實現(xiàn)IPsec安全性的協(xié)議有哪些？

十五年前虛擬專用網(wǎng)對于大多數(shù)企業(yè)來說還是個很新的概念。但在今天，任意重要的安全（服務(wù)器租用找：51033397）和路由相關(guān)產(chǎn)品中都含有標準的VPN功能，這項技術(shù)愈來愈成為企業(yè)運作的一個基本需求。眾所周知，大多數(shù)協(xié)議和應(yīng)用程序在因特網(wǎng)上是通過明文傳輸?shù)�，通過VPN使用加密的數(shù)據(jù)在公共網(wǎng)上傳輸可以防止被黑客嗅探到敏感的數(shù)據(jù)并且可以幫助企業(yè)遵守數(shù)據(jù)隱私權(quán)。

早期的VPN產(chǎn)品需要在接入本地網(wǎng)絡(luò)的遠程客戶機上安裝自己的客戶端，現(xiàn)在有很多產(chǎn)品依然如此。這種加密方式和支持的協(xié)議使它們要么是個很好的選擇要么是個很糟的選擇，因為他們很容易被泄露出去。比如，點到點隧道協(xié)議曾一致被用來作為VPN解決方案，但是它并沒有提供足夠的安全（服務(wù)器租用找：51033397）因為通過GRE隧道加密不夠強而且通過MS-CHAP驗證太簡單。

今天，基于IPsec的VPNs成為了一種標準。使用因特網(wǎng)安全（服務(wù)器租用找：51033397）協(xié)議和其他相關(guān)協(xié)議，他們能夠提供足夠的安全（服務(wù)器租用找：51033397）性和加密措施用來保證會話是安全（服務(wù)器租用找：51033397）的并且被適當?shù)募用苓^。

另外，較廣范圍的應(yīng)用程序和數(shù)據(jù)的移動性為SSLVPN和移動設(shè)置VPNs鋪平了道路，隨著企業(yè)拓寬了員工接入敏感數(shù)據(jù)所使用的設(shè)備范圍，他們同樣擴大了傳輸數(shù)據(jù)的應(yīng)用程序的數(shù)量。SSLVPN可以用來保護所有這些應(yīng)用程序。

企業(yè)比以往有更多的選擇來保護自己敏感的數(shù)據(jù)并同時開啟遠程訪問和遵從數(shù)據(jù)隱私權(quán)。曾一度有人問：“是用IPsec還是SSL？”但是很多企業(yè)發(fā)現(xiàn)他們不是互相排斥的。當被考慮作為一個大規(guī)模遠程訪問方案時，每項技術(shù)都有自己的優(yōu)勢。

IPsec VPN

IPsec VPN框架是一個IETF 標準套件，它能夠在不安全（服務(wù)器租用找：51033397）的網(wǎng)絡(luò)中實現(xiàn)安全（服務(wù)器租用找：51033397）的數(shù)據(jù)傳輸，如Internet。IPsec VPN提供了一些在網(wǎng)絡(luò)層實現(xiàn)安全（服務(wù)器租用找：51033397）通信的協(xié)議，以及一個用于交換身份和安全（服務(wù)器租用找：51033397）性協(xié)議管理信息的機制。IPsec套件是專門用來解決IPv4 的一些基礎(chǔ)安全（服務(wù)器租用找：51033397）性問題的。

為了解決這些漏洞，IETF已經(jīng)開發(fā)了不同的協(xié)議標準定義。這些標準實現(xiàn)了以下四個基本服務(wù)：

數(shù)據(jù)傳輸加密：發(fā)起的億恩科技主機能夠在傳輸之前對數(shù)據(jù)包進行加密。

數(shù)據(jù)完整性驗證：接收的億恩科技主機能夠驗證每一個到達的數(shù)據(jù)包，保證所傳輸?shù)脑�始�?shù)據(jù)已經(jīng)成功接收。

