IPSec有哪些安全特性？如何通过蒲公英路由器设置IPSec策略？

IPsec主要的用途之一是用来构建虚拟专用网，IPsec被设计用来提供入口对入口通信安全和端到端分组通信安全。入口对入口通信安全由单个节点提供给多台机器（甚至可以是整个局域网）而端到端分组通信安全，由作为端点的计算机完成安全操作。

IPSec有哪些安全特性？

不可否认性
"不可否认性"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。
反重播性
"反重播"确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。
数据完整性
防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。
数据可靠性
在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。
基于以上的安全特性，IPsec得到了广泛的使用，其实借助路由器就可以构建虚拟专用网。

如何通过蒲公英路由器设置IPSec策略？

1、总部设置IPSec安全策略
以TP-Link品牌R系列新平台路由器为例演示设置IPSec安全策略。
登录到总部的R系列新平台路由器界面，点击“成员管理—>IP地址池”，点击“新增”，设置如下：

备注：
绑定接口：即总部使用哪个接口与分部对接，请选择连接宽带的接口。
其他设置保持默认，保存设置并点击界面右上角保存配置。
2、设置分部蒲公英R300S的IPSec安全策略
（1）登录蒲公英路由器管理页面
蒲公英路由器支持本地管理及云端远程管理，因IPsec配置内容基本一致，下面以本地管理的方式为例进行介绍。
局域网的电脑主机，在浏览器输入蒲公英路由器的局域网IP地址并输入管理密码，即可登录进入本地管理界面。
（2）设置IPSec策略
上海分部的IPSec安全策略恰好与总部策略对应，设置如下：
①服务名称：自定义服务名称
②对端地址：填写总部网络出口的IP地址（公网IP）
③本地子网：填写分部的网段
④对端子网：填写总部的网段
⑤预共享密钥：设置与总部相同的预共享密钥
⑥状态：开启
确认配置信息无误后，点击下方“保存”。
注意：总部与分部的高级设置建议保持为默认的设置，会自动协商最优级别的加密。
3、IPsec隧道建立成功
在 IPSec状态中有对应隧道条目，表明IPSec隧道建立成功。
4、 访问总部网络资源
至此，总部与分部的IPSec安全隧道建立成功，两地网络互通均能访问到对端资源。在分部电脑浏览器输入总部办公系统的局域网IP地址，可以访问到总部的文件服务器。
如果有多个分部需要与总部建立IPSec隧道，请按照以上方法，分别在总部和分部配置对应的安全策略即可。
蒲公英路由器现已支持L2TP、PPTP、IPSec三种类型的传统异地组网客户端，基于SD-WAN智能组网方案，采用自主研发的云虚拟组网技术，无需公网IP和复杂操作，以简单方式快速组建异地虚拟局域网，实现局域网内电脑、手机、服务器等信息数据的互联互通。