09
2024
08
00:57:25

IPsec技术详解

1.什么是IPSec?

IPSec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是VPNVirtual Private Network,虚拟专用网)中常用的一种技术。由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。

IPSec可以实现以下4项功能:

  • 数据机密性IPSec发送方将包加密后再通过网络发送,可以保证在传输过程中,即使数据包遭截取,信息也无法被读取。
  • 数据完整性IPSec可以验证IPSec发送方发送过来的数据包,以确保数据传输时没有被改变。若数据包遭篡改导致检查不相符,将会被丢弃。
  • 数据认证IPSec接受方能够鉴别IPSec包的发送起源,此服务依赖数据的完整性。
  • 防重放:确保每个IP包的唯一性,保证信息万一被截取复制后不能再被重新利用,不能重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包获取非法访问权。

从组网需求的维度划分,IPsec可分为:

  • 点到点IPsec
  • 点到多点IPsec

如下图,点到点IPsec主要用于两个设备之间建立IPsec隧道,实现两个局域网之间点到点的安全互通:

数据包报头

在隧道模式下加密和验证整个IP数据包(包括IP标头和有效负载),并附加一个新的报头,如下图所示。通常,隧道模式应用在两个安全网关之间的通讯。

图片

在传输模式下,IPSec 仅加密(或验证)数据包的有效负载,但或多或少地保留现有的数据报头数据。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。

# 二者比较如下:

比较项IPSec 传输模式IPSec 隧道模式
安全性较低,仅对IP数据包的负载部分进行加密和验证较高,完全对原始IP数据包进行验证和加密,隐藏内部IP地址、协议类型和端口
带宽占用较低,没有额外的IP头较高,因为有一个额外的IP头
应用场景主要应用于两台主机或一台主机和一台VPN网关之间的通信主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信

6.IPSec在VPN中的使用

VPN本质上是在公共网络上实现的专用网络。VPN 通常用于企业,使员工能够远程访问其公司网络。

按照VPN协议分类,常见的VPN种类有:IPSecSSLGREPPTPL2TP等。其中IPSec是通用性较强的一种VPN技术,适用于多种网络互访的场景。

IPSec 通常用于保护 VPN的安全。VPN在用户的计算机和VPN服务器之间创建了一个专用网络,而IPSec协议实现了一个安全的网络,保护VPN数据不受外部访问。

图片

通过IPSec VPN可以在主机和主机之间、主机和网络安全网关之间或网络安全网关(如路由器、防火墙)之间建立安全的隧道连接。其协议主要工作在IP层,在IP层对数据包进行加密和验证。可以使用两种 IPSec 模式设置 VPN:隧道模式和传输模式。

IPSec VPN与SSL VPN

SSL VPN是采用SSL/TLS协议来实现远程接入的一种轻量级VPN技术,包括服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问。SSL VPN能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源,也就是说它具备可控功能。

图片

IPSec VPNSSL VPN 都可以实现企业级安全远程访问,但它们以不同的方式提供。IPSec工作在网络层,即把原始数据包网络层及以上的内容进行封装;SSL VPN工作在传输层,封装的是应用信息。

图片

# IPSec和SSL的具体区别:

特性IPSEC VPNSSL VPN
身份验证使用专门的IPSec协议栈处理认证过程通常利用浏览器内置的SSL/TLS协议进行身份验证
加密传输通过IP安全(IPSec)协议实现数据的加密通过安全套接字层(SSL)协议对传输的数据进行加密
客户端要求需要安装专用的客户端软件通常不需要安装额外的客户端软件,用户可以直接通过Web浏览器访问
适用场景更适用于连接两个网络节点,如两个办公室之间的固定连接更适合远程访问和移动办公,便于用户通过Web浏览器快速接入
安全性在网络层提供加密和认证服务依赖于传输层的加密,也可以提供较高级别的网络安全性
性能影响可能对网络性能产生一定影响,尤其是在高流量环境下对网络的影响相对较小
兼容性可能需要特定的配置和兼容性支持在多种设备和操作系统上具有良好的兼容性
连接方式通过在两站点间创建隧道提供直接接入,实现对整个网络的透明访问基于标准的Web技术,提供增强的远程安全接入功能
访问控制主要基于IP组对用户进行访问控制更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制
部署和维护需要管理通讯的每个节点,网管专业性较强只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用
协议层次基于网络层基于应用层
用户接入方式用户PC就如同物理地处于企业LAN中用户不受上网方式限制




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/7485.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: