IPsec是專門(mén)用來(lái)解決IPv4 的一些基礎(chǔ)安全性問(wèn)題的。為了解決這些問(wèn)題，它實(shí)現(xiàn)了四個(gè)服務(wù)：數(shù)據(jù)傳輸加密、數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源認(rèn)證和數(shù)據(jù)狀態(tài)完整性。為了實(shí)現(xiàn)這些服務(wù)，IPsec VPN引入了許多協(xié)議。在本篇文章中，您將學(xué)習(xí)到實(shí)現(xiàn)IPsec安全性的協(xié)議。

十五年前虛擬專用網(wǎng)對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)還是個(gè)很新的概念。但在今天，任意重要的安全和路由相關(guān)產(chǎn)品中都含有標(biāo)準(zhǔn)的VPN功能，這項(xiàng)技術(shù)愈來(lái)愈成為企業(yè)運(yùn)作的一個(gè)基本需求。眾所周知，大多數(shù)協(xié)議和應(yīng)用程序在因特網(wǎng)上是通過(guò)明文傳輸?shù)模ㄟ^(guò)VPN使用加密的數(shù)據(jù)在公共網(wǎng)上傳輸可以防止被黑客嗅探到敏感的數(shù)據(jù)并且可以幫助企業(yè)遵守?cái)?shù)據(jù)隱私權(quán)。

早期的VPN產(chǎn)品需要在接入本地網(wǎng)絡(luò)的遠(yuǎn)程客戶機(jī)上安裝自己的客戶端，現(xiàn)在有很多產(chǎn)品依然如此。這種加密方式和支持的協(xié)議使它們要么是個(gè)很好的選擇要么是個(gè)很糟的選擇，因?yàn)樗麄兒苋菀妆恍孤冻鋈?。比如，點(diǎn)到點(diǎn)隧道協(xié)議曾一致被用來(lái)作為VPN解決方案，但是它并沒(méi)有提供足夠的安全因?yàn)橥ㄟ^(guò)GRE隧道加密不夠強(qiáng)而且通過(guò)MS-CHAP驗(yàn)證太簡(jiǎn)單。

今天，基于IPsec的VPNs成為了一種標(biāo)準(zhǔn)。使用因特網(wǎng)安全協(xié)議和其他相關(guān)協(xié)議，他們能夠提供足夠的安全性和加密措施用來(lái)保證會(huì)話是安全的并且被適當(dāng)?shù)募用苓^(guò)。

另外，較廣范圍的應(yīng)用程序和數(shù)據(jù)的移動(dòng)性為SSLVPN和移動(dòng)設(shè)置VPNs鋪平了道路，隨著企業(yè)拓寬了員工接入敏感數(shù)據(jù)所使用的設(shè)備范圍，他們同樣擴(kuò)大了傳輸數(shù)據(jù)的應(yīng)用程序的數(shù)量。SSLVPN可以用來(lái)保護(hù)所有這些應(yīng)用程序。

企業(yè)比以往有更多的選擇來(lái)保護(hù)自己敏感的數(shù)據(jù)并同時(shí)開(kāi)啟遠(yuǎn)程訪問(wèn)和遵從數(shù)據(jù)隱私權(quán)。曾一度有人問(wèn)：“是用IPsec還是SSL？”但是很多企業(yè)發(fā)現(xiàn)他們不是互相排斥的。當(dāng)被考慮作為一個(gè)大規(guī)模遠(yuǎn)程訪問(wèn)方案時(shí)，每項(xiàng)技術(shù)都有自己的優(yōu)勢(shì)。

IPsec VPN

IPsec VPN框架是一個(gè)IETF 標(biāo)準(zhǔn)套件，它能夠在不安全的網(wǎng)絡(luò)中實(shí)現(xiàn)安全的數(shù)據(jù)傳輸，如Internet。IPsec VPN提供了一些在網(wǎng)絡(luò)層實(shí)現(xiàn)安全通信的協(xié)議，以及一個(gè)用于交換身份和安全性協(xié)議管理信息的機(jī)制。IPsec套件是專門(mén)用來(lái)解決IPv4 的一些基礎(chǔ)安全性問(wèn)題的。

為了解決這些漏洞，IETF已經(jīng)開(kāi)發(fā)了不同的協(xié)議標(biāo)準(zhǔn)定義。這些標(biāo)準(zhǔn)實(shí)現(xiàn)了以下四個(gè)基本服務(wù)：

