|
IPSEC VPN简介
IPSEC是安全互联网协议。它使用强密码学来提供认证以及加密服务。认证保证了数据包来自于正确的发送方而且在传输过程中没有被更改过。加密则防止了对数据包的未经授权的阅读。
这些服务允许你建立不可信任网络中的安全隧道。经由不信任网络的任何数据都通过IPSEC网关设备加密,并在到达目的地端时被解密。这就是虚拟专用网或者说VPN(Virtual
Private Network)。这种网络提供有效的私有性,尽管它是由包括多个与不安全的互联网相连的不同站点中的设备组成。 |
IPSEC协议是由IETF(Internet
Engineering Task Force)开发,并被IPv6(下一代)所要求。同时已经被IPv4所广泛实施。特别是,几乎所有类型的防火墙和安全软件都已经支持IPSEC产品或者正处于开发之中。已经有多个开源(Open
Source)的IPSEC项目。许多公司正在安全广域网(Secure
Wide Area Network)项目中合作以确保产品的互操作性。有一个VPN联盟来培育众多公司在此领域的合作。
·IPSEC,安全互联网协议
IPSEC在网络协议栈的IP(Internet
Protocol)层提供加密和认证服务。
在IP层工作,IPSEC可以保护任何由IP所负载的通信,不象其他加密方法一般只保护一种专门的高层协议,如PGP之于电子邮件(Mail),SSH于远程登录,SSL于网页等等。
IPSEC可以在任何使用IP网络的设备上运行。专门的IPSEC网关设备可以被安装在任何要求保护通信安全的地方。IPSEC能够运行在路由器、防火墙、多种应用服务器、以及终端用户的台式机及笔记本上。
IPSEC主要包括三种协议:
AH (Authentication Header) 提供封包层的认证服务
ESP (Encapsulating Security Payload) 提供加密以及认证服务
IKE (Internet Key Exchange) 协商连接参数,包括认证和加密的密钥
·IPSEC的安全性
如果有强壮的加密算法,仔细的实施,以及对网关设备胜任的管理,我们就能相当确信隧道的安全。这两个网络就像一个大的虚拟的网络,其中的一些链接是通过不可信网络的加密隧道。
·IPSEC的通用性
而IPSEC可以保护任何运行于IP层上的协议和任何IP运行于其上的媒质。更需要指出的是,它能够运行于复杂混合媒质上的混合应用协议。这是通常Internet通信的现状;IPSEC是唯一通用的解决方案。
·IPSEC的应用
由于IPSEC是在网络层操作,因此它具有显著的灵活性并且可以被用来提供任何类型的互联网通信的安全。有两个应用得到了非常广泛的传播。
a. 虚拟专用网,或者称为VPN,通过对站点间的通信进行加密,使多个站点可以通过不安全的Internet来安全地进行通信。
b. 移动用户可以从家里连接到办公室,或者可以从任何地点的旅馆里。
在这些应用中有足够的机会,有众多的供应商可供选择提供此类产品与服务。IPSEC已经被建立在路由器、防火墙、主要的操作系统来实现对这些应用的支持。
|
