軟件水平考試網(wǎng)絡(luò)工程師復(fù)習(xí)指導(dǎo)：VPN技術(shù)概述(2)

2. ipsec（internet protocol security）
    ipsec是ietf（internet engineer task force）正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。ipsec由ip認(rèn)證頭ah（authentication header）、ip安全載荷封載esp（encapsulated security payload）和密鑰管理協(xié)議組成。
    ipsec協(xié)議是一個(gè)范圍廣泛、開(kāi)放的虛擬專用網(wǎng)安全協(xié)議。ipsec適應(yīng)向ip v6遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。ipsec用密碼技術(shù)從三個(gè)方面來(lái)保證數(shù)據(jù)的安全。即：
    ·認(rèn)證。用于對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別。
    ·完整性檢查。用于保證數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)傳輸時(shí)沒(méi)有被修改。
    ·加密。加密ip地址和數(shù)據(jù)以保證私有性。
    ipsec協(xié)議可以設(shè)置成在兩種模式下運(yùn)行：一種是隧道模式，一種是傳輸模式。在隧道模式下，ipsec把ip v4數(shù)據(jù)包封裝在安全的ip 幀中，這樣保護(hù)從一個(gè)防火墻到另一個(gè)防火墻時(shí)的安全性。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會(huì)隱藏路由信息。隧道模式是最安全的，但會(huì)帶來(lái)較大的系統(tǒng)開(kāi)銷。ipsec現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預(yù)計(jì)它今后將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。 ipsec有擴(kuò)展能力以適應(yīng)未來(lái)商業(yè)的需要。在1997年底，ietf安全工作組完成了ipsec的擴(kuò)展，在ipsec協(xié)議中加上isakmp （internet security association and key management protocol）協(xié)議，其中還包括一個(gè)密鑰分配協(xié)議oakley。isakmp/oakley支持自動(dòng)建立加密信道，密鑰的自動(dòng)安全分發(fā)和更新。ipsec也可用于連接其他層已存在的通信協(xié)議，如支持安全電子交易（set：secure electronic transaction）協(xié)議和ssl（secure socket layer）協(xié)議。即使不用set或ssl，ipsec都能提供認(rèn)證和加密手段以保證信息的傳輸。
    ●優(yōu)點(diǎn)：它定義了一套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。 ipsec支持一系列加密算法如des、三重des、idea。它檢查傳輸?shù)臄?shù)據(jù)包的完整性，以確保數(shù)據(jù)沒(méi)有被修改。ipsec用來(lái)在多個(gè)防火墻和服務(wù)器之間提供安全性。ipsec可確保運(yùn)行在tcp/ip協(xié)議上的*s之間的互操作性。
    ●缺點(diǎn)：ipsec在客戶機(jī)/服務(wù)器模式下實(shí)現(xiàn)有一些問(wèn)題，在實(shí)際應(yīng)用中，需要公鑰來(lái)完成。ipsec需要已知范圍的ip地址或固定范圍的ip地址，因此在動(dòng)態(tài)分配ip地址時(shí)不太適合于 ipsec。除了tcp/ip協(xié)議外，ipsec不支持其他協(xié)議。除了濾之外，它沒(méi)有指定其他訪問(wèn)控制方法?？赡芩娜秉c(diǎn)是微軟公司對(duì)ipsec 的支持不夠。
    ipsec最適合可信的lan到lan之間的虛擬專用網(wǎng)，即內(nèi)部網(wǎng)虛擬專用網(wǎng)。