上一篇文章我們講完了VPN和IPsec是什么，接下來我們就來講一下IPsec在組網(wǎng)中的應(yīng)用，IPsec在組網(wǎng)中發(fā)揮著什么作用，它的實現(xiàn)機制又是怎么樣的呢？

IPsec的作用

IPsec通過激活系統(tǒng)所需要的安全協(xié)議、確定用于服務(wù)的算法及所要求的密鑰來提供安全服務(wù)。IPsec可用來保護一條或多條介于主機之間、安全網(wǎng)關(guān)之間或主機和安全網(wǎng)關(guān)之間的數(shù)據(jù)通道。

IPsec所能提供的安全服務(wù)集包括訪問控制、無連接完整性、數(shù)據(jù)源認證、重播保護（各部分的序列完整）、機密性（加密）以及有限傳輸流量的機密性。由于這些服務(wù)在IP層提供，能被更高層次的協(xié)議所利用（如：TCP、UDP、ICMP、BGP等），并且對于應(yīng)用程序和終端用戶來說是透明的，所以，應(yīng)用和終端用戶不需要更改程序和進行安全方面的專門培訓(xùn)。
 
IPsec實現(xiàn)機制

IPsec通過提供下列服務(wù)來保護通過公共IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)：

● 訪問控制 訪問控制是指防止未經(jīng)授權(quán)對資源進行訪問。IPsec中，需要進行訪問控制的資源通常指主機中的數(shù)據(jù)和計算能力、安全網(wǎng)關(guān)內(nèi)的本地網(wǎng)及其帶寬。IPsec使用身份認證機制進行訪問控制。

● 數(shù)據(jù)源認證 數(shù)據(jù)源認證對數(shù)據(jù)來源所聲明的身份進行驗證，通常與無連接數(shù)據(jù)完整性相結(jié)合。IPsec使用消息鑒別機制實現(xiàn)數(shù)據(jù)源認證服務(wù)。

● 機密性和有限傳輸流量的機密性 相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。有限傳輸流量的機密性服務(wù)是指防止對通信的外部屬性（源地址、目的地址、消息長度和通信頻率等）的泄露，從而使攻擊者無法對網(wǎng)絡(luò)流量進行分析，推導(dǎo)其中的傳輸頻率、通信者身份、數(shù)據(jù)包大小、數(shù)據(jù)流標(biāo)識符等信息。

● 無連接完整性和抗重播 無連接完整性服務(wù)對單份數(shù)據(jù)包是否被修改進行檢查，而對數(shù)據(jù)包的到達順序不作要求。IPsec使用數(shù)據(jù)源認證機制實現(xiàn)無連接完整性服務(wù)。IPsec的抗重播服務(wù)，亦稱為部分序號完整性服務(wù)，是指防止攻擊者截取和復(fù)制IP包，然后發(fā)送到目的地。IPsec根據(jù)IPsec頭中的序號字段，使用滑動窗口原理，實現(xiàn)抗重播服務(wù)。

上面的服務(wù)都在IP層上實現(xiàn)。IPsec采用了以下兩個協(xié)議提供傳輸安全: AH和ESP。IP AH提供無連接完整性、數(shù)據(jù)源認證和可選的防重播服務(wù)。ESP協(xié)議可提供機密性和受限傳輸流機密性；還可提供無連接完整性、數(shù)據(jù)源認證和防重播服務(wù)。這些協(xié)議可單獨使用或組合使用，以提供所希望的安全服務(wù)。

IPsec允許用戶（或系統(tǒng)管理員）控制安全服務(wù)的粒度。如: 單個加密隧道用于兩個安全網(wǎng)關(guān)間所有的傳輸或在通過網(wǎng)關(guān)的兩臺主機間為每個TCP連接建立獨立的加密隧道。IPsec管理在下列方面體現(xiàn)了很大的靈活性：使用何種安全服務(wù)和何種組合; 給定的安全保護采用何種粒度;用于加密的算法。

由于這些安全服務(wù)使用共享的安全值（加密密鑰），因此IPsec必須依賴于一套獨立的密鑰管理機制。IPsec提供了一個基于公鑰體系的實現(xiàn)方法IKE，并要求支持手工和自動密鑰分發(fā)。在IPsec中采用了多種密碼技術(shù)。同時，也可以采用其他自動密鑰分發(fā)技術(shù)，如：基于KDC的系統(tǒng)（Kerberos）和其他公鑰系統(tǒng)。

IPsec較好地融合了加密技術(shù)和訪問控制技術(shù)，實現(xiàn)了在主機或安全網(wǎng)關(guān)環(huán)境中對IP傳輸?shù)谋Ｗo。這種保護或者基于安全策略數(shù)據(jù)庫（SPD）中定義的需求，或者基于由應(yīng)用定義的需求。通常，報文按SPD數(shù)據(jù)庫中匹配的情況，根據(jù)IP和傳輸層的頭信息選擇提供IPsec安全服務(wù)、丟棄或允許旁路（bypass），這是根據(jù)篩選器標(biāo)識的相應(yīng)數(shù)據(jù)庫策略來確定。

IPsec可以運行于網(wǎng)絡(luò)的任意一部分，它可以在路由器和防火墻之間、路由器和路由器之間、PC機和服務(wù)器之間、PC機和撥號訪問設(shè)備之間，為各種分布式應(yīng)用提供安全，可保證LAN、專用和公用WAN以及Internet的通信安全。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。