专业提供IPLC、MPLS VPN、SD-WAN、IEPL、海外IDC、云专线等技术方案。
咨询热线:400-028-9798

海外专线-国际带宽-微云网络

IPLC

什么是IPsec?

发布时间:2021-10-14 09:00:43作者:Sun阅读:0

[导读]: IPsec(InternetProtocolSecurity)是为IP网络提供安全性的协议和服务的集合,它是VPN(VirtualPrivateNetwork,虚拟专用网)中常用的一种技术。由于IP报

IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。

什么是IPsec?

01

     什么是IPsec VPN?

VPN(Virtual Private Network,虚拟专用网)是一种在公用网络上建立专用网络的技术。它之所以称之为虚拟网,主要是因为VPN的两个节点之间并没有像传统专用网那样使用端到端的物理链路,而是架构在公用网络如Internet之上的逻辑网络,用户数据通过逻辑链路传输。

按照VPN协议分,常见的VPN种类有:IPsec、SSL、GRE、PPTP和L2TP等。其中IPsec是通用性较强的一种VPN技术,适用于多种网络互访的场景。

图片

IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec隧道,并通过加密和验证算法保证VPN连接的安全。

IPsec VPN保护的是点对点之间的通信,通过IPsec VPN可以在主机和主机之间、主机和网络安全网关之间或网络安全网关(如路由器、防火墙)之间建立安全的隧道连接。其协议主要工作在IP层,在IP层对数据包进行加密和验证。

相对于其他VPN技术,IPsec VPN安全性更高,数据在IPsec隧道中都是加密传输,但相应的IPsec VPN在配置和组网部署上更复杂。

02

   IPsec是如何工作的?

IPsec的工作原理大致可以分为4个阶段:

2.1  识别“感兴趣流”。

网络设备接收到报文后,通常会将报文的五元组等信息和IPsec策略进行匹配来判断报文是否要通过IPsec隧道传输,需要通过IPsec隧道传输的流量通常被称为“感兴趣流”。

2.2  协商安全联盟(Security Association,以下简称SA)。

SA是通信双方对某些协商要素的约定,比如双方使用的安全协议、数据传输采用的封装模式、协议采用的加密和验证算法、用于数据传输的密钥等,通信双方之间只有建立了SA,才能进行安全的数据传输。

识别出感兴趣流后,本端网络设备会向对端网络设备发起SA协商。在这一阶段,通信双方之间通过IKE协议先协商建立IKE SA(用于身份验证和密钥信息交换),然后在IKE SA的基础上协商建立IPsec SA(用于数据安全传输)。

2.3  数据传输。

IPsec SA建立成功后,双方就可以通过IPsec隧道传输数据了。

IPsec为了保证数据传输的安全性,在这一阶段需要通过AH或ESP协议对数据进行加密和验证。加密机制保证了数据的机密性,防止数据在传输过程中被窃取;验证机制保证了数据的真实可靠,防止数据在传输过程中被仿冒和篡改。

IPsec发送方会使用加密算法和加密密钥对报文进行加密,即将原始数据“乔装打扮”封装起来。然后发送方和接收方分别通过相同的验证算法和验证密钥对加密后的报文进行处理得到完整性校验值ICV。如果两端计算的ICV相同则表示该报文在传输过程中没有被篡改,接收方对验证通过的报文进行解密处理;如果ICV不相同则直接丢弃报文。

2.4  隧道拆除。

通常情况下,通信双方之间的会话老化(连接断开)即代表通信双方数据交换已经完成,因此为了节省系统资源,通信双方之间的隧道在空闲时间达到一定值后会自动删除。

03

 IPsec的3个重要协议- IKE/AH/ESP

3.1  IKE(Internet Key Exchange,因特网密钥交换)IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。

IKE协议分IKEv1和IKEv2两个版本,IKEv2与IKEv1相比,修复了多处公认的密码学方面的安全漏洞,提高了安全性能,同时简化了安全联盟的协商过程,提高了协商效率。

IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。IKE SA和IPSec SA需要的加密密钥和验证密钥都是通过DH算法生成的,它还支持密钥动态刷新。

3.2  AH(Authentication Header,认证头)

AH协议用来对IP报文进行数据源认证和完整性校验,即用来保证传输的IP报文的来源可信和数据不被篡改,但它并不提供加密功能。AH协议在每个数据包的标准IP报文头后面添加一个AH报文头,AH协议对报文的完整性校验的范围是整个IP报文。

3.3  ESP(Encapsulating Security Payload,封装安全载荷)ESP协议除了对IP报文进行数据源认证和完整性校验以外,还能对数据进行加密。ESP协议在每一个数据包的标准IP报头后方添加一个ESP报文头,并在数据包后方追加一个ESP尾(ESP Trailer和ESP Auth data)。ESP协议在传输模式下的数据完整性校验范围不包括IP头,因此它不能保证IP报文头不被篡改。

AH和ESP可以单独使用,也可以同时使用。AH和ESP同时使用时,报文会先进行ESP封装,再进行AH封装;IPsec解封装时,先进行AH解封装,再进行ESP解封装。

04

 IPsec使用的端口

IPsec中IKE协议采用UDP 500端口发起和响应协商,因此为了使IKE协商报文顺利通过网关设备,通常要在网关设备上配置安全策略放开UDP 500端口。另外,在IPsec NAT穿越场景下,还需要放开UDP 4500端口。

而AH和ESP属于网络层协议,不涉及端口。为了使IPsec隧道能正常建立,通常还要在网关设备上配置安全策略放开AH(IP协议号是51)和ESP(IP协议号是50)服务。

