1.什么是IPSec?
IPSec(Internet Protocol Security)
是为IP
网络提供安全性的协议和服务的集合,它是VPN
(Virtual Private Network
,虚拟专用网)中常用的一种技术。由于IP
报文本身没有集成任何安全特性,IP
数据包在公用网络如Internet
中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec
建立一条IPsec
隧道,IP
数据包通过IPsec
隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。
IPSec
可以实现以下4项功能:
数据机密性: IPSec
发送方将包加密后再通过网络发送,可以保证在传输过程中,即使数据包遭截取,信息也无法被读取。数据完整性: IPSec
可以验证IPSec
发送方发送过来的数据包,以确保数据传输时没有被改变。若数据包遭篡改导致检查不相符,将会被丢弃。数据认证: IPSec
接受方能够鉴别IPSec
包的发送起源,此服务依赖数据的完整性。防重放:确保每个 IP
包的唯一性,保证信息万一被截取复制后不能再被重新利用,不能重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包获取非法访问权。
从组网需求的维度划分,IPsec
可分为:
点到点 IPsec
点到多点 IPsec
如下图,点到点IPsec
主要用于两个设备之间建立IPsec
隧道,实现两个局域网之间点到点的安全互通:
数据包报头。
在隧道模式下加密和验证整个IP
数据包(包括IP
标头和有效负载),并附加一个新的报头,如下图所示。通常,隧道模式应用在两个安全网关之间的通讯。
在传输模式下,IPSec
仅加密(或验证)数据包的有效负载,但或多或少地保留现有的数据报头数据。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
# 二者比较如下:
比较项 | IPSec 传输模式 | IPSec 隧道模式 |
---|---|---|
安全性 | 较低,仅对IP数据包的负载部分进行加密和验证 | 较高,完全对原始IP数据包进行验证和加密,隐藏内部IP地址、协议类型和端口 |
带宽占用 | 较低,没有额外的IP头 | 较高,因为有一个额外的IP头 |
应用场景 | 主要应用于两台主机或一台主机和一台VPN网关之间的通信 | 主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信 |
6.IPSec在VPN中的使用
VPN
本质上是在公共网络上实现的专用网络。VPN
通常用于企业,使员工能够远程访问其公司网络。
按照VPN
协议分类,常见的VPN
种类有:IPSec
、SSL
、GRE
、PPTP
和L2TP
等。其中IPSec
是通用性较强的一种VPN
技术,适用于多种网络互访的场景。
IPSec
通常用于保护 VPN
的安全。VPN
在用户的计算机和VPN
服务器之间创建了一个专用网络,而IPSec
协议实现了一个安全的网络,保护VPN
数据不受外部访问。
通过IPSec VPN
可以在主机和主机之间、主机和网络安全网关之间或网络安全网关(如路由器、防火墙)之间建立安全的隧道连接。其协议主要工作在I
P层,在IP
层对数据包进行加密和验证。可以使用两种 IPSec
模式设置 VPN
:隧道模式和传输模式。
# IPSec VPN与SSL VPN
SSL VPN
是采用SSL/TLS
协议来实现远程接入的一种轻量级VPN
技术,包括服务器认证、客户认证、SSL
链路上的数据完整性和SSL
链路上的数据保密性。SSL VPN
提供安全、可代理连接,只有经认证的用户才能对资源进行访问。SSL VPN
能对加密隧道进行细分,从而使得终端用户能够同时接入Internet
和访问内部企业网资源,也就是说它具备可控功能。
IPSec VPN
和SSL VPN
都可以实现企业级安全远程访问,但它们以不同的方式提供。IPSec
工作在网络层,即把原始数据包网络层及以上的内容进行封装;SSL VPN
工作在传输层,封装的是应用信息。
# IPSec和SSL的具体区别:
特性 | IPSEC VPN | SSL VPN |
---|---|---|
身份验证 | 使用专门的IPSec协议栈处理认证过程 | 通常利用浏览器内置的SSL/TLS协议进行身份验证 |
加密传输 | 通过IP安全(IPSec)协议实现数据的加密 | 通过安全套接字层(SSL)协议对传输的数据进行加密 |
客户端要求 | 需要安装专用的客户端软件 | 通常不需要安装额外的客户端软件,用户可以直接通过Web浏览器访问 |
适用场景 | 更适用于连接两个网络节点,如两个办公室之间的固定连接 | 更适合远程访问和移动办公,便于用户通过Web浏览器快速接入 |
安全性 | 在网络层提供加密和认证服务 | 依赖于传输层的加密,也可以提供较高级别的网络安全性 |
性能影响 | 可能对网络性能产生一定影响,尤其是在高流量环境下 | 对网络的影响相对较小 |
兼容性 | 可能需要特定的配置和兼容性支持 | 在多种设备和操作系统上具有良好的兼容性 |
连接方式 | 通过在两站点间创建隧道提供直接接入,实现对整个网络的透明访问 | 基于标准的Web技术,提供增强的远程安全接入功能 |
访问控制 | 主要基于IP组对用户进行访问控制 | 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制 |
部署和维护 | 需要管理通讯的每个节点,网管专业性较强 | 只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用 |
协议层次 | 基于网络层 | 基于应用层 |
用户接入方式 | 用户PC就如同物理地处于企业LAN中 | 用户不受上网方式限制 |
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://www.hqyman.cn/post/7485.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~