白癜风症状图片 http://m.39.net/pf/a_4527517.html在实施VPN时,除了实现隧道功能以外,还要实现数据安全,两者缺一不可;在隧道方面,之前所讲到的GRE就是最常用的隧道技术,而在数据安全方面,其实就是要让数据加密传输,至于如何对数据进行加密传输,有一个使用最广泛,且最经典的技术方案,这就是IPsec(IPSecurity),IPsec最突出,也是最主要的功能就是保证VPN数据的安全传输。
IPsec定义了使用什么样的方法来管理相互之间的认证,以及使用什么样的方法来保护数据,IPsec只是定义了一些方法,而IPsec本身并不是一个协议,就像OSI(OpenSystemInterconnect)参考模型一样,OSI并不是一个协议,OSI只是一个框架,一个模型,OSI里面包含着多个协议,如TCP,UDP,IP,ICMP等等;IPsec中同样也包含着为之服务的各种协议去实现IPsec要完成的各个功能,只有这样,IPsec才能起到作用。
IPsec能够起到的功能有:
数据源认证(Dataoriginauthentication)
保护数据完整性(Dataintegrity)
保证数据私密性(Dataconfidentiality)
防止中间人攻击(Man-in-the-Middle)
防止数据被重放(Anti-Replay)
数据源认证保证数据是从真正的发送者发来的,而不是来自于第三方攻击者。
保护数据完整性是保证数据不会被攻击者改动。
保证数据私密性是保证数据不会被攻击者读取。
防止中间人攻击是防止数据被中间人截获。
防止数据被重放也可以认为是防止数据被读取和改动。
为IPsec服务的总共有三个协议:
IKE(InternetKeyExchange)
ESP(EncapsulatingSecurityProtocol)
AH(AuthenticationHeader)
虽然总共是三个协议,但分为两类:
IKE是个混合协议,其中包含部分Oakley协议以及内置在ISAKMP(InternetSecurityAssociationandKeyManagementProtocol协议中的部分SKEME协议,所以IKE也可写为ISAKMP/Oakley,它是针对密钥安全的,是用来保证密钥的安全传输、交换以及存储,主要是对密钥进行操作,并不对用户的实际数据进行操作。
ESP(EncapsulatingSecurityProtocol)和AH(AuthenticationHeader)主要工作是如何保护数据安全,也就是如何加密数据,是直接对用户数据进行操作的。
因为在实施VPN时,除了实现隧道功能以外,还要实现数据安全,两者缺一不可;在之前我的提到的隧道技术中,只能实现隧道而不能实现安全,而IPSec则可以为隧道提供数据保护功能,从而构建一个完整的VPN体系。IPsec除了能够为隧道提供数据保护来实现VPN之外,IPsec还可以自己单独作为隧道协议来提供隧道的建立,如果IPsec自己单独作为隧道协议来使用,那么IPsec就不需要借助任何其它隧道协议就能独立实现VPN功能;IPsec到底是只使用数据保护功能再配合其它隧道协议,还是自己独立实现隧道来完成VPN功能,可以由配置者自己决定。
注:
★IPSec目前只支持IPv4Unicast(IPv4单播),不支持其它任何协议。