數(shù)據(jù)源認證：發(fā)起的億恩科技主機能夠給數(shù)據(jù)包添加標記，這樣接收者能夠認證這些數(shù)據(jù)。

數(shù)據(jù)狀態(tài)完整性：發(fā)起和接收的億恩科技主機都能夠給數(shù)據(jù)包添加標記，這樣數(shù)據(jù)流的任何重復(fù)傳輸都可以被檢測和拒絕（這就是所謂的抗重放）。

IPsec VPN簡介

IPsec VPN工作在OSI Layer 3。

IPsec VPN能夠在遠程位置與企業(yè)網(wǎng)絡(luò)之間實現(xiàn)一個安全（服務(wù)器租用找：51033397）通道。

IPsec VPN需要使用安裝在億恩科技主機上的客戶端和位于中央的硬件。

持續(xù)的IPsec VPN配置維護和帳號管理可能需要很大工作量。

用戶擁有完整的內(nèi)部網(wǎng)絡(luò)功能。

IPsec VPN的訪問控制比較寬松。

IPsec VPN專門對VoIP、多媒體和網(wǎng)絡(luò)層傳輸進行了優(yōu)化。

IPsec VPN使用了許多不同的安全（服務(wù)器租用找：51033397）性協(xié)議來實現(xiàn)這些服務(wù)。在底層，這些協(xié)議可以分成兩類：數(shù)據(jù)包協(xié)議和服務(wù)協(xié)議。數(shù)據(jù)包協(xié)議用于實現(xiàn)數(shù)據(jù)安全（服務(wù)器租用找：51033397）性服務(wù)。這里有兩種IPsec數(shù)據(jù)包協(xié)議：Authentication Header (AH)和Encapsulating Security Payload (ESP)。此外還有許多服務(wù)協(xié)議，但是其中最主要的一個是Internet Key Exchange protocol (IKE)。

下面是IPsec VPN實現(xiàn)中通常會使用的協(xié)議簡要概述：

Authentication Header：AH定義在IETF RFC 2402，它支持IPsec數(shù)據(jù)驗證、認證和完整性服務(wù)。它不支持數(shù)據(jù)加密。AH一般是單獨實現(xiàn)的，但是它也可以與ESP一起實現(xiàn)。AH只有當我們需要保證交換數(shù)據(jù)雙方安全（服務(wù)器租用找：51033397）時才會使用。

Encapsulating Security Payload：ESP定義在IETF RFC 2406，它支持IPsec數(shù)據(jù)加密、驗證、認證和完整性服務(wù)。ESP可以單獨實現(xiàn)，也可以與AH一起實現(xiàn)。AH頭是預(yù)先設(shè)置在IP數(shù)據(jù)包的數(shù)據(jù)有效內(nèi)容位置的，而ESP則將IP數(shù)據(jù)包的整個數(shù)據(jù)部分封裝到一個頭和尾上。

Internet Security Association and Key Management Protocol (ISAKMP)：這些協(xié)議提供了實現(xiàn)IPsec VPN服務(wù)協(xié)商的框架和過程。ISAKMP定義在IETF RFC 2408。IKE定義在IETF RFC 2409。ISAKMP定義了創(chuàng)建和刪除認證密鑰和安全（服務(wù)器租用找：51033397）關(guān)聯(lián)（SA）的模式、語法和過程。IPsec節(jié)點會使用SA來跟蹤不同IPsec節(jié)點之間協(xié)商的各個方面的安全（服務(wù)器租用找：51033397）性服務(wù)政策。

Internet Key Exchange：IKE是 Oakley密鑰判定協(xié)議和SKEME密鑰交換協(xié)議的混合物。IKE協(xié)議負責(zé)管理IPsec VPN節(jié)點的ISAKMP中的IPsec安全（服務(wù)器租用找：51033397）關(guān)聯(lián)。IKE協(xié)議可以被ISAKMP使用； 但是它們并不相同。IKE是建立IPsec節(jié)點之間IPsec連接的機制。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]