|
IPsec是專門用來解決IPv4 的一些基礎(chǔ)安全(服務(wù)器租用找:51033397)性問題的。為了解決這些問題�����,它實現(xiàn)了四個服務(wù):數(shù)據(jù)傳輸加密��、數(shù)據(jù)完整性驗證、數(shù)據(jù)源認證和數(shù)據(jù)狀態(tài)完整性��。為了實現(xiàn)這些服務(wù)���,IPsec VPN引入了許多協(xié)議���。在本篇文章中,您將學(xué)習(xí)到實現(xiàn)IPsec安全(服務(wù)器租用找:51033397)性的協(xié)議�����。
十五年前虛擬專用網(wǎng)對于大多數(shù)企業(yè)來說還是個很新的概念��。但在今天���,任意重要的安全(服務(wù)器租用找:51033397)和路由相關(guān)產(chǎn)品中都含有標準的VPN功能���,這項技術(shù)愈來愈成為企業(yè)運作的一個基本需求�����。眾所周知,大多數(shù)協(xié)議和應(yīng)用程序在因特網(wǎng)上是通過明文傳輸?shù)��,通過VPN使用加密的數(shù)據(jù)在公共網(wǎng)上傳輸可以防止被黑客嗅探到敏感的數(shù)據(jù)并且可以幫助企業(yè)遵守數(shù)據(jù)隱私權(quán)���。
早期的VPN產(chǎn)品需要在接入本地網(wǎng)絡(luò)的遠程客戶機上安裝自己的客戶端��,現(xiàn)在有很多產(chǎn)品依然如此�����。這種加密方式和支持的協(xié)議使它們要么是個很好的選擇要么是個很糟的選擇��,因為他們很容易被泄露出去�����。比如,點到點隧道協(xié)議曾一致被用來作為VPN解決方案,但是它并沒有提供足夠的安全(服務(wù)器租用找:51033397)因為通過GRE隧道加密不夠強而且通過MS-CHAP驗證太簡單��。
今天�����,基于IPsec的VPNs成為了一種標準���。使用因特網(wǎng)安全(服務(wù)器租用找:51033397)協(xié)議和其他相關(guān)協(xié)議���,他們能夠提供足夠的安全(服務(wù)器租用找:51033397)性和加密措施用來保證會話是安全(服務(wù)器租用找:51033397)的并且被適當?shù)募用苓^�����。
另外,較廣范圍的應(yīng)用程序和數(shù)據(jù)的移動性為SSLVPN和移動設(shè)置VPNs鋪平了道路���,隨著企業(yè)拓寬了員工接入敏感數(shù)據(jù)所使用的設(shè)備范圍,他們同樣擴大了傳輸數(shù)據(jù)的應(yīng)用程序的數(shù)量���。SSLVPN可以用來保護所有這些應(yīng)用程序。
企業(yè)比以往有更多的選擇來保護自己敏感的數(shù)據(jù)并同時開啟遠程訪問和遵從數(shù)據(jù)隱私權(quán)。曾一度有人問:“是用IPsec還是SSL��?”但是很多企業(yè)發(fā)現(xiàn)他們不是互相排斥的�����。當被考慮作為一個大規(guī)模遠程訪問方案時���,每項技術(shù)都有自己的優(yōu)勢。
IPsec VPN
IPsec VPN框架是一個IETF 標準套件��,它能夠在不安全(服務(wù)器租用找:51033397)的網(wǎng)絡(luò)中實現(xiàn)安全(服務(wù)器租用找:51033397)的數(shù)據(jù)傳輸���,如Internet���。IPsec VPN提供了一些在網(wǎng)絡(luò)層實現(xiàn)安全(服務(wù)器租用找:51033397)通信的協(xié)議��,以及一個用于交換身份和安全(服務(wù)器租用找:51033397)性協(xié)議管理信息的機制�����。IPsec套件是專門用來解決IPv4 的一些基礎(chǔ)安全(服務(wù)器租用找:51033397)性問題的��。
為了解決這些漏洞,IETF已經(jīng)開發(fā)了不同的協(xié)議標準定義��。這些標準實現(xiàn)了以下四個基本服務(wù):
數(shù)據(jù)傳輸加密:發(fā)起的億恩科技主機能夠在傳輸之前對數(shù)據(jù)包進行加密��。
數(shù)據(jù)完整性驗證:接收的億恩科技主機能夠驗證每一個到達的數(shù)據(jù)包���,保證所傳輸?shù)脑紨?shù)據(jù)已經(jīng)成功接收��。
數(shù)據(jù)源認證:發(fā)起的億恩科技主機能夠給數(shù)據(jù)包添加標記,這樣接收者能夠認證這些數(shù)據(jù)。
