IPSec 是一種高健壯性、高擴(kuò)展性的安全機(jī)制，對(duì)數(shù)據(jù)的保護(hù)覆蓋面廣，包括機(jī)密性、完整性、身份驗(yàn)證、抗重播、反通信分析保護(hù)等。對(duì)希望獲取 IP 安全保護(hù)的協(xié)議沒(méi)有過(guò)多的要求。因此，IPSec 適用面非常廣泛，基本上對(duì)任何一種通信都適用。
 
（1） IPSec 可保護(hù)端到端安全

當(dāng) IPSec 存在于主機(jī)端時(shí)，IP 的數(shù)據(jù)包可以從數(shù)據(jù)發(fā)出源一直到數(shù)據(jù)接收點(diǎn)，獲得全程的安全保護(hù)。亦可以同時(shí)應(yīng)用傳送模式和隧道模式，不同之處在于隧道模式需要提供額外的 IP 頭，增加開(kāi)銷(xiāo)。

（2） 虛擬專用網(wǎng)絡(luò)

當(dāng)在一種網(wǎng)絡(luò)中介設(shè)備上利用 IPSec，例如路由器、防火墻、安全網(wǎng)關(guān)等，則會(huì)形成一個(gè)虛擬專用網(wǎng)絡(luò)。從傳統(tǒng)的專線網(wǎng)絡(luò)轉(zhuǎn)移到對(duì)公共網(wǎng)絡(luò)的利用，極大降低了運(yùn)營(yíng)成本，同時(shí)虛擬網(wǎng)絡(luò)也實(shí)現(xiàn)了對(duì)數(shù)據(jù)的保護(hù)。

通過(guò)在路由器或者安全網(wǎng)關(guān)上配置 IPSec，將兩個(gè)應(yīng)用 IPSec 的實(shí)體之間連接成一個(gè)安全隧道。虛擬網(wǎng)絡(luò)的所有數(shù)據(jù)都經(jīng)過(guò)兩端路由器的加密和認(rèn)證，所有的數(shù)據(jù)包都經(jīng)過(guò)路由器或者安全網(wǎng)關(guān)上的 SA。在這種情況下，竊聽(tīng)者唯一可以得到的信息就是正在使用的 SPI。但是由于 IKE 的加密，無(wú)法從 SPI 中得到通信內(nèi)容，保證了數(shù)據(jù)的安全。在虛擬網(wǎng)絡(luò)通信中，通信的源端或目的端都是受保護(hù)的網(wǎng)絡(luò)，所以必須應(yīng)用隧道模式。

（3）移動(dòng)終端用戶

在端到端用戶中，由主機(jī)通過(guò)加密或解密保護(hù)數(shù)據(jù)的安全。在虛擬網(wǎng)絡(luò)中，通過(guò)路由器或者安全網(wǎng)關(guān)對(duì)數(shù)據(jù)進(jìn)行保護(hù)。而移動(dòng)終端用戶正是兩者結(jié)合，在移動(dòng)用戶端采用主機(jī)實(shí)施，而在對(duì)端采用路由器或者安全網(wǎng)關(guān)實(shí)施。移動(dòng)用戶終端一般不固定停留，但同時(shí)要求能夠以安全的形式訪問(wèn)虛擬網(wǎng)絡(luò)。在移動(dòng)終端方案中，有移動(dòng)終端自帶的 IPSec 對(duì)數(shù)據(jù)進(jìn)行保護(hù)。受保護(hù)的范圍從兩個(gè)路由器之間擴(kuò)大到了一個(gè)路由器和一個(gè)對(duì)端主機(jī)之間。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。

 

更多相關(guān)內(nèi)容推薦：
IPsec是什么？簡(jiǎn)述IPsec在組網(wǎng)中的應(yīng)用（一）
IPsec是什么？簡(jiǎn)述IPsec在組網(wǎng)中的應(yīng)用（二）