文章目录
IPSec基础知识
IPSec (Internet 协议安全)是一个工业标准网络安全协议,为IP 网络通信提供透明的安全服务,保护TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。
IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现Internet 上数据的安全传输。
IPSec特性
1.访问控制:通信对等体认证机制,对于通信的对等体进行认证,从而完成访问控制功能。
2.无连接的完整性、数据来源验证:通过报文认证,防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生–个加密校验和,接收方在打开包前先计算校验和,若包遭篡改导致校验和不相符,数据包即被丢弃。验证数据源,以保证数据来自真实的发送者(IP报文头内的源地址)。
3.防重放:通过AH或者ESP的防重放窗口结合认证,来抵御重放攻击。确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权。
4.机密性(加密):通过ESP的加密功能以及ESP协议的报文填充功能来完成。在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读出。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。
IPSec组成部分
IPSec包括认证头协议AH(AuthenticationHeader)、封装安全载荷协议ESP(Encapsulating Security Payload)、因特网密钥交换协议IKE (Internet Key Exchange),用于保护主机与主机之间、主机与网关之间、网关与网关之间的一-个或多个数据流。
其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换。
IPSec对等体
IPSec用于在协商发起方和响应方这两个端点之间提供安全的IP通信,通信的两个端点被称为IPSec对等体。其中,端点可以是网关路由器,也可以是主机。
IPSec隧道
IPSec为对等体间建立IPSec隧道来提供对数据流的安全保护。一对IPSec对等体间可以存在多条IPSec隧道,针对不同的数据流各选择一条隧道对其进行保护,例如有的数据流只需要认证、有的需要认证和加密。