【最新】招聘信息

当前位置: 主页 > 网络技术

什么是IPsec?什么是IPsec VPN?IPsec是如何工作的?

来源:西安优业学院    发布时间:2023/10/26    浏览次数:124次

什么是IPsec?


IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。 由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。

IPsec简介

定义

IPsec(Internet Protocol Security)是为IP网络提供安全性的一系列协议和服务的集合,通过这些协议和服务,可以在两个设备之间建立一条IPsec加密隧道。数据通过IPsec加密隧道进行传输,能够有效保证数据的安全性。

从组网需求的维度划分,IPsec可分为点到点IPsec和点到多点IPsec。其中,点到点IPsec主要用于两个设备之间建立IPsec隧道,实现两个局域网之间点到点的安全互通,如图1所示。

图1 点到点IPsec

点到多点IPsec主要用于一个设备同时和多个设备之间建立IPsec隧道,实现一个局域网与多个局域网之间的安全互通,如图2所示。

图2 点到多点IPsec

目的

随着互联网技术的发展,越来越多的企业将局域网与Internet进行互联。Internet上存在大量不可信的用户和网络设备,由于IP报文本身并未集成任何安全特性,无法保证IP数据包的安全性,企业不同局域网之间的业务数据穿越Internet时存在被伪造、篡改或窃取的风险。IPsec作为对IP协议安全性的补充,解决了IP层的安全性问题,有效避免了企业间业务数据穿越Internet时面临的数据安全风险。

受益

IPsec通过加密、验证等方式为IP数据包提供安全服务,可提供的安全服务包括:

  • 数据加密

    发送方对数据进行加密,使数据以密文的形式在Internet上传输;接收方对接收到的加密数据进行解密后进行后续处理或直接转发。

  • 数据完整性验证

    接收方对数据完整性进行验证,确保数据在传输路径上未被篡改。

  • 数据源验证

    接收方对数据发送方的身份进行验证,确保数据来自身份真实且合法的发送者。

  • 防止数据重放

    接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包进行攻击。

什么是IPsec VPN?

VPN(Virtual Private Network,虚拟专用网)是一种在公用网络上建立专用网络的技术。它之所以称之为虚拟网,主要是因为VPN的两个节点之间并没有像传统专用网那样使用端到端的物理链路,而是架构在公用网络如Internet之上的逻辑网络,用户数据通过逻辑链路传输。

按照VPN协议分,常见的VPN种类有:IPsec、SSL、GRE、PPTP和L2TP等。其中IPsec是通用性较强的一种VPN技术,适用于多种网络互访的场景。

IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec隧道,并通过加密和验证算法保证VPN连接的安全。


IPsec VPN

IPsec VPN保护的是点对点之间的通信,通过IPsec VPN可以在主机和主机之间、主机和网络安全网关之间或网络安全网关(如路由器、防火墙)之间建立安全的隧道连接。其协议主要工作在IP层,在IP层对数据包进行加密和验证。

相对于其他VPN技术,IPsec VPN安全性更高,数据在IPsec隧道中都是加密传输,但相应的IPsec VPN在配置和组网部署上更复杂。

IPsec的工作原理大致可以分为4个阶段:

  1. 识别“感兴趣流”。网络设备接收到报文后,通常会将报文的五元组等信息和IPsec策略进行匹配来判断报文是否要通过IPsec隧道传输,需要通过IPsec隧道传输的流量通常被称为“感兴趣流”。
  2. 协商安全联盟(Security Association,以下简称SA)。SA是通信双方对某些协商要素的约定,比如双方使用的安全协议、数据传输采用的封装模式、协议采用的加密和验证算法、用于数据传输的密钥等,通信双方之间只有建立了SA,才能进行安全的数据传输。

    识别出感兴趣流后,本端网络设备会向对端网络设备发起SA协商。在这一阶段,通信双方之间通过IKE协议先协商建立IKE SA(用于身份验证和密钥信息交换),然后在IKE SA的基础上协商建立IPsec SA(用于数据安全传输)。

  3. 数据传输。IPsec SA建立成功后,双方就可以通过IPsec隧道传输数据了。

    IPsec为了保证数据传输的安全性,在这一阶段需要通过AH或ESP协议对数据进行加密和验证。加密机制保证了数据的机密性,防止数据在传输过程中被窃取;验证机制保证了数据的真实可靠,防止数据在传输过程中被仿冒和篡改。

    如图所示,IPsec发送方会使用加密算法和加密密钥对报文进行加密,即将原始数据“乔装打扮”封装起来。然后发送方和接收方分别通过相同的验证算法和验证密钥对加密后的报文进行处理得到完整性校验值ICV。如果两端计算的ICV相同则表示该报文在传输过程中没有被篡改,接收方对验证通过的报文进行解密处理;如果ICV不相同则直接丢弃报文。


      4.隧道拆除。通常情况下,通信双方之间的会话老化(连接断开)即代表通信双方数据交换已经完成,因此为了节省系统资源,通信双方之间的隧道在空闲时间达到一定值后会自动删除。



】【打印】【关闭
优业合作伙伴