什么是 IPsec 隧道？

IPsec 可能是一组协议，用于排列设备之间的加密连接。它有助于保持通过公共网络安全发送的知识。 IPsec 通常是基于习惯的 VPN，它通过加密科学学科数据包来工作，同时验证数据包从何处返回的供应。

IPsec 对完整的传出数据包进行加密。这通常在使用防火墙或路由器端口的安全入口通道上强制执行。例如，来自关联企业分支机构的员工将通过安全网关与业务办公室内的系统牢固连接。 IPsec 隧道在 2 个入口主机之间建立。

IP 代表“Internet 协议”，sec 代表“安全”。 IPsec 是安全的，因为它的加密和身份验证过程。加密是一种通过数学中和知识来隐藏信息的方法，因此它看起来是随机的。用更简单的术语来说，秘密写作是使用只有获得批准的各方才能解释的“秘密代码”。

用户如何连接到 IPsec 隧道？

用户将通过进入 VPN 应用程序或“客户端”来访问 IPsec VPN。这通常需要用户在他们的设备上安装应用程序。VPN 登录通常是基于密码的。虽然通过 VPN 发送的知识是加密的，但如果用户密码被泄露，攻击者将登录 VPN 并窃取这些加密的知识。利用双因素身份验证 (2FA) 将加强 IPsec VPN 的安全性，因为单独窃取假释现在无法为攻击者提供访问权限。

IPsec 隧道如何工作？

IPsec 连接包括以下步骤：

1. 密钥交换：加密需要密钥；密钥是字符串随机字符，习惯于“锁定”（加密）和“解锁”（解密）消息。 IPsec 在连接的设备之间通过密钥交换设置密钥，以便每个设备都能解密对方设备的消息。
2. 数据包标头和尾标：通过网络发送的所有信息都被分解为称为数据包的较小项目。每个数据包都包含一个有效载荷，或正在发送的特定知识，以及标头或该知识的数据，以便接收数据包的计算机识别尝试使用它们做什么。 IPsec 将许多标头添加到包含验证和编码数据的知识包中。 IPsec 还添加了尾部，它跟踪每个数据包的有效负载，而不是之前。
3. 身份验证： IPsec 为每个数据包提供身份验证，有点像收藏品上的可信标记。这可确保数据包来自可信赖的供应商而不是攻击者。
4. 加密： IPsec 每隔一段时间对每个数据包和每个数据包的 IP 标头的有效负载进行加密。这使通过 IPsec 发送的信息保持安全和个人化。
5. 传输：加密的 IPsec 数据包使用传输协议通过一个或多个网络到达目的地。在这个阶段，IPsec 流量与常规 IP 流量不同，它最常使用 UDP 作为其传输协议，而不是 TCP。 TCP，传输控制协议，在设备之间建立专用连接并确保每个数据包都到达。 UDP，即用户数据报协议，没有发现这些专用连接。 IPsec 使用 UDP，因为这使 IPsec 数据包能够通过防火墙。
6. 解密：在通信的另一端，数据包被解密，应用程序当前将使用传递的知识。

IPsec 中使用的协议：

在联网中，协议可能是格式化信息的指定方式，以便任何联网的电脑都可以解释信息。 IPsec 不是一个协议，而是一组协议。后续协议构成 IPsec 套件：

• 认证标头 (AH)： AH 协议确保信息包来自信息未被篡改的可靠供应商，类似于购物者产品上的防篡改封条。这些标头不提供任何加密；它们无助于向攻击者隐瞒信息。
• 封装安全协议 (ESP)： ESP 加密 IP 标头以及每个数据包的有效负载 - 除非采用传输模式，否则在某种情况下，它只加密有效负载。 ESP 在每个信息包中添加自己的头部和尾部。
• 安全关联 (SA)： SA 是指用于协商编码密钥和算法的多种协议。每个最常见的 SA 协议都是 Internet 密钥交换 (IKE)。

虽然 IP（Internet 协议）不是 IPsec 套件的一部分，但它直接运行在 IP 之上。

IPsec 的优势：

• IPSec 运行在第三层，即网络层。结果，高层网络层没有崩溃。 IPsec 的最大优势是对应用程序的透明性。
• IPsec 提供隐私。当信息交换时，IPsec 确保使用公钥来保护隐私。所以不可能找到信息包。
• IPsec 只需要修改操作系统这就是为什么IPsec 不关心应用程序的类型。

IPsec的缺点：

• IPSec 的一个相当大的缺点是它的访问范围很广。在基于 IPSec 的网络中授予对一台设备的访问权限也将为不同的设备提供访问权限。
• 其次，IPSec 也带来了许多与软件的兼容性问题。当软件开发人员不遵守 IPSec 标准时，就会发生这种情况。
• 不幸的是，IPSec 因其高中央处理器使用率而受到认可。它需要相当多的处理能力来加密和解码通过服务器的所有信息。

IPsec隧道模式和IPsec传输模式的区别