IPSec是专门设计为IP提供安全服务的一种协议(其实是一个协议族)。IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:数据源验证;无连接数据的完整性验证;数据内容的机密性保护;抗重播保护等。

  使用IPSec协议中的认证头(AH)协议和封装安全载荷(ESP)协议,可以对IP数据报或上层协议(如UDP和TCP)进行保护,这种保护由IPSec两种不同的工作模式(分别对应隧道模式和传输模式)来提供。其中AH可以验证数据的起源、保障数据的完整性以及防止相同数据包的不断重播。ESP除具有AH的所有能力之外,还可选择保障数据的机密性,以及为数据流提供有限的机密性保障。

  AH和ESP协议根据安全联盟(SA)规定的参数为IP数据包提供安全服务。SA可以手工建立,也可以自动建立。IKE就是IPSec规定的一种用来自动管理SA的协议。IKE的实现可支持协商VPN,也可支持IP地址事先并不知道的远程接入。IKE必须支持协商方不是SA协商发生的端点的客户协商模式,这样可以隐藏端方身份。

  虽然到目前为止,全球安全专家普遍认为IPSec是最安全的IP协议,但也并非全是赞美之词,最主要的批评是它的复杂性,因为系统复杂性是系统安全的主要威胁之一。IPSec有两个运行模式:传输模式和隧道模式,有两个安全协议:AH和ESP。

  AH提供认证,ESP提供认证和/或加密。这导致了额外的复杂性:打算认证一个包的两台机器之间的通信总共有四种模式可供选择:传输/AH,隧道/AH,空加密的传输/ESP以及空加密的隧道/ESP,而这些选择之间的功能和性能差别都很小(因此没有太大实际意义)。

  产生这种问题的原因是IPSec是多个国家的安全专家经过多年的研究和讨论后折衷的产物。因此有安全专家已经提出安全协议的设计原则应是多家竞争,择优使用,正如AES(高级加密标准)那样。

  ATM/帧中继VPN的“专用”性体现在虚电路连接的是一组闭合的用户或社区,安全性保证主要来自它的“闭合用户群(CUG)”的特性,假设运营商不会(恶意)错误配置而导致数据传递错误,不会监听用户的流量,不会不经过授权就进入用户网络,不会被修改,不会被非授权方进行流量分析等,根本不提供认证和加密等安全服务(当然如果用户需要传递特别敏感的数据(如金融信息)等,通常需要采用用户自己实施的链路加密等方法)。而对于IPSec VPN,连接的也是一组闭合的用户或社区,但这时提供的安全服务还包括认证和加密等。因此可以这样认为,IPSec比传统的ATM/帧中继 VPN更强的安全服务,是到目前为止最为安全的VPN技术。

IPSec的安全性如何?—微云MPLS相关推荐

  1. 选择MPLS或SD-WAN用于组织网络部署的几大原因—Vecloud微云

    媒体表明MPLS网络服务正在逐渐普及.由于云服务的兴起和互联网的使用,WAN技术对产品的关注越来越小,而对功能的关注却越来越大.几年前,默认的IT管理决策由对私有服务(MPLS)有直接兴趣的公司和对公 ...

  2. 解答MPLS基础的路由问题—Vecloud微云

    1.LDP协议中"路由器为本地路由分发标签",标签是out label吗? 2.同一FEC在一个路由器上in和out label可以相同嘛? 3.教材有一句话"通常情况下 ...

  3. MPLS自身的优点所带来的网络便捷—Vecloud微云

    今天我们来看下MPLS具有哪些优势. 第一个就是转发速度快.通常,路由器在转发IP数据包时,首先要对目标地址和路由控制表中可变长的网络地址进行比较,然后从中选出最长匹配的路径才能进行数据的转发与通信. ...

  4. MPLS转发过程中涉及的相关概念—Vecloud微云

    MPLS术语 • 标签(Label):是一个短而定长的.只具有本地意义的标识符,用于唯一标识一个分组所属的FEC.在某些情况下,例如要进行负载分担,对应一个FEC可能会有多个入标签,但是一台设备上,一 ...

  5. MPLS原理之MPLS基本结构—Vecloud微云

    MPLS基本结构 网络结构 MPLS网络的典型结构如图1-1所示.MPLS基于标签进行转发,图1-1中进行MPLS标签交换和报文转发的网络设备称为标签交换路由器LSR(Label Switching ...

  6. MPLS由何而来?—Vecloud微云

    90年代中期,随着IP技术的快速发展,Internet数据海量增长.但由于硬件技术存在限制,基于最长匹配算法的IP技术必须使用软件查找路由,转发性能低下,因此IP技术的转发性能成为当时限制网络发展的瓶 ...

  7. MPLS基本结构是怎样的?—Vecloud微云

    基本结构从两方面来说,MPLS分为网络结构和体系结构. 一.网络结构,将MPLS将其处于MPLS域的路由器进行分类:LSR和LER. LER:位于MPLS域边缘.连接其他网络的LSR称为边缘路由器LE ...

  8. SD-WAN的四个价值—Vecloud微云

    IaaS,SaaS和移动用户已经打破了这一障碍,并将更多的流量转移到Internet,从而使网络边界消失了.MPLS并不是为这一新现实而设计的.SD-WAN不仅通过降低网络成本,而且通过以四种方式(安 ...

  9. 什么是网络可见性?—Vecloud微云

    传统VPN解决方案可为移动和远程办公提供连接,但几乎无法实现可见性并控制本地部署.将流量路由回公司总部进行审核不是一个实际的解决方案.这样做会阻碍性能,并限制云和移动带来的好处.对于企业而言,基于云的 ...

最新文章

  1. Eclipse SVN插件冲突导致不能使用解决办法
  2. GAN —— 《Generative Adversarial Nets》
  3. 微课|中学生可以这样学Python(例5.6、例5.7):集合应用
  4. linux 内核/proc
  5. 实体-关系信息抽取上线使用F1值87.1% (附数据集)
  6. 剑指Offer学习笔记(3)——解决面试题的思路
  7. Ngnix的日志管理和用定时任务完成日志切割
  8. 【论文笔记】From Facial Parts Responses to Face Detection: A Deep Learning Approach
  9. c#中 字节数组到浮点型转换
  10. github copilot插件安装
  11. 引入阿里iconfont图标方法以及注意事项
  12. signature=9aadee6a3f882c84134bf5f6f04d2c93,Fw: Updated Scor Input Requirements
  13. 微芯科技35.6亿美元购Atmel 芯片业整合潮继续
  14. DirectX11--教程项目无法编译、运行的解决方法
  15. 初次办理机电设备安装资质流程
  16. matlab scatter 散点图画法
  17. php 促销方案,七步就轻松搞定,促销活动方案
  18. C++ 按位与、或、异或等运算方法
  19. 主流 Java ORM 框架有哪些?
  20. 企业级的商用远程控制软件有哪些

热门文章

  1. 一些小标签(上标下标下划线等)
  2. 系统测试方案如何写?
  3. WPF-13:资源文件需要手动引用问题
  4. json2.js的初步学习与了解(转)
  5. 参加Google™ Code Jam - 中国编程挑战赛(2)
  6. 骁龙617 android7,骁龙617手机有哪些?骁龙617手机汇总
  7. java file.canexecute_Java File canExecute()用法及代碼示例
  8. DOM中的navigate()函数
  9. Kotlin函数中默认参数
  10. jenkins(4): jenkins 插件