上一篇文中,向大家介绍了VPN的类型和功能,其中讲到了IPsec的VPN加密模式。那么本文我们就来看一下IPsec是怎么对VPN数据进行加密的。本文内容同样摘自Cisco安全培训。
IPsec 技术
IPsec 是一种 IETF 标准 (RFC 2401-2412),定义了如何通过 IP 网络保护 VPN。IPsec 为源与目的地之间的 IP 数据包提供保护和认证。IPsec 可以保护第 4 层至第 7 层的流量。
IPsec 使用 IPsec 框架,可提供以下重要安全功能:
保密性 - IPsec会使用加密算法来防止网络犯罪分子读取数据包的内容。
完整性 - IPsec会使用散列算法来确保数据包在源和目的之间没有篡改。
源身份认证 - IPsec会使用IKE(互联网密钥交换)协议对源和目的进行认证。认证方式包括使用预共享密钥(密码)、数字证书或RSA证书。
DH算法 - 确保密钥交换安全性的通常是各个DH算法组。
IPsec 的安全通信不受任何特定规则约束。框架的灵活性使 IPsec 可以轻松集成新安全技术,而无需更新现有 IPsec 标准。当前可用的技术会与它们特定的安全功能保持一致。图中IPsec框架中的开放字段可以填入该IPsec功能所创建的唯一SA(安全关联)。
表中列举了IPsec的安全功能
图中展示了两种不同实施方式中的SA示例。SA 是 IPsec 的基本构建块。建立 VPN 链接时,对等体必须