新闻资讯

Ipsec能提供哪些安全功能?建立一个ipsec隧道需要满足哪些条件?

2020-07-2

IPsec(IP安全性)是一套协议,旨在确保IP网络上数据通信的完整性,机密性和身份验证。虽然IPsec标准的灵活性已引起商业市场的兴趣,但由于其复杂性,导致识别协议存在若干问题,与其他安全系统一样,维护不良很容易导致关键系统故障。本文跟着小编一起了解Ipsec。

IPSec的工作原理

  
IPSec的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种:丢弃或转发。IPSec通过查询SPD(Security Policy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外,还有一种,即进行IPSec处理。
  
正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,也可以拒绝某个内部站点对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性、真实性、完整性,通过Internet进行安全的通信才成为可能。

Ipsec能提供哪些安全功能?

数据机密性: IPsec通过使用加密来确保机密性。数据加密防止第三方读取数据,特别是通过公共网络或无线网络传输的数据。IPsec发送方可以在通过网络传输数据包之前加密数据包,并防止任何人听到或查看通信(窃听)。

数据完整性: IPsec确保数据在目的地到达不变; 也就是说,数据在通信路径上的任何点都不被操纵。IPsec通过使用散列来确保数据完整性。

数据来源认证: IPsec接收器可以认证IPsec数据包的来源。身份验证确保连接实际上是与所需的通信伙伴进行的。

防重播:防重播保护可确认每个数据包是唯一的; 不重复。IPsec数据包通过比较接收数据包的序列号和目标主机或安全网关上的滑动窗口进行保护。序列号在滑动窗口之前的数据包被认为是延迟的,或者是重复的。延迟和重复的数据包被丢弃。

IPsec具有哪些优点?

  
支持IKE(Internet Key Exchange,因特网密钥交换),可实现密钥的自动协商功能,减少了密钥协商的开销。可以通过IKE建立和维护SA的服务,简化了IPsec的使用和管理。
  
所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec,而不必对这些应用系统和服务本身做任何修改。
  
对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络攻击。

建立一个ipsec隧道需要满足哪些条件?

1、网络可达:例如A和B之间要建立隧道,那么A的IP地址和B的IP地址要相互可达。A能访问B,B也能访问A,因为隧道是单向的。

2、定义数据流:决定哪些数据流需要通过IPsec隧道传输

3、配置IPSec的proposal:配置数据流经过IPSec 隧道时候使用的安全协议、加密算法、封装模式等

4、将proposal应用到IPSec的安全策略里面

5、将IPSec安全策略应用到某个具体接口

相较于现有PPTP、L2tp、IpSec等方式,蒲公英异地组网采用自主研发的云虚拟专网技术,拥有可自由搭配的路由器硬件及软件客户端,无需公网IP,就能快速组建异地虚拟局域网,实现电脑、手机、服务器等终端设备的互联互通。