一、IPsec基本原理
- 在RFC 2410中描述了IPSEC(IP security)的體系結構
- IPSec一種網絡層安全保障機制
- IPSec可以實現訪問控制、機密性、完整性校驗、數據源驗證、拒絕重播報等安全功能
- IPSec可以引入多種驗證算法、加密算法和祕鑰管理機制
- IPsec ***是利用IPSEC隧道實現的L3 ***
- IPsec的配置較爲複雜,增加延遲、不支持組播等缺點
- IPsec的體系架構
- 安全協議:負責保護數據
- AH/ESP
- 工作模式
- 傳輸模式:實現端到端保護
- 隧道模式:實現站點到站點保護
- 祕鑰管理
- 手工配置密鑰
- 通過IKE協商
- 傳輸模式
![IPsec***]()
- 隧道模式
![IPsec***]()
- IPsec SA(security association,安全聯盟)
*由一個(SPI,IP目的地址,安全協議標識符)三元組唯一標示- 決定了對報文進行何種處理:協議、算法、祕鑰
- 每個IPSec SA都是單向的
- 手工建立或者是IKE協商
