浅谈IPsec的工作原理及优缺点

什么是IPsec?

IPsec(IP安全)是一套旨在保证的协议IP网络数据通信的完整性、机密性和身份验证IPsec标准的灵活性引起了商业市场的兴趣，但由于其复杂性，识别协议存在一些问题。与其他安全系统一样，维护不良容易导致关键系统故障。

IPsec可用于虚拟专用网络、应用程序级安全和路由安全三个不同的安全域。IPsec主要用于VPN，当在应用程序级安全性或路由安全性中使用时，IPsec它不是一个完整的解决方案，必须与其他安全措施相结合，才能发挥其有效作用。

IPsec操作

IPsec有两种操作模式：传输模式和隧道模式。当源主机和目标主机在传输模式下运行时，必须通过使用加密数据直接执行所有加密操作L2TP由(第二层隧道协议)创建的单个隧道发送、由源主机创建的数据(密文)和由目标主机检索，建立了端到端的安全性。

在隧道模式下运行时，除了源和目标主机外，特殊网关还将进行加密处理。在这里，许多隧道在网关之间串联创建，建立了从网关到网关的安全性。在使用这些模式中的任何一种模式时，为所有网关提供验证数据包的真实性和在两端验证数据包的能力是很重要的，必须丢弃任何无效的数据包。

IPsec需要两种类型的数据包编码(DPE)：身份验证标头(AH)包装安全负荷(ESP)DPE。这些编码为数据提供网络级安全，AH通过密钥散列函数(也称为)提供数据包的真实性和完整性MAC(消息验证代码))可以进行验证，此标题还禁止非法修改，并可选择提供反重放安全性。AH所有这些都可以在多个主机、多个网关或多个主机和网关之间建立安全AH，ESP标头提供加密、数据包装和数据机密性。通过对称密钥提供数据机密性。

在通过各种隧道和网关的过程中，会向数据包添加额外的标头，在每次通过网关时，数据报都包含在新的标头中。此标头中包含安全参数索引(SPI)，SPI指定最后一个系统查看数据包的算法和密钥，并保护系统中的有效负载，因为检测到数据中的任何变化或错误，导致接收方丢弃数据包。标头应用于每个隧道的开头，然后在每个隧道的结尾进行验证和删除，以防止不必要的费用积累。

IPsec一个重要部分是安全关联(SA)，SA使用AH和ESP中携带的SPI编号指示哪个SA还包括数据包IP指示端点的目标地址：这可以是防火墙、路由器或最终用户。安全相关数据库(SAD)用于存储所有用途SA，SAD使用安全策略来指示路由器应执行数据包的操作，包括完全丢弃数据包，只丢弃数据包SA，或替换不同的SA。所有正在使用的安全策略都存储在安全策略数据库中。

IPsec的缺点

在某些情况下，不能直接端到端通信(即传输模式)。举个简单的例子H1和H二是直接隧道上的两台主机，H用防火墙叫FW1。

在大型分布式系统或域间环境中，实施多样化的区域安全的实施可能会给端到端通信带来严重的问题FW1.入侵检测需要检查流量内容FW为了强制执行其内容检查要求，设置了拒绝所有加密流量的策略。H1和H在不了解防火墙及其战略规则的情况下，建造直接隧道。因此，所有的流量都将被接受FW丢弃，场景显示每个策略都符合相应的要求，所有策略都可能导致冲突。

IPsec最大的缺点之一的缺点之一IPsec安全专家指出，灵活性使其流行，但也导致混乱。IPsec有太多的选项和太多的灵活性。IPsec大多数灵活性和复杂性都可能归因于IPsec是通过委员会流程开发的，由于委员会的政治性质，标准中经常添加额外的功能，选项和灵活性，以满足标准化机构的各个派系，这一过程与高级加密标准(AES)1998年到期的数据加密标准取代了开发中使用的标准化过程。

将此与NIST[国家标准与技术研究院]AES比委员会更有利于发展，NIST组织了一场比赛，几个小组创建了自己的建议，在写这篇文章时，有一个消除阶段，剩下的五个候选人中的任何一个都将比任何委员会制定的标准要好得多。

此外，IPsec大多数文档都非常复杂和混乱，没有概述或介绍，也没有确定IPsec用户必须组装这些部件，并试图理解可能被描述为难以阅读的文档。请考虑用户必须忍受的挫折ISAKMP这些规范缺乏关键的解释，包括许多错误，并在不同的位置相互矛盾。

然而，尽管IPsec它可能并不完美，但与其他安全协议相比，它被认为是一个重大改进。例如，考虑流行的安全系统避孕套连接字层SSL广泛部署在各种应用程序中，但由于它用于传输/应用程序层，因此需要修改任何需要包含的应用程序SSL应用程序的能力IPsec用于第三层，所以只需要修改操作系统，而不是使用IPsec修改应用程序。

IPsec是不是太复杂太迷茫？

IPsec包括所有最常用的安全服务，包括身份验证、完整性、机密性、加密性和不可否认性。IPsec主要缺点是其复杂性和相关文件的混乱性杂性和相关文件的混乱性IPsec是最好的安全系统之一。希望在未来IPsec修订版可以证明可以大大改进，解决与结构相关的问题。

专业的企业网络服务提供商微云网络致力于为企业提供企业网络（SD-WAN、MPLS、业务云化、数据中心、网络安全、行业云互联)IT解决方案等相关服务。详见400-028-9798客服电话官网:www.KD010.com。