IPsec(IP安全性)是一套協(xié)議，旨在確保IP網(wǎng)絡(luò)上數(shù)據(jù)通信的完整性，機密性和身份驗證。雖然IPsec標準的靈活性已引起商業(yè)市場的興趣，但由于其復雜性，導致識別協(xié)議存在若干問題，與其他安全系統(tǒng)一樣，維護不良很容易導致關(guān)鍵系統(tǒng)故障。IPsec可用于三個不同的安全域：虛擬專用網(wǎng)絡(luò)、應(yīng)用程序級安全性和路由安全性。目前，IPsec主要用于VPN（虛擬專用網(wǎng)絡(luò)），當在應(yīng)用程序級安全性或路由安全性中使用時，IPsec不是一個完整的解決方案，必須與其他安全措施結(jié)合才能發(fā)揮其有效作用。

IPsec操作
IPsec有兩種操作模式：傳輸模式和隧道模式。在傳輸模式下運行時，源主機和目標主機必須直接執(zhí)行所有加密操作，加密數(shù)據(jù)通過使用L2TP(第2層隧道協(xié)議)創(chuàng)建的單個隧道發(fā)送，數(shù)據(jù)(密文)由源主機創(chuàng)建，并由目標主機檢索，這種操作模式建立了端到端的安全性。在隧道模式下運行時，除源和目標主機外，特殊網(wǎng)關(guān)還會執(zhí)行加密處理。在這里，許多隧道在網(wǎng)關(guān)之間串聯(lián)創(chuàng)建，建立了網(wǎng)關(guān)到網(wǎng)關(guān)的安全性。使用這些模式中的任何一種時，重要的是為所有網(wǎng)關(guān)提供驗證數(shù)據(jù)包是否真實的能力以及在兩端驗證數(shù)據(jù)包的能力，必須丟棄任何無效的數(shù)據(jù)包。

IPsec中需要兩種類型的數(shù)據(jù)包編碼(DPE)：身份驗證標頭(AH)和封裝安全負載(ESP)DPE。這些編碼為數(shù)據(jù)提供網(wǎng)絡(luò)級安全性，AH提供數(shù)據(jù)包的真實性和完整性，通過密鑰散列函數(shù)(也稱為MAC(消息驗證代碼))可以進行驗證，此標題還禁止非法修改，并可選擇提供反重放安全性。AH可以在多個主機，多個網(wǎng)關(guān)或多個主機和網(wǎng)關(guān)之間建立安全性，所有這些都實現(xiàn)了AH ，ESP標頭提供加密，數(shù)據(jù)封裝和數(shù)據(jù)機密性。通過對稱密鑰提供數(shù)據(jù)機密性。
  IPsec的一個重要部分是安全關(guān)聯(lián)(SA)，SA使用AH和ESP中攜帶的SPI編號來指示哪個SA用于數(shù)據(jù)包，還包括IP目標地址以指示端點：這可以是防火墻，路由器或最終用戶。安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)用于存儲所有使用的SA，SAD使用安全策略來指示路由器應(yīng)該對數(shù)據(jù)包執(zhí)行的操作，三個例子包括完全丟棄數(shù)據(jù)包，僅丟棄SA，或替換不同的SA。正在使用的所有安全策略都存儲在安全策略數(shù)據(jù)庫中。

IPsec的缺點
在某些情況下，不可以進行直接的端到端通信(即傳輸模式)。舉一個簡單示例，其中H1和H2是一個直接隧道上的兩個主機，H1使用防火墻稱為FW1。在大型分布式系統(tǒng)或域間環(huán)境中，多樣化的區(qū)域安全策略實施可能會給端到端通信帶來嚴重的問題。在上面的示例中，假設(shè)FW1需要檢查流量內(nèi)容以進行入侵檢測，并且在FW1設(shè)置策略以拒絕所有加密流量以強制執(zhí)行其內(nèi)容檢查要求。然而，H1和H2構(gòu)建直接隧道而不了解防火墻及其策略規(guī)則的存在。因此，所有流量將被FW1丟棄，該場景顯示每個策略滿足其相應(yīng)的要求，而所有策略一起可能導致沖突。

IPsec最大的缺點之一是其復雜性，雖然IPsec的靈活性使其受歡迎，但它也導致了混亂，安全專家指出“IPsec包含太多選項和太多的靈活性”。IPsec的大部分靈活性和復雜性可能歸因于IPsec是通過委員會流程開發(fā)的，由于委員會的政治性質(zhì)，標準中經(jīng)常添加額外的功能，選項和靈活性，以滿足標準化機構(gòu)的各個派系，這一過程與高級加密標準(AES)的開發(fā)中使用的標準化過程形成鮮明對比，后者是1998年到期的數(shù)據(jù)加密標準的替代。

將此與NIST [國家標準與技術(shù)研究院]為AES的發(fā)展所采取的方法進行比較是有益的，而不是委員會，NIST組織了一次競賽，幾個小組各自創(chuàng)建了自己的提案，并且在撰寫本文時，已經(jīng)有一個消除階段，剩下的五個候選人中的任何一個都會比任何一個委員會做出的標準要好得多。此外，IPsec的大部分文檔都很復雜且令人困惑，沒有提供概述或介紹，也沒有確定IPsec的目標，用戶必須組裝這些部件并嘗試理解可能被描述為難以閱讀的文檔。為了說明用戶必須忍受的挫敗感，請考慮ISAKMP規(guī)范，這些規(guī)范缺少關(guān)鍵解釋，包含許多錯誤并且在不同位置自相矛盾。

然而，盡管IPsec可能并不完美，但與其他安全協(xié)議相比，它被認為是一項重大改進。例如，考慮流行的安全系統(tǒng)安全套接字層，雖然SSL廣泛部署在各種應(yīng)用程序中，但它本身就受到限制，因為它在傳輸/應(yīng)用程序?qū)由鲜褂茫枰薷娜魏蜗胍褂肧SL能力的應(yīng)用程序。由于IPsec用于第3層，因此只需要對操作系統(tǒng)進行修改，而不是對使用IPsec的應(yīng)用程序進行修改。

IPsec是否過于復雜和令人困惑?
IPsec包含所有最常用的安全服務(wù)，包括身份驗證，完整性，機密性，加密和不可否認性。但是，IPsec的主要缺點是其復雜性和相關(guān)文檔的混亂性質(zhì)，盡管存在各種缺點，但許多人認為IPsec是可用的最佳安全系統(tǒng)之一。希望在未來的IPsec修訂版中能夠證明可以得到相當大的改進，并且可以解決與架構(gòu)相關(guān)的問題。
 

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。

 

更多相關(guān)內(nèi)容推薦：
IPsec是什么？簡述IPsec在組網(wǎng)中的應(yīng)用（一）
IPsec是什么？簡述IPsec在組網(wǎng)中的應(yīng)用（二）
互聯(lián)網(wǎng)安全協(xié)議 IPSec 基于網(wǎng)絡(luò)的應(yīng)用方式