📜  IP 安全 (IPSec)(1)

📅  最后修改于: 2023-12-03 14:42:09.838000             🧑  作者: Mango

IPSec

Internet Protocol Security (IPSec) 是一个用于保障网络通信安全的协议,它可以在网络层(OSI模型的第3层)提供加密性和认证性。

功能
  • 实现数据的加密传输,防止数据被非法窃取
  • 提供数据完整性保证,保证数据在传输途中不被篡改
  • 实现网络端点之间的认证,确保信息只能被授权方访问
  • 实现对数据包的防重放攻击保护,避免窃听者以前截获的数据包被篡改后再次发送
传输模式和隧道模式

IPSec主要有传输模式和隧道模式两种类型。

传输模式

传输模式只对数据报的有效内容进行加密和认证,不会对IP报头进行处理。在传输模式中,安全关联只建立在两个主机(end-to-end),用于保障主机间的通信安全,不涉及任何子网的安全问题,故传输模式适用于端到端的加密通信。

隧道模式

隧道模式则是将整个IP数据包同时使用安全隧道协议进行加密和认证。安全关联建立在两个网关(接入点)之间(gateway-to-gateway),用于保护子网与子网之间的通信安全,故隧道模式适用于子网间的加密通信。

协议

IPSec标准中规定了多种协议,在实现中可能需要用到以下几种:

  • AH协议(认证头):提供数据的完整性和认证保护,但不提供数据的加密保护。
  • ESP协议(封装安全载荷):提供数据的完整性和认证保护,并提供数据的加密保护。
  • IKEv2协议(Internet Key Exchange):用于自动协商加密方式、密钥等安全参数,能够自动建立和维护安全关联。
实现

IPSec的实现方式包括使用硬件设备实现和使用软件实现。

硬件实现方式需要专门的IPSec设备,并通过配置方式使网络流量通过设备来进行安全保护。因此,硬件实现方式具有较强的可靠性和性能,但价格相对昂贵。

软件实现方式可以在普通的计算机和路由器上直接运行,且通过合理的配置也能达到较好的性能和安全性,但由于软件本身存在漏洞,攻击者可能会针对漏洞发动攻击。

参考资料