IPSec

Internet Protocol Security (IPSec) 是一个用于保障网络通信安全的协议，它可以在网络层（OSI模型的第3层）提供加密性和认证性。

功能

• 实现数据的加密传输，防止数据被非法窃取
• 提供数据完整性保证，保证数据在传输途中不被篡改
• 实现网络端点之间的认证，确保信息只能被授权方访问
• 实现对数据包的防重放攻击保护，避免窃听者以前截获的数据包被篡改后再次发送

传输模式和隧道模式

IPSec主要有传输模式和隧道模式两种类型。

传输模式

传输模式只对数据报的有效内容进行加密和认证，不会对IP报头进行处理。在传输模式中，安全关联只建立在两个主机（end-to-end），用于保障主机间的通信安全，不涉及任何子网的安全问题，故传输模式适用于端到端的加密通信。

隧道模式

隧道模式则是将整个IP数据包同时使用安全隧道协议进行加密和认证。安全关联建立在两个网关（接入点）之间（gateway-to-gateway），用于保护子网与子网之间的通信安全，故隧道模式适用于子网间的加密通信。

协议

IPSec标准中规定了多种协议，在实现中可能需要用到以下几种：

• AH协议（认证头）：提供数据的完整性和认证保护，但不提供数据的加密保护。
• ESP协议（封装安全载荷）：提供数据的完整性和认证保护，并提供数据的加密保护。
• IKEv2协议（Internet Key Exchange）：用于自动协商加密方式、密钥等安全参数，能够自动建立和维护安全关联。

实现

IPSec的实现方式包括使用硬件设备实现和使用软件实现。

硬件实现方式需要专门的IPSec设备，并通过配置方式使网络流量通过设备来进行安全保护。因此，硬件实现方式具有较强的可靠性和性能，但价格相对昂贵。

软件实现方式可以在普通的计算机和路由器上直接运行，且通过合理的配置也能达到较好的性能和安全性，但由于软件本身存在漏洞，攻击者可能会针对漏洞发动攻击。

参考资料

• IPSec wiki
• What is IPSec?
• Brian Trammell's IPSec tutorial