VPN和IPsec定義是什么？IPsec在組網(wǎng)中的作用和實(shí)現(xiàn)機(jī)制

讓我們先了解一下VPN定義是什么？

VPN英文全稱：VirtualPrivateNetwork(虛擬專用網(wǎng)絡(luò))。VPN定義為通過(guò)公共互聯(lián)網(wǎng)建立臨時(shí)、安全的連接，是通過(guò)混亂的公共網(wǎng)絡(luò)安全、穩(wěn)定的隧道，使用隧道可以數(shù)倍加密數(shù)據(jù)達(dá)到安全使用互聯(lián)網(wǎng)的目的，廣泛使用企業(yè)辦公室，虛擬專用網(wǎng)絡(luò)也可以擴(kuò)展企業(yè)內(nèi)部網(wǎng)絡(luò)，虛擬專用網(wǎng)絡(luò)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴和供應(yīng)商與公司內(nèi)部網(wǎng)絡(luò)建立可靠的安全連接，經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外部網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)。因此，許多辦公室工作人員也需要在自己的電腦上建立它VPN連接，方便遠(yuǎn)程辦公等。

那么IPsec定義是什么？

IPsec---（英語(yǔ)：InternetProtocolSecurity，縮寫為IPsec），是協(xié)議包，通過(guò)對(duì)IP協(xié)議分組加密認(rèn)證保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議家族(一些相關(guān)協(xié)議的集合)。

實(shí)際上IPsec我們知道的是一套完整的協(xié)議包，而不僅僅是一個(gè)單獨(dú)的協(xié)議IPSec很重要。IPsec協(xié)議將各種安全技術(shù)結(jié)合在一起，建立安全可靠的隧道。在IPsec安全體系結(jié)構(gòu)中包括了3個(gè)最基本的協(xié)議：AH（AuthenticationHeader）協(xié)議為IP包提供信息源驗(yàn)證和完整性保證；ESP（EncapsulatingSecurityPayload）協(xié)議提供加密保證；密鑰管理協(xié)議（ISAKMP）在雙方溝通時(shí)提供共享安全信息。ESP和AH協(xié)議有一系列支持文件，規(guī)定了加密和認(rèn)證算法。

VPN和IPsec我們都完成了定義。接下來(lái)，讓我們了解一下IPsec組網(wǎng)中的作用和實(shí)現(xiàn)機(jī)制。

IPsec的作用

IPsec通過(guò)激活系統(tǒng)所需的安全協(xié)議，確定服務(wù)算法和所需的密鑰來(lái)提供安全服務(wù)。IPsec它可以用來(lái)保護(hù)主機(jī)、安全網(wǎng)關(guān)或主機(jī)和安全網(wǎng)關(guān)之間的一個(gè)或多個(gè)數(shù)據(jù)通道。

IPsec可提供的安全服務(wù)集包括訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)源認(rèn)證、重播保護(hù)（序列完整）、機(jī)密性（加密）和傳輸流量有限的機(jī)密性。因?yàn)檫@些服務(wù)在IP可用于更高層次的協(xié)議(如:TCP、UDP、ICMP、BGP等)，對(duì)于應(yīng)用程序和終端用戶來(lái)說(shuō)是透明的，因此，應(yīng)用程序和終端用戶不需要更改程序和進(jìn)行特殊的安全培訓(xùn)。

IPsec實(shí)現(xiàn)機(jī)制

IPsec通過(guò)提供以下服務(wù)來(lái)保護(hù)公眾IP網(wǎng)絡(luò)傳輸?shù)乃接袛?shù)據(jù)：

●訪問(wèn)控制訪問(wèn)控制是指防止未經(jīng)授權(quán)訪問(wèn)資源。IPsec需要訪問(wèn)控制的資源通常是指主機(jī)中的數(shù)據(jù)和計(jì)算能力、安全網(wǎng)關(guān)中的本地網(wǎng)及其帶寬。IPsec訪問(wèn)控制采用身份認(rèn)證機(jī)制。

●數(shù)據(jù)源認(rèn)證數(shù)據(jù)源認(rèn)證驗(yàn)證數(shù)據(jù)源聲明的身份，通常與無(wú)連接數(shù)據(jù)的完整性相結(jié)合。IPsec利用信息識(shí)別機(jī)制實(shí)現(xiàn)數(shù)據(jù)源認(rèn)證服務(wù)。

