目录
1,什么是ipsec
ipsec(Internet Protocol Security)是一直种实现vpn的技术之一,为IP网络提供安全和加密。
(由于IP报文本身没有集成任何的安全特性,IP数据包在公用的Internet网络中可能面临被[伪造]、[窃取]、[篡改]的风险)
通信双方通过IPsec建立 一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
常见的VPN种类有:IPsec、SSL、GRE、PPTP和L2TP等。其中IPsec是通用性较强的一种VPN技术,适用于多种网络互访的场景。
2,IPSec提供的安全服务
3,IPSec协议族安全体系框架
4,两种工作模式
传输模式(Transport mode)
隧道模式(Tunnel mode)
5,AH与ESP封装的异同?
相同点:
无论是AH还是ESP,它们都会提供数据的完整性、认证和保密性,以确保数据在传输过程中不被篡改、伪造或窃取。
不同点:
ESP:加密结果:完整性、可用性、机密性(完全性很全面)
AH:加密结果:完整性、可用性(没有私密性)
6.详细说明IKE的工作原理?
IKE经过两个阶段为ipsec进行密钥协商并建立安全联盟:
第一个阶段:通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道,交换建立一个iskmp
安全联盟,iskmp sa。
-
主模式
-
野蛮模式
第二个阶段:用已经建立的安全联盟 iskmp sa(ike sa)的安全通道为ipsec协商安全服务,建立ipsec sa,产生用于业务数据加密的密钥
完整过程
7逻辑关系
8,应用场景:
主模式:
对等方具有较高的计算资源和网络带宽:主模式需要多个回合的交互,因此对等方需要具备较高的计算资源和网络带宽来处理这些交互过程。
需要更完善的安全关联参数协商:主模式允许在多个回合的交互中协商更多的安全关联参数,如加密算法、哈希算法、Diffie-Hellman组等。
对等方需要更严格的身份验证:主模式提供了更严格的身份验证机制,包括交换证书或预共享密钥等。
野蛮模式:
资源受限的网络环境:积极模式在较短的交互中完成身份验证和密钥协商,适用于资源受限的网络环境,如移动网络或嵌入式设备。
需要快速建立安全通信:积极模式通过减少交互回合数来实现快速建立安全通信的目的。这对于需要快速建立安全连接的场景非常有用,如远程访问、VPN等。