< 返回新闻公告列表

简单概述什么是IPSec协议,以及IPSec的工作原理和应用场景

发布时间:2020-05-01 10:53:45    来源: 知鸟云

IPSec简介

IPsec代表Internet协议安全性。IPsec是“Internet Protocol Security”的缩写。通过传输介质的IP数据包包含纯文本形式的数据。它可以确保任何监视IP数据包移动的人都可以访问IP数据包,并读取数据。为了克服这个问题,并确保IP数据包的安全,IPsec应运而生。

IPSec的理念是在传输过程中对传输层和应用层的数据进行加密和密封。它还为互联网层提供了完整性保护。互联网报头本身是不加密的,正因为如此,中间路由器可以将加密后的IPSec信息传递给目标接收者。IPSec层位于传输层和互联网层之间。

IPSec协议

IP数据包由两部分组成,一是IP头,二是实际数据。IPSec的功能是以附加的IP头的形式实现的,这个IP头被称为标准的扩展IP头,也就是默认的IP地址。这种扩展的IP头必须遵循标准的IP头。IP安全提供了两个主要的服务,一个是身份验证,另一个是保密性,每一个都需要自己的扩展头。为了支持这一点,IPSec支持两个IP扩展头,一个用于认证,另一个用于保密。

1. 验证头协议

认证头协议提供了完整性、认证和防重放服务。IPSec认证头是IP数据包中的一个头,它包含了数据包内容的加密校验和。这个认证头被插入到IP头和随后的任何数据包内容之间。不需要改变数据包的数据内容,因此安全性完全在认证头的内容中。

2. ESP协议

ESP协议是Encapsulating Security Payload Protocol的缩写。它提供了数据的保密性。封装安全有效载荷协议还定义了需要插入到IP数据包中的新头。ESP协议还将受保护的数据转换为加密格式,即不可读格式。在正常情况下,封装安全有效载荷协议将在认证头内。也就是说,它首先进行加密和验证。

当接收方拿到经过IPSec处理的IP数据包时,接收方首先会对身份验证头进行处理,如果有的话,就会对其进行验证。根据这个结果,接收方判断数据包的内容是否正确,在传输过程中是否修改了数据。如果接收机认为内容可以接受,则提取与加密安全有效载荷相关的密钥和算法,对内容进行解密。

工作方式

认证头和封装安全有效载荷都可以在两个节点中的一个节点上使用。这两个节点是--隧道模式和传输模式。

1. 隧道模式

在隧道模式下,两台主机之间建立了一个加密隧道。假设A和B是两台主机,想要使用IPsec隧道模式进行通信。首先,他们确定相应的代理,比如说Pro1和Pro2,并在这两个代理之间建立逻辑加密隧道。A向Pro1发送其消息,隧道将此消息传送给Pro2。在隧道模式下,IPSec会保护整个IP数据报。它在Iap数据报中添加了IPSec头和拖车,并对整个IP数据报进行加密。然后,它在这个加密的数据报中添加一个新的IP头。

2. 传输模式

在传输模式下,源地址和目的地址在传输过程中不会被隐藏。它们是以纯文本形式,也就是说,任何人都可以读到。在传输模式下,IPSec接收传输层的有效载荷,并添加IPSec头和拖车,然后将其作为一个整体进行加密。之后,它添加了IP头,因此IP头不被加密。

IPSec的应用

以下是IPSec的一些应用。

1.安全的远程网络访问。通过IP安全,我们可以向我们的IPS(Internet服务提供商)打电话,以安全的方式连接到企业的网络。我们也可以访问企业的网络设施或远程服务器/桌面。

2. 与其他机构建立通信。由于IP安全可以实现组织内各分支机构之间的连接,所以也可以用来安全地连接各组织的网络。

3. 实现分支机构之间的安全连接。IPSec允许组织设置一个启用IPSec的网络,通过互联网安全地连接所有分支机构。此功能减少了组织需要在不同城市或国家之间连接组织分支机构的费用。

IPSec的优势

IPSec允许快速旅行者安全地访问企业网络。

它允许组织内各分支机构之间以安全和廉价的方式进行互联互通。

它在网络层工作,因此不需要改变上层,即应用层和传输层。

IPSec对终端用户是透明的。不需要对用户进行培训、密钥的发放和撤销。

它也被用于防火墙中,以保护传入和传出的流量。

当IP安全被配置成与防火墙一起工作时,它只成为所有流量的出入口,使其变得格外安全。


相关推荐