●與傳輸流量有限的機(jī)密性相對(duì)應(yīng)的接收者可以獲得發(fā)送的真實(shí)內(nèi)容，而無(wú)意獲取數(shù)據(jù)的接收者無(wú)法獲得數(shù)據(jù)的真實(shí)內(nèi)容。傳輸流量有限的秘密服務(wù)是指防止通信外部屬性（源地址、目的地址、消息長(zhǎng)度、通信頻率等）的泄露，使攻擊者無(wú)法分析網(wǎng)絡(luò)流量，推導(dǎo)傳輸頻率、通信者身份、數(shù)據(jù)包大小、數(shù)據(jù)流標(biāo)識(shí)符等信息。

●無(wú)連接完整性和無(wú)連接完整性服務(wù)檢查單個(gè)數(shù)據(jù)包是否修改，不要求數(shù)據(jù)包的到達(dá)順序。IPsec利用數(shù)據(jù)源認(rèn)證機(jī)制實(shí)現(xiàn)無(wú)連接完整性服務(wù)。IPsec抗重播服務(wù)，又稱部分序號(hào)完整性服務(wù)，是指防止攻擊者攔截和復(fù)制IP包，然后送到目的地。IPsec根據(jù)IPsec頭部序號(hào)字段，采用滑動(dòng)窗原理，實(shí)現(xiàn)抗重播服務(wù)。

以上服務(wù)都在IP層上實(shí)現(xiàn)。IPsec傳輸安全采用以下兩種協(xié)議：AH和ESP。IPAH提供無(wú)連接完整性、數(shù)據(jù)源認(rèn)證和可選的防重播服務(wù)。ESP該協(xié)議可以提供機(jī)密性和有限的傳輸流機(jī)密性；它還可以提供無(wú)連接完整性、數(shù)據(jù)源認(rèn)證和反重播服務(wù)。這些協(xié)議可以單獨(dú)或組合使用，以提供所需的安全服務(wù)。

IPsec允許用戶（或系統(tǒng)管理員）控制安全服務(wù)的粒度。例如，兩個(gè)安全網(wǎng)關(guān)之間的所有傳輸或通過(guò)網(wǎng)關(guān)的兩個(gè)主機(jī)房間使用單個(gè)加密隧道TCP建立獨(dú)立的加密隧道。IPsec管理在以下幾個(gè)方面體現(xiàn)了很大的靈活性:使用什么樣的安全服務(wù)和組合；給定的安全保護(hù)；加密算法。

因?yàn)檫@些安全服務(wù)使用共享的安全值(加密鑰)，IPsec必須依靠一套獨(dú)立的密鑰管理機(jī)制。IPsec基于公鑰系統(tǒng)的實(shí)現(xiàn)方法IKE，并支持手動(dòng)和自動(dòng)密鑰分發(fā)。在IPsec采用多種密碼技術(shù)。同時(shí)，基于其他自動(dòng)密鑰分發(fā)技術(shù)，如：KDC的系統(tǒng)（Kerberos）和其他公鑰系統(tǒng)。

IPsec加密技術(shù)和訪問(wèn)控制技術(shù)在主機(jī)或安全網(wǎng)關(guān)環(huán)境中更好地集成IP保護(hù)傳輸。這種保護(hù)或基于安全策略數(shù)據(jù)庫(kù)（SPD）基于應(yīng)用程序定義的需求或需求。通常，報(bào)文按SPD根據(jù)數(shù)據(jù)庫(kù)中的匹配情況，IP以及傳輸層的頭信息選擇IPsec安全服務(wù)、丟棄或允許旁路（bypass），這是基于篩選器標(biāo)識(shí)的相應(yīng)數(shù)據(jù)庫(kù)策略。

IPsec它可以在路由器與防火墻、路由器與路由器之間運(yùn)行，PC機(jī)器和服務(wù)器之間，PC在機(jī)器和撥號(hào)訪問(wèn)設(shè)備之間，為各種分布式應(yīng)用提供安全性LAN、專用和公用WAN以及Internet通信安全。

騰佑科技是一家專業(yè)的企業(yè)網(wǎng)絡(luò)服務(wù)提供商，致力于為企業(yè)提供企業(yè)網(wǎng)絡(luò)（SD-WAN、MPLS、云互聯(lián)網(wǎng))、業(yè)務(wù)云、數(shù)據(jù)中心、網(wǎng)絡(luò)安全I(xiàn)T解決方案等相關(guān)服務(wù)。詳情請(qǐng)?jiān)L問(wèn)客服電話400-996-8756官網(wǎng):m.mubashirfilms.com。