前言
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。
IPSec
-
含义:Internet Protocol Security
-
源于IPv6
-
IETF制定的一套安全保密性能框架
-
建立在网络层的安全保护机制
-
引入多种加密算法、验证算法 和密钥管理机制
-
也具有配置复杂、消耗运算资源多、增加延迟、不支持组播等缺点。
-
IPSec VPN是利用IPSec隧道建立的VPN技术
IPSec核心功能
- 机密性:对数据进行加密
- 完整性 :对接收到数据包进行完整性验证,以确保数据在传输过程中没有被篡改
- 真实性: 验证数据源,以保证数据来自真实的发送者
- 抗重放: 接收方会拒绝旧的或重复的数据包
这个抗重放特性可以理解为,我和朋友去餐厅吃饭,我们在同一张桌子扫二维码点餐,我们都点击付款,最后只有一个人成功付款,而另一个人只会显示有一个神秘顾客已经买完单了。
IPSec技术框架
PS :DES和3DES加密算法存在安全隐患,建立优先使用AES、SM1或SM4算法。
PS :MD5和SHA-1验证算法存在安全隐患,建议优先使用SHA-2算法或SM3算法。
- IKE协议提供密钥协商,建立和维护安全联盟SA等服务。
- 通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。
