軟件水平考試網絡工程師復習指導：VPN技術概述(2)

2. ipsec（internet protocol security）
    ipsec是ietf（internet engineer task force）正在完善的安全標準，它把幾種安全技術結合在一起形成一個較為完整的體系，受到了眾多廠商的關注和支持。通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。ipsec由ip認證頭ah（authentication header）、ip安全載荷封載esp（encapsulated security payload）和密鑰管理協議組成。
    ipsec協議是一個范圍廣泛、開放的虛擬專用網安全協議。ipsec適應向ip v6遷移，它提供所有在網絡層上的數據保護，提供透明的安全通信。ipsec用密碼技術從三個方面來保證數據的安全。即：
    ·認證。用于對主機和端點進行身份鑒別。
    ·完整性檢查。用于保證數據在通過網絡傳輸時沒有被修改。
    ·加密。加密ip地址和數據以保證私有性。
    ipsec協議可以設置成在兩種模式下運行：一種是隧道模式，一種是傳輸模式。在隧道模式下，ipsec把ip v4數據包封裝在安全的ip 幀中，這樣保護從一個防火墻到另一個防火墻時的安全性。在隧道模式下，信息封裝是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統開銷。ipsec現在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預計它今后將成為虛擬專用網的主要標準。 ipsec有擴展能力以適應未來商業(yè)的需要。在1997年底，ietf安全工作組完成了ipsec的擴展，在ipsec協議中加上isakmp （internet security association and key management protocol）協議，其中還包括一個密鑰分配協議oakley。isakmp/oakley支持自動建立加密信道，密鑰的自動安全分發(fā)和更新。ipsec也可用于連接其他層已存在的通信協議，如支持安全電子交易（set：secure electronic transaction）協議和ssl（secure socket layer）協議。即使不用set或ssl，ipsec都能提供認證和加密手段以保證信息的傳輸。
    ●優(yōu)點：它定義了一套用于認證、保護私有性和完整性的標準協議。 ipsec支持一系列加密算法如des、三重des、idea。它檢查傳輸的數據包的完整性，以確保數據沒有被修改。ipsec用來在多個防火墻和服務器之間提供安全性。ipsec可確保運行在tcp/ip協議上的*s之間的互操作性。
    ●缺點：ipsec在客戶機/服務器模式下實現有一些問題，在實際應用中，需要公鑰來完成。ipsec需要已知范圍的ip地址或固定范圍的ip地址，因此在動態(tài)分配ip地址時不太適合于 ipsec。除了tcp/ip協議外，ipsec不支持其他協議。除了濾之外，它沒有指定其他訪問控制方法?？赡芩娜秉c是微軟公司對ipsec 的支持不夠。
    ipsec最適合可信的lan到lan之間的虛擬專用網，即內部網虛擬專用網。