數(shù)據(jù)狀態(tài)完整性:發(fā)起和接收的億恩科技主機都能夠給數(shù)據(jù)包添加標記�����,這樣數(shù)據(jù)流的任何重復(fù)傳輸都可以被檢測和拒絕(這就是所謂的抗重放)��。
IPsec VPN簡介
IPsec VPN工作在OSI Layer 3���。
IPsec VPN能夠在遠程位置與企業(yè)網(wǎng)絡(luò)之間實現(xiàn)一個安全(服務(wù)器租用找:51033397)通道�����。
IPsec VPN需要使用安裝在億恩科技主機上的客戶端和位于中央的硬件���。
持續(xù)的IPsec VPN配置維護和帳號管理可能需要很大工作量���。
用戶擁有完整的內(nèi)部網(wǎng)絡(luò)功能���。
IPsec VPN的訪問控制比較寬松���。
IPsec VPN專門對VoIP���、多媒體和網(wǎng)絡(luò)層傳輸進行了優(yōu)化�����。
IPsec VPN使用了許多不同的安全(服務(wù)器租用找:51033397)性協(xié)議來實現(xiàn)這些服務(wù)���。在底層���,這些協(xié)議可以分成兩類:數(shù)據(jù)包協(xié)議和服務(wù)協(xié)議���。數(shù)據(jù)包協(xié)議用于實現(xiàn)數(shù)據(jù)安全(服務(wù)器租用找:51033397)性服務(wù)��。這里有兩種IPsec數(shù)據(jù)包協(xié)議:Authentication Header (AH)和Encapsulating Security Payload (ESP)。此外還有許多服務(wù)協(xié)議�����,但是其中最主要的一個是Internet Key Exchange protocol (IKE)�����。
下面是IPsec VPN實現(xiàn)中通常會使用的協(xié)議簡要概述:
Authentication Header:AH定義在IETF RFC 2402,它支持IPsec數(shù)據(jù)驗證、認證和完整性服務(wù)��。它不支持數(shù)據(jù)加密�����。AH一般是單獨實現(xiàn)的��,但是它也可以與ESP一起實現(xiàn)。AH只有當我們需要保證交換數(shù)據(jù)雙方安全(服務(wù)器租用找:51033397)時才會使用。
Encapsulating Security Payload:ESP定義在IETF RFC 2406,它支持IPsec數(shù)據(jù)加密、驗證、認證和完整性服務(wù)���。ESP可以單獨實現(xiàn),也可以與AH一起實現(xiàn)。AH頭是預(yù)先設(shè)置在IP數(shù)據(jù)包的數(shù)據(jù)有效內(nèi)容位置的�����,而ESP則將IP數(shù)據(jù)包的整個數(shù)據(jù)部分封裝到一個頭和尾上。
Internet Security Association and Key Management Protocol (ISAKMP):這些協(xié)議提供了實現(xiàn)IPsec VPN服務(wù)協(xié)商的框架和過程���。ISAKMP定義在IETF RFC 2408。IKE定義在IETF RFC 2409��。ISAKMP定義了創(chuàng)建和刪除認證密鑰和安全(服務(wù)器租用找:51033397)關(guān)聯(lián)(SA)的模式�����、語法和過程��。IPsec節(jié)點會使用SA來跟蹤不同IPsec節(jié)點之間協(xié)商的各個方面的安全(服務(wù)器租用找:51033397)性服務(wù)政策。
Internet Key Exchange:IKE是 Oakley密鑰判定協(xié)議和SKEME密鑰交換協(xié)議的混合物��。IKE協(xié)議負責(zé)管理IPsec VPN節(jié)點的ISAKMP中的IPsec安全(服務(wù)器租用找:51033397)關(guān)聯(lián)���。IKE協(xié)議可以被ISAKMP使用�����; 但是它們并不相同。IKE是建立IPsec節(jié)點之間IPsec連接的機制。
本文出自:億恩科技【www.laynepeng.cn】
服務(wù)器租用/服務(wù)器托管中國五強���!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
