境下提供灵活的安全服务。
3.IPsec VPN是基于IPsec协议簇构建的在IP层实现的安全虚拟专用网,是通过在IP数据包中插入预定义头部的方式来保护OSI上层协议数据的安全,主要用于保护TCP,UDP,ICMP以及隧道通信中的IP数据包。
4.IPsec提供端点到端点间的安全通信服务,两个端点又被称为IPsec对等体。
5.安全联盟(Security Association,SA)它是IPsec的基础,也是IPsec的核心(本质)。
6.SA用于两个对等体间某些要素的商定,例如采用什么协议封装模式,采用的协议(AH,ESP还是两者都用),采用的加密算法以及共享密钥的交换和其生命周期。
7.SA由一个三元组来唯一标识,这个三元组包括spi(安全参数索引,在配置时必须要设置),目的IP,所使用的协议的协议号。
三、关于认证和加密的概述
1.认证机制提供了对数据源的真实性的确认和对数据完整性的确认。
2.加密机制通过对加密算法的应用,可以防止数据在遭窃听后被及时破解并篡改,提供了数据可靠性的保障。
四、IPsec架构(IPsec VPN)
IPsec VPN体系中主要涉及到了三个协议:AH协议(报文头验证协议),ESP协议(封装安全载荷协议),IKE协议(因特网密钥交换协议) 。
接下来我就大致介绍一下这三个协议的功能:
1.AH协议:它定义了对数据源的认证和对数据完整性和真实性的认证和防报文重放功能。
2.ESP协议:它除了提供AH协议所提供的所有功能外还提供数据的加密功能(应用DES,3DES等)。
3.IKE协议:它用于自动协商AH和ESP中所使用的加密算法(AH中认证时会使用加密算法)。定义了安全参数如何协商,以及共享密钥如何建立,但是它并没有定义协商的内容。
五、IPsec中协议封装模式及宏观结构
IPsec中协议的封装模式分为两种:传输模式和隧道模式。接下来我会为大家介绍这两种模式的区别。
传输模式(主要设置在本地网段中主机到网关的安全通信,上层协议采用TCP)
1.通信过程中只采用认证机制(只使用AH协议),此时会在IP头部之前插入一个AH头部,提供整个对数据包的认证
2.通信过程中只采用ESP协议:此时会在IP头部后TCP头部前加入ESP头部,在IP数据包尾部加入ESP尾部和ESP认证数据。ESP协议会对TCP头部至ESP尾部的字段进行加密,对ESP头部至ESP尾部字段进行认证
3.AH-ESP协议结合使用:加密部分相同,两个协议会对数据包分别进行认证
隧道模式(主要设置在不同网段通信中网关到网关的安全通信,上层协议采用TCP)
隧道模式与传输模式最大的不同之处在于,在隧道模式下会在原IP头部前在加上一个IP头部,其IP地址为IPsec对等体的IP地址,这样就可以将客户机的IP隐藏起来,在协议封装时会以IP数据包为基本单位。
1.只使用AH协议:会在原IP头部前先插入一个AH头部再在其前方封装一个新的IP头部,认证字段为封装完成后的整个数据包
2.只使用ESP协议:同理,会在原IP数据包前先封装ESP头部再在其前方封装一个新的IP头部,其次还会在原IP数据包尾部封装一个ESP尾部和一个ESP认证数据字段。加密部分为原IP数据包+ESP尾部,认证部分为ESP头部至ESP尾部的所有字段
3.AH-ESP协议结合使用:该部分过程与在传输模式中的相同,同样是要两个协议分别进行认证
六 、配置IPsec VPN的基本步骤
总结
以上就是本期的全部内容,该篇文章之概述了IPsec理论部分的大概内容,仅代表我对IPsec的理解,我非常希望和大家一起讨论和学习。
因为时间原因,本篇未涉及实际操作,实操部分我会在下一篇文章中展示。
这是我第一次在csdn上博客,也是我写的第一篇博客,若有不当,还请大家及时告诉我。
由衷感谢各位读者!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
