實現(xiàn)IPsec安全性的協(xié)議有哪些？

十五年前虛擬專用網對于大多數(shù)企業(yè)來說還是個很新的概念。但在今天，任意重要的安全（服務器租用找：51033397）和路由相關產品中都含有標準的VPN功能，這項技術愈來愈成為企業(yè)運作的一個基本需求。眾所周知，大多數(shù)協(xié)議和應用程序在因特網上是通過明文傳輸?shù)�，通過VPN使用加密的數(shù)據在公共網上傳輸可以防止被黑客嗅探到敏感的數(shù)據并且可以幫助企業(yè)遵守數(shù)據隱私權。

早期的VPN產品需要在接入本地網絡的遠程客戶機上安裝自己的客戶端，現(xiàn)在有很多產品依然如此。這種加密方式和支持的協(xié)議使它們要么是個很好的選擇要么是個很糟的選擇，因為他們很容易被泄露出去。比如，點到點隧道協(xié)議曾一致被用來作為VPN解決方案，但是它并沒有提供足夠的安全（服務器租用找：51033397）因為通過GRE隧道加密不夠強而且通過MS-CHAP驗證太簡單。

今天，基于IPsec的VPNs成為了一種標準。使用因特網安全（服務器租用找：51033397）協(xié)議和其他相關協(xié)議，他們能夠提供足夠的安全（服務器租用找：51033397）性和加密措施用來保證會話是安全（服務器租用找：51033397）的并且被適當?shù)募用苓^。

另外，較廣范圍的應用程序和數(shù)據的移動性為SSLVPN和移動設置VPNs鋪平了道路，隨著企業(yè)拓寬了員工接入敏感數(shù)據所使用的設備范圍，他們同樣擴大了傳輸數(shù)據的應用程序的數(shù)量。SSLVPN可以用來保護所有這些應用程序。

企業(yè)比以往有更多的選擇來保護自己敏感的數(shù)據并同時開啟遠程訪問和遵從數(shù)據隱私權。曾一度有人問：“是用IPsec還是SSL？”但是很多企業(yè)發(fā)現(xiàn)他們不是互相排斥的。當被考慮作為一個大規(guī)模遠程訪問方案時，每項技術都有自己的優(yōu)勢。

IPsec VPN

IPsec VPN框架是一個IETF 標準套件，它能夠在不安全（服務器租用找：51033397）的網絡中實現(xiàn)安全（服務器租用找：51033397）的數(shù)據傳輸，如Internet。IPsec VPN提供了一些在網絡層實現(xiàn)安全（服務器租用找：51033397）通信的協(xié)議，以及一個用于交換身份和安全（服務器租用找：51033397）性協(xié)議管理信息的機制。IPsec套件是專門用來解決IPv4 的一些基礎安全（服務器租用找：51033397）性問題的。

為了解決這些漏洞，IETF已經開發(fā)了不同的協(xié)議標準定義。這些標準實現(xiàn)了以下四個基本服務：

數(shù)據傳輸加密：發(fā)起的億恩科技主機能夠在傳輸之前對數(shù)據包進行加密。

數(shù)據完整性驗證：接收的億恩科技主機能夠驗證每一個到達的數(shù)據包，保證所傳輸?shù)脑�始�?shù)據已經成功接收。

數(shù)據源認證：發(fā)起的億恩科技主機能夠給數(shù)據包添加標記，這樣接收者能夠認證這些數(shù)據。

數(shù)據狀態(tài)完整性：發(fā)起和接收的億恩科技主機都能夠給數(shù)據包添加標記，這樣數(shù)據流的任何重復傳輸都可以被檢測和拒絕（這就是所謂的抗重放）。

IPsec VPN簡介

IPsec VPN工作在OSI Layer 3。

IPsec VPN能夠在遠程位置與企業(yè)網絡之間實現(xiàn)一個安全（服務器租用找：51033397）通道。

IPsec VPN需要使用安裝在億恩科技主機上的客戶端和位于中央的硬件。

持續(xù)的IPsec VPN配置維護和帳號管理可能需要很大工作量。

用戶擁有完整的內部網絡功能。

IPsec VPN的訪問控制比較寬松。

IPsec VPN專門對VoIP、多媒體和網絡層傳輸進行了優(yōu)化。

IPsec VPN使用了許多不同的安全（服務器租用找：51033397）性協(xié)議來實現(xiàn)這些服務。在底層，這些協(xié)議可以分成兩類：數(shù)據包協(xié)議和服務協(xié)議。數(shù)據包協(xié)議用于實現(xiàn)數(shù)據安全（服務器租用找：51033397）性服務。這里有兩種IPsec數(shù)據包協(xié)議：Authentication Header (AH)和Encapsulating Security Payload (ESP)。此外還有許多服務協(xié)議，但是其中最主要的一個是Internet Key Exchange protocol (IKE)。

下面是IPsec VPN實現(xiàn)中通常會使用的協(xié)議簡要概述：

Authentication Header：AH定義在IETF RFC 2402，它支持IPsec數(shù)據驗證、認證和完整性服務。它不支持數(shù)據加密。AH一般是單獨實現(xiàn)的，但是它也可以與ESP一起實現(xiàn)。AH只有當我們需要保證交換數(shù)據雙方安全（服務器租用找：51033397）時才會使用。

Encapsulating Security Payload：ESP定義在IETF RFC 2406，它支持IPsec數(shù)據加密、驗證、認證和完整性服務。ESP可以單獨實現(xiàn)，也可以與AH一起實現(xiàn)。AH頭是預先設置在IP數(shù)據包的數(shù)據有效內容位置的，而ESP則將IP數(shù)據包的整個數(shù)據部分封裝到一個頭和尾上。

Internet Security Association and Key Management Protocol (ISAKMP)：這些協(xié)議提供了實現(xiàn)IPsec VPN服務協(xié)商的框架和過程。ISAKMP定義在IETF RFC 2408。IKE定義在IETF RFC 2409。ISAKMP定義了創(chuàng)建和刪除認證密鑰和安全（服務器租用找：51033397）關聯(lián)（SA）的模式、語法和過程。IPsec節(jié)點會使用SA來跟蹤不同IPsec節(jié)點之間協(xié)商的各個方面的安全（服務器租用找：51033397）性服務政策。

Internet Key Exchange：IKE是 Oakley密鑰判定協(xié)議和SKEME密鑰交換協(xié)議的混合物。IKE協(xié)議負責管理IPsec VPN節(jié)點的ISAKMP中的IPsec安全（服務器租用找：51033397）關聯(lián)。IKE協(xié)議可以被ISAKMP使用； 但是它們并不相同。IKE是建立IPsec節(jié)點之間IPsec連接的機制。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]