IPSec的安全性如何?

IPSec是专门设计为IP一种提供安全服务的协议(实际上是协议家族)。IPSec可有效保护IP具体的保护形式包括：数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等。

使用IPSec协议中的认证头(AH)协议和包装安全载荷(ESP)协议，是的IP数据报告或上层协议(如UDP和TCP)这种保护由保护IPSec提供两种不同的工作模式(对应隧道模式和传输模式)AH可验证数据的起源，保证数据的完整性，防止同一数据包不断重播。ESP除具有AH除了所有能力外，还可以选择保证数据的机密性，为数据流提供有限的机密性保证。

AH和ESP协议以安全联盟为基础(SA)规定的参数为IP数据包提供安全服务。SA可手工或自动建立。IKE就是IPSec一种规定用于自动管理SA的协议。IKE可支持协商的实现VPN，也可支持IP远程接入地址事先不知道。IKE必须支持谈判方不是SA谈判发生的客户谈判模式可以隐藏端方身份。

虽然到目前为止，全球安全专家普遍认为IPSec是最安全的IP协议，但也不全是赞美，最重要的批评是它的复杂性，因为系统的复杂性是系统安全的主要威胁之一。IPSec传输模式和隧道模式有两种安全协议：AH和ESP。AH提供认证，ESP提供认证和/或加密。这导致了额外的复杂性：有四种通信模式可供选择：传输/AH，隧道/AH，空加密传输/ESP以及空加密隧道/ESP，这些选择之间的功能和性能差异很小（因此没有太大的实际意义）。造成这个问题的原因是IPSec经过多年的研究和讨论，它是许多国家安全专家的产物。因此，一些安全专家提出，安全协议的设计原则应该是竞争和使用AES(高级加密标准)。

ATM/帧中继 VPN虚拟电路连接的专用是一组封闭用户或社区，安全保障主要来自其封闭用户群(CUG)特点，假设运营商不会（恶意）错误配置和数据传输错误，不会监控用户流量，不会进入用户网络，不会修改，不会被非授权方流量分析，不提供认证和加密安全服务（当然，如果用户需要传输特别敏感的数据（如金融信息），通常需要使用用户自己的链路加密等方法）IPSec VPN，它还连接了一组封闭的用户或社区，但此时提供的安全服务也包括认证和加密。因此，可以认为，IPSec比传统的ATM/帧中继 VPN到目前为止，更强的安全服务是最安全的VPN技术。