IPsec的基础知识和优势应用

IPSec 方案是指采用IPSec协议实现远程接入的方案技术，IPSec是IETF(互联网 Engineer Task Force)正在完善的安全标准，IPSec该协议是一种广泛、开放的虚拟专用网络安全协议，它提供了网络层面的所有数据保护和透明的安全通信。IPSec它是基于网络层的，不能通常穿越NAT、防火墙。

首先具体介绍一下IPsec协议：

IP_SECURITY协议(IPSec)，方案可通过相应的隧道技术实现。IPSec隧道模式和传输模式有两种模式。IPSec 协议不是单独的协议，而是应用于IP一套完整的网络数据安全系统结构，包括网络认证协议 Authentication Header(AH)、包装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议互联网 Key Exchange (IKE)以及一些用于网络认证和加密的算法。IPSec 规定了如何选择安全协议选择安全协议，确定安全算法和密钥交换，并提供访问控制、数据源认证、数据加密等网络安全服务。

IPSec的安全特性主要有：

1.不可否认性："不可否认性"消息发送者是唯一可能的发送者，发送者不能否认发送消息。"不可否认性"它是公钥技术的一个特点。当使用公钥技术时，发送人使用私钥生成数字签名，并与消息一起发送，接收人使用发送人的公钥验证数字签名。理论上，只有发送人拥有私钥，只有发送人才能生成数字签名，只要数字签名通过验证，发送人就不能否认发送了消息"不可否认性"由于发送方和接收方在基于认证的共享密钥技术中掌握相同的密钥，因此不是基于认证的共享密钥技术的特点。

2.反重播性："反重播"确保每个IP该包的唯一性保证了如果信息被截取和复制，则不能重复使用或传输回目的地址。该特性可以防止攻击者在截取破译信息后使用相同的信息包获得非法访问权（即使在几个月后）。

3.数据完整性：防止数据在传输过程中被篡改，确保发布数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生加密检查和，接收方在打开包之前计算检查和检查。如果包被篡改，检查和不一致，数据包将被丢弃。

4.数据可靠性(加密):在传输之前，对数据进行加密可以使数据包在传输过程中被截取，信息也无法读取。这个特点是IPSec和IPSec战略的具体设置是相关的。

5.认证：数据源发送信任状，接收方验证信任状的合法性，通信连接只能通过认证系统建立。

然后介绍为什么要在计划中导入IPSEC协议：

导入IPSEC协议有两个原因，一个是原来的TCP/IP在系统中间，没有基于安全的设计，任何人，只要能够进入线路，就可以分析所有的通信数据。IPSEC完整的安全机制，包括加密、认证和数据防篡改功能。

另外一个原因，是因为互联网快速发展，接入越来越方便，许多客户希望利用这种上网带宽，实现异地网络的互联。

IPSEC该协议可通过包装技术使用互联网包装内部网络的路由地址IP地址，实现异地网络的交换。

IPSec基于安全水平高的方案互联网实现多专用网安全连接，IPSec 方案是理想的方案。IPSec无论是哪种网络应用，都要在网络层工作，保护终端站点之间的所有传输数据。它实际上将是远程客户端“置于”企业内部网络使远程客户端拥有与内部网用户相同的权限和操作功能。

IPSec 方案需要安装和配置远程接入客户端IPSec由于访问受到特定接入设备、软件客户端、用户认证机制和预定义安全规则的限制，客户端软件和接入设备的安全水平大大提高。

IPSec 方案还可以减轻网络管理的负担IPSec客户用户参与，客户端软件可以自动安装。方案服务器可以自动安装和配置客户端软件包，为终端用户访问设备。因此，安装过程大大简化了网络管理和终端用户。

最后谈谈IPSec 方案应用优势：

SSL 方案用户仅限于应用Web基于新型的浏览器访问Web商业应用软件更合适，但它限制了非Web应用访问使得文件共享、预订文件备份和自动文件传输等一些文件操作功能难以实现。用户可以升级、添加补丁和安装SSL支持非的网关或其他方式Web但实现成本高、复杂，难以实现。IPSec 方案可以顺利实现企业网络资源的访问，用户无需采用Web接入(可以是非Web方法)，这是同时需要两种方式自动通信的应用程序的最佳方案。

IPSec任何网络层连接都可以实现方案LAN所有应用都可以通过IPSec当用户只需要网络层访问隧道时，IPSec是理想的解决方案。现在有些机构同时采用IPSec和SSL远程接入方案，IT主管利用IPSec 方案实现网络层接入和网络管理。其他人员需要访问的资源有限，通常是电子邮件、传真和公司内部网络(Web因此采用浏览)SSL方案。这是充分利用的IPSec网络层接入功能。

IPSec 方案提供完整的网络层连接功能，是实现多专用网络安全连接的最佳选择；IPSec 方案需要软件客户端的支持，不支持公众互联网网站接入，但可以实现Web或非Web类企业应用访问。