一、IPsec VPN應用場景
企業分支可以通過IPsec VPN接入到企業總部網絡。
機密性(Confidentiality)指對數據進行加密保護用密文的形式傳送數據。
完整性(Data integrity)指對接收的數據進行認證,以判定報文是否被算改。
防重放(Anti -replay)指防止惡意用戶通過重複發送捕獲到的數據包所進行的攻擊,即接收方會拒絕舊的或重複的數據包。
二、IPSec架構
IPSec VPN體系結構主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)和IKE(Internet Key Exchange)協議套件組成。
AH協議:主要提供的功能有數據源驗證、數據完整性校驗和防報文重放功能。然而,AH 并不加密所保護的數據報。
ESP協議:提供AH協議的所有功能外(但其數據完整性校驗不包括IP頭),還可提供對IP報文的加密功能。
IKE協議:用于自動協商AH和ESP所使用的密碼算法。
三、安全聯盟SA
安全聯盟定義了IPSec對等體間将使用的數據封裝模式、認證和加密算法、密鑰等參數。
安全聯盟是單向的,兩個對等體之間的雙向通信,至少需要兩個SA。
手工方式:安全聯盟所需的全部信息都必須手工配置。手工方式建立安全聯盟比較複雜, 但優點是可以不依賴IKE而單獨實現IPSec功能。當對等體設備數量較少時,或是在小型靜态環境中,手工配置SA是可行的。
IKE動态協商方式:隻需要通信對等體間配置好IKE協商參數,由IKE自動協商來創建和維護SA。動态協商方式建立安全聯盟相對簡單些。對于中、大型的動态網絡環境中,推薦使用IKE協商建立SA。
四、IPSec傳輸模式
在傳輸模式下, AH或ESP報頭位于IP報頭和傳輸層報頭之間。
五、IPSec隧道模式
在隧道模式下,IPsec會另外生成一個新的IP報頭,并封裝在AH或ESP之前。
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