05

     IPsec VPN和SSL VPN对比

IPsec和SSL是部署VPN时最常用的两种技术,它们都有加密和验证机制保证用户远程接入的安全性。从以下几个方面对IPsec VPN和SSL VPN进行对比:

5.1   OSI参考模型工作层级

OSI定义了网络互连的七层框架:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。IPsec工作在网络层,它直接运行在IP(Internet Protocol,互联网协议)之上。而SSL工作在应用层,是一种应用层协议,它加密的是HTTP流量,而不是直接加密IP数据包。

5.2  配置部署

IPsec VPN通常适用于Site to Site(站点到站点)的组网,要求站点分别部署VPN网关或远程用户安装专用的VPN客户端,因此配置部署复杂度和维护成本都比较高。但SSL VPN通常适用于Client to Site(客户端到站点)的组网,只要求远程用户使用支持SSL的标准浏览器安装指定插件即可进行访问,通过数据中心部署VPN网关进行集中管理和维护,因此配置部署更简单,维护成本相对较低。

5.3  安全性

IPSec工作在网络层,对站点间传输的所有数据进行保护。IPSec?VPN要求远程用户安装专用的VPN客户端或在站点部署VPN网关设备,用户访问会受到客户端或网关在用户认证规则、安全策略规则或内容安全过滤方面的检查,因此安全性更高。而SSL VPN不要求安装专用客户端或接入站点部署网关设备,更容易受到安全威胁的影响。

5.4  访问控制

IPsec工作在网络层,不能基于应用进行细粒度的访问控制。而SSL VPN在精细化访问控制上更灵活,网络管理员可以将网络资源根据不同的应用类型划分为不同的资源类型,每一类资源的访问权限不同。

以太网接入以及「按需订制带宽」的方式大大降低客户端设备成本和运营费用,Vecloud微云网络为企业提供GPLC、MPLS VPNIPLC、IEPL、IDC业务和综合方案服务商,可以根据用户需求提出一体化的解决方案,解决用户关心的网络问题。如果你正在考虑IEPL和IPLC专线方案,可以联系我们,我们会给您更好的建议。

免责声明:部分文章信息来源于网络以及网友投稿,本网站只负责对文章进行整理、排版、编辑,是出于传递 更多信息之目的,并不意味着赞同其观点或证实其内容的真实性,如本站文章和转稿涉及版权等问题,请作者在及时联系我们本站,我们会尽快处理。

标题:什么是IPsec?

TAG标签:

地址:http://www.vecloud.com.cn/IEPL/366.html

上一篇:IEPL直连专线出现故障怎么办?
下一篇:没有了

常见问题

  • MPLS和专线有什么区别?

    MPLS和专线都提供WAN连接。当MPLS被实现为全网状网络时,专用线路在两点之间建立连接。MPLS代表多协议标签交换。它是一种数据传输机制。在MPLS网络中为数据包分配标签。取代检查数

  • 为什么在中国访问国外的网络慢?

    因国情不同,中国的通信网络起步较晚,网络的环境相对较差,因此在访问国外网络的时候会出现访问国外网络慢的情况。而这种情况的产生不是单一的原因,还有很多因素。 1、国内

  • MPLS、SD-WAN、混合WAN这三者有什么不同

    我们一直在讨论使用Internet做为整体广域网(WAN)策略的一部分。但软件定义广域网(SD-WAN)与混合型广域网有何不同?企业通常通过MPLS等专用数据服务连接其分支机构。在使用Inte

  • 专线海外到国内的延迟高怎么回事?

    海外网络延迟高的原因有哪些:1.服务器之间的物理距离是硬伤。海外网络延迟较高,服务器延迟仅与物理距离和路由有关。一般来说,简单的理解与物理距离有更大的关系。物理距离越近,延迟越低。延迟与带宽和硬件无关

  • Outlook邮箱收发邮件慢,经常打不开解决方法

    很多客户公司的OUTLOOK邮箱,经常会遇到无法发送邮件或者打不开的问题,有时能发送但是非常非常慢,出现了这样的网络故障。一是公司网络带宽不足,二是跨国企业为了实现更好的全

  • 淘宝直播海外专线怎么开通?

    直播是淘宝全球采购市场非常重要的引流渠道;通过直播,用户可以增加对自己的信任,从而更好地促进转型。很多买家会在海外直播,但是网络卡顿影响用户观看,所以不能错过海外专线。这是什么?怎样添加?

  • 登录Office 365办公网络慢的几个原因

    目前,全球员工在企业数字转型时遭遇挫折,尤其是当生产力应用迁移到云时,他们可能总是抱怨:为什么Office 365应用如此缓慢?这些应用程序可能迁移到很远的云中,因此延迟和网络

  • 公司用的Polycom卡顿延迟严重怎么解决?

    大多数导致Polycom卡顿延迟的原因是这几个 1、防火墙连接。 验证是否在防火墙打开了所需的 URL、IP 地址和端口可最大程度地减少不必要的故障排除。 2、企业办公路由器和计算机性能不

  • 为什么海外用户玩国内游戏会缓慢?

    这几天一直在思考游戏行业加速的问题,恰好有朋友问到了这个问题,那游戏行业如何加速,我和大家做一个简单的分享。为什么国内用户玩海外游戏会缓慢?归根结底的原因是因为中

  • 公司KUDO进行国际会议卡顿延迟的解决方案

    最近经常有客户咨询公司KUDO进行国际会议卡顿的问题,今天小编就做个简单总结,分享给大家,希望能解决大家KUDO进行国际会议卡顿延迟的问题。跨国视频会议延时很难保证。 想要做