IPSec协议是IETF 1998年11月公布的IP安全标准,目的是为了保证IP层及上层协议的安全,以便于在Internet上建立安全的连接。IPSec协议包括网络认证头AH协议、封装安全负荷ESP协议、密钥管理IKE协议以及认证、加密算法。 IPSec的基本协议包括AH协议和ESP协议,AH协议支持访问控制、数据源认证、无连接的完整性和抗重放攻击,AH协议主要提供认证功能,AH报头位置在IP报头和传输层协议报头之间。 ESP协议除了与AH协议有相同的功能外,还额外提供数据机密性、通信流机密性两个安全服务,保密服务是ESP的主要功能,流量保密需要使用ESP隧道模式,一般在安全网关处实施,可以隐藏报文实际手法地址。ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。ESP协议较AH协议,应用更广泛。 通过IKE协议实现安全协议的自动参数协商、刷新,安全参数包括加密及鉴别算法、密钥,通信的保护模式(隧道、传输),密钥的生存期等。 数据接入后,需要通过访问解释域DOI来解释相关协议字节的含义。DOI是IPSec协议的安全参数主数据库,主要包括安全关联数据库SAD和安全策略数据库SPD。安全关联数据库SAD为IPSec实现提供安全策略配置。安全策略数据库SPD决定IPSec提供的具体服务内容。 安全关联SA是IPSec的基础,是两个应用IPSec系统间的一个单向逻辑连接,是安全策略的具体化和实例化,提供保护通信的具体细节。为了保护两台主机之间的双向通信,至少需要两个SA。 SA有传输模式和隧道模式两种模式,传输模式SA是两台主机之间的一个安全关联,隧道模式SA是运用于IP隧道的SA,只要安全关联的任意一端是安全网关,SA就必须是隧道模式。这两种模式的区别在于隧道模式保护整个IP数据包,而传输模式则只保护IP数据包内的数据负荷。 相对SA,ESP协议也有传输和隧道模式。区别在于,在封装原有IP数据包以后,传输模式下,原IP头仍然作为封装后的IP数据包报头。而隧道模式下,会产生一个新的IP报头。 IPSec的应用场景主要分为三种:PC到PC、网关到网关、网关到PC。传输模式主要应用于PC到PC模式,而隧道则可以应用到三种模式。 IPSec建立连接,首先要建立IKE SA,并协商SA参数。然后用ESP封装报文,ESP是等同于UDP\TCP的协议,IP协议号是50(因此ESP并不是UDP的上层协议,而是跟UDP\TCP平行协议),如果是使用AH协议,则IP协议号是51 。 IPSec VPN使用的传输协议是UDP,ISAKMP端口是UDP 500、IKE端口号UDP 4500。因此,在应用IPSec时,必须要开放UDP 500和UDP 4500,如果有NAT存在,则必须使用UDP 4500端口。 GRE通用路由封装协议,是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另外一个网络层协议中传输。GRE是VPN的第三层隧道协议,协议之间采用隧道技术。 基于GRE协议的VPN服务,主要用来连接多协议的本地网或不连续的子网,GRE协议还可以与IPSec协议结合使用,比如先对语音、视频等数据进行GRE封装,才进行IPSec加密。基于IPSec、GRE的VPN工作于OSI第三层,也叫做三层VPN。 L2TP协议是一种传统的二层VPN隧道协议,它的承载协议是IP协议,乘客协议是PPP协议。通过L2TP,PPP二层链路和PPP会话点可以驻留在不同的设备上,中间通过L2TP隧道穿越Internet。基于L2TP协议的拨号用户的VPN业务,叫做VPDN,企业出差人员可以通过公网远程接入企业内网。L2TP VPN工作于OSI第二层,所以也可以称为二层VPN。 IPSec VPN和L2TP VPN都是利用隧道技术穿越公网,而MPLS VPN(MV网)则是采用MPLS多协议标签交换技术构建一张企业IP专网,既支持二层VPN,又支持三层VPN ,但成本较高。 MV网络主要由CE、PE、P路由器组成,使用BGP、IS-IS等路由协议,作为电信级网络,无论从稳定性,还是安全性,都是L2TP 、IPSec VPN所不能比拟的。 IPSec VPN 实现方式较复杂,在企业网中,还需要网关,而L2TP VPN稳定性有限,如果考虑到安全性,还需要用IPSec协议加密,更增加其复杂度。这两种方式,都需要在客户机上安装客户端软件。 为了解决这些问题,并兼顾到成本,就出现了SSL VPN。SSL VPN是一种既简单又安全的远程隧道访问技术,使用非常简单。它采用浏览器和服务器直接沟通的方式,既方便了用户的使用,又可以通过SSL协议来保证数据的安全。SSLVPN最常见的入口是浏览器网络页面。 SSL协议包括两个协议:一是SSL记录协议,协议提供数据压缩、加密等功能;二是SSL握手协议,主要用于检测用户的账号密码是否正确,进行身份验证登录。与前面三种VPN相比,SSL VPN具有架构简单、运营成本低、处理速度快、安全性能高的特点,所以在企业用户中得到大规模的使用。 END 作者:知乎子不语(知乎、头条)。 记得城中日月,蝉鸣后又初雪。屋檐细雨,停在初见季节。 |
|
来自: 新用户4943bDEZ > 《待分类》