IPsec VPN的操作模式有两种,分别是传输模式和隧道模式

2020-06-15 08:35:31

IPsec(IP安全性)是一套协议,旨在确保IP网络上数据通信的完整性,机密性和身份验证。虽然IPsec标准的灵活性已引起商业市场的兴趣,但由于其复杂性,导致识别协议存在若干问题,与其他安全系统一样,维护不良很容易导致关键系统故障。


IPsec VPN可用于三个不同的安全域:虚拟专用网络、应用程序级安全性和路由安全性。目前,IPsec主要用于VPN,当在应用程序级安全性或路由安全性中使用时,IPsec不是一个完整的解决方案,必须与其他安全措施结合才能发挥其有效作用。


IPsec VPN有两种操作模式:传输模式和隧道模式。在传输模式下运行时,源主机和目标主机必须直接执行所有加密操作,加密数据通过使用L2TP(第2层隧道协议)创建的单个隧道发送,数据(密文)由源主机创建,并由目标主机检索,这种操作模式建立了端到端的安全性。


在隧道模式下运行时,除源和目标主机外,特殊网关还会执行加密处理。在这里,许多隧道在网关之间串联创建,建立了网关到网关的安全性。使用这些模式中的任何一种时,重要的是为所有网关提供验证数据包是否真实的能力以及在两端验证数据包的能力,必须丢弃任何无效的数据包。


IPsec VPN中需要两种类型的数据包编码(DPE):身份验证标头(AH)和封装安全负载(ESP)DPE。这些编码为数据提供网络级安全性,AH提供数据包的真实性和完整性,通过密钥散列函数(也称为MAC(消息验证代码))可以进行验证,此标题还禁止非法修改,并可选择提供反重放安全性。AH可以在多个主机,多个网关或多个主机和网关之间建立安全性,所有这些都实现了AH ,ESP标头提供加密,数据封装和数据机密性。通过对称密钥提供数据机密性。


在通过各种隧道和网关的过程中,会向数据包添加额外的标头,在每次通过网关时,数据报都包含在新的标头中。此标头中包含安全参数索引(SPI),SPI指定最后一个系统用于查看数据包的算法和密钥,此系统中的有效负载也受到保护,因为将检测到数据中的任何更改或错误,从而导致接收方丢弃数据包。标头应用于每个隧道的开头,然后在每个隧道的末尾进行验证和删除,这种方法可以防止不必要的开销累积。


IPsec的一个重要部分是安全关联(SA),SA使用AH和ESP中携带的SPI编号来指示哪个SA用于数据包,还包括IP目标地址以指示端点:这可以是防火墙,路由器或最终用户。安全关联数据库(SAD)用于存储所有使用的SA,SAD使用安全策略来指示路由器应该对数据包执行的操作,三个例子包括完全丢弃数据包,仅丢弃SA,或替换不同的SA。正在使用的所有安全策略都存储在安全策略数据库中。