數(shù)據(jù)傳輸加密：發(fā)起的主機(jī)能夠在傳輸之前對(duì)數(shù)據(jù)包進(jìn)行加密。

數(shù)據(jù)完整性驗(yàn)證：接收的主機(jī)能夠驗(yàn)證每一個(gè)到達(dá)的數(shù)據(jù)包，保證所傳輸?shù)脑紨?shù)據(jù)已經(jīng)成功接收。

數(shù)據(jù)源認(rèn)證：發(fā)起的主機(jī)能夠給數(shù)據(jù)包添加標(biāo)記，這樣接收者能夠認(rèn)證這些數(shù)據(jù)。

數(shù)據(jù)狀態(tài)完整性：發(fā)起和接收的主機(jī)都能夠給數(shù)據(jù)包添加標(biāo)記，這樣數(shù)據(jù)流的任何重復(fù)傳輸都可以被檢測(cè)和拒絕（這就是所謂的抗重放）。

IPsec VPN簡(jiǎn)介

IPsec VPN工作在OSI Layer 3。

IPsec VPN能夠在遠(yuǎn)程位置與企業(yè)網(wǎng)絡(luò)之間實(shí)現(xiàn)一個(gè)安全通道。

IPsec VPN需要使用安裝在主機(jī)上的客戶端和位于中央的硬件。

持續(xù)的IPsec VPN配置維護(hù)和帳號(hào)管理可能需要很大工作量。

用戶擁有完整的內(nèi)部網(wǎng)絡(luò)功能。

IPsec VPN的訪問(wèn)控制比較寬松。

IPsec VPN專門(mén)對(duì)VoIP、多媒體和網(wǎng)絡(luò)層傳輸進(jìn)行了優(yōu)化。

IPsec VPN使用了許多不同的安全性協(xié)議來(lái)實(shí)現(xiàn)這些服務(wù)。在底層，這些協(xié)議可以分成兩類：數(shù)據(jù)包協(xié)議和服務(wù)協(xié)議。數(shù)據(jù)包協(xié)議用于實(shí)現(xiàn)數(shù)據(jù)安全性服務(wù)。這里有兩種IPsec數(shù)據(jù)包協(xié)議：Authentication Header (AH)和Encapsulating Security Payload (ESP)。此外還有許多服務(wù)協(xié)議，但是其中最主要的一個(gè)是Internet Key Exchange protocol (IKE)。

下面是IPsec VPN實(shí)現(xiàn)中通常會(huì)使用的協(xié)議簡(jiǎn)要概述：

Authentication Header：AH定義在IETF RFC 2402，它支持IPsec數(shù)據(jù)驗(yàn)證、認(rèn)證和完整性服務(wù)。它不支持?jǐn)?shù)據(jù)加密。AH一般是單獨(dú)實(shí)現(xiàn)的，但是它也可以與ESP一起實(shí)現(xiàn)。AH只有當(dāng)我們需要保證交換數(shù)據(jù)雙方安全時(shí)才會(huì)使用。

Encapsulating Security Payload：ESP定義在IETF RFC 2406，它支持IPsec數(shù)據(jù)加密、驗(yàn)證、認(rèn)證和完整性服務(wù)。ESP可以單獨(dú)實(shí)現(xiàn)，也可以與AH一起實(shí)現(xiàn)。AH頭是預(yù)先設(shè)置在IP數(shù)據(jù)包的數(shù)據(jù)有效內(nèi)容位置的，而ESP則將IP數(shù)據(jù)包的整個(gè)數(shù)據(jù)部分封裝到一個(gè)頭和尾上。

Internet Security Association and Key Management Protocol (ISAKMP)：這些協(xié)議提供了實(shí)現(xiàn)IPsec VPN服務(wù)協(xié)商的框架和過(guò)程。ISAKMP定義在IETF RFC 2408。IKE定義在IETF RFC 2409。ISAKMP定義了創(chuàng)建和刪除認(rèn)證密鑰和安全關(guān)聯(lián)（SA）的模式、語(yǔ)法和過(guò)程。IPsec節(jié)點(diǎn)會(huì)使用SA來(lái)跟蹤不同IPsec節(jié)點(diǎn)之間協(xié)商的各個(gè)方面的安全性服務(wù)政策。

Internet Key Exchange：IKE是 Oakley密鑰判定協(xié)議和SKEME密鑰交換協(xié)議的混合物。IKE協(xié)議負(fù)責(zé)管理IPsec VPN節(jié)點(diǎn)的ISAKMP中的IPsec安全關(guān)聯(lián)。IKE協(xié)議可以被ISAKMP使用； 但是它們并不相同。IKE是建立IPsec節(jié)點(diǎn)之間IPsec連接的機(jī)制。

作者：SearchEnterpriseWAN.com