豆趣直播app官方正版下载 - 豆趣直播app大全下载最新版本免费安装软件

  新聞動(dòng)態(tài)  

致力為客戶提供最全面、最優(yōu)質(zhì)的支持服務(wù)

IPsec vpn和SSL VPN的詳解和一些對(duì)比!
2023-11-23 11:43:21?  來(lái)源:??  閱讀:
IPsec(InternetProtocolSecurity)是為IP網(wǎng)絡(luò)提供安全協(xié)議和服務(wù)的集合,是VPN(VirtualPrivateNetwork,一種常用于虛擬專用網(wǎng)絡(luò)的技術(shù)。IP數(shù)據(jù)包在公共網(wǎng)絡(luò)中傳輸,如Internet,可能面臨被偽造、竊取或篡改的風(fēng)險(xiǎn),因?yàn)镮P報(bào)文本身沒(méi)有集成任何安全特性。通信雙方通過(guò)IPsec建立IPsec隧道,IP數(shù)據(jù)包通過(guò)IPsec隧道進(jìn)行加密傳輸,有效保證了Internet等不安全網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)傳輸?shù)陌踩浴?

什么是IPsecVPN?
VPN(VirtualPrivateNetwork,虛擬專用網(wǎng))是一種在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱之為虛擬網(wǎng)絡(luò),主要是因?yàn)閂PN的兩個(gè)節(jié)點(diǎn)之間并沒(méi)有像傳統(tǒng)的特殊網(wǎng)絡(luò)那樣使用端到端的物理鏈接,而是構(gòu)建在Internet等公共網(wǎng)絡(luò)上的邏輯網(wǎng)絡(luò)。用戶數(shù)據(jù)通過(guò)邏輯鏈接傳輸。根據(jù)VPN協(xié)議,常見(jiàn)的VPN類型有:IPsec、SSL、GRE、PPTP和L2TP等。IPsec是一種通用性很強(qiáng)的VPN技術(shù),適用于各種網(wǎng)絡(luò)互訪場(chǎng)景。IPsecVPN是指利用IPsec實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù),通過(guò)在公共網(wǎng)絡(luò)上建立兩個(gè)或兩個(gè)以上私有網(wǎng)絡(luò)之間的IPsec隧道,并通過(guò)加密和驗(yàn)證算法確保VPN連接的安全。

IPsecVPN
IPsecVPN保護(hù)點(diǎn)對(duì)點(diǎn)之間的通信。通過(guò)IPsecVPN,可以在主機(jī)、主機(jī)、網(wǎng)絡(luò)安全網(wǎng)關(guān)之間或網(wǎng)絡(luò)安全網(wǎng)關(guān)之間建立安全隧道連接(如路由器、防火墻)。其協(xié)議主要工作在IP層,在IP層對(duì)數(shù)據(jù)包進(jìn)行加密和驗(yàn)證。IPsecVPN與其它VPN技術(shù)相比,安全性更高,數(shù)據(jù)在IPsec隧道中被加密傳輸,但是相應(yīng)的IPsecVPN在配置和組網(wǎng)部署上更加復(fù)雜。

IPsec是如何工作的?
IPsec的工作原理大致可分為四個(gè)階段:識(shí)別“感興趣流”。網(wǎng)絡(luò)設(shè)備收到報(bào)文后,通常會(huì)將報(bào)文的五元組等信息與IPsec策略相匹配,判斷報(bào)文是否要通過(guò)IPsec隧道傳輸。需要通過(guò)IPsec隧道傳輸?shù)牧髁客ǔ1环Q為“感興趣流”。協(xié)商安全聯(lián)盟(SecurityAssociation,以下簡(jiǎn)稱SA)。SA是通信雙方對(duì)某些協(xié)商要素的協(xié)議,如雙方使用的安全協(xié)議、數(shù)據(jù)傳輸?shù)陌b方式、協(xié)議使用的加密驗(yàn)證算法、數(shù)據(jù)傳輸?shù)拿荑€等。只有SA建立在通信雙方之間,才能進(jìn)行安全的數(shù)據(jù)傳輸。識(shí)別出感興趣流后,本端網(wǎng)絡(luò)設(shè)備會(huì)向?qū)Χ司W(wǎng)絡(luò)設(shè)備發(fā)起SA協(xié)商。在這一階段,通信雙方之間通過(guò)IKE協(xié)議先協(xié)商建立IKESA(用于身份驗(yàn)證和密鑰信息交換),然后在IKESA的基礎(chǔ)上協(xié)商建立IPsecSA(用于數(shù)據(jù)安全傳輸)。數(shù)據(jù)傳輸。IPsecSA建立成功后,雙方就可以通過(guò)IPsec隧道傳輸數(shù)據(jù)了。IPsec為了保證數(shù)據(jù)傳輸?shù)陌踩?,在這一階段需要通過(guò)AH或ESP協(xié)議對(duì)數(shù)據(jù)進(jìn)行加密和驗(yàn)證。加密機(jī)制保證了數(shù)據(jù)的機(jī)密性,防止數(shù)據(jù)在傳輸過(guò)程中被竊??;驗(yàn)證機(jī)制保證了數(shù)據(jù)的真實(shí)性和可靠性,防止了數(shù)據(jù)在傳輸過(guò)程中被模仿和篡改。如圖所示,IPsec發(fā)送方會(huì)使用加密算法和加密密鑰對(duì)報(bào)文進(jìn)行加密,即將原始數(shù)據(jù)“喬裝打扮”封裝起來(lái)。然后發(fā)送方和接收方分別通過(guò)相同的驗(yàn)證算法和驗(yàn)證密鑰對(duì)加密后的報(bào)文進(jìn)行處理得到完整性校驗(yàn)值ICV。如果兩端計(jì)算的ICV相同則表示該報(bào)文在傳輸過(guò)程中沒(méi)有被篡改,接收方對(duì)驗(yàn)證通過(guò)的報(bào)文進(jìn)行解密處理;如果ICV不相同則直接丟棄報(bào)文。IPsec加密驗(yàn)證過(guò)程,隧道拆除。通常,通信雙方之間的對(duì)話老化(連接斷開(kāi))意味著通信雙方的數(shù)據(jù)交換已經(jīng)完成。因此,為了節(jié)省系統(tǒng)資源,當(dāng)空閑時(shí)間達(dá)到一定值時(shí),通信雙方之間的隧道將自動(dòng)刪除。

IPsec的3個(gè)重要協(xié)議-IKE/AH/ESP
IKE(InternetKeyExchange,因特網(wǎng)密鑰交換),IKE協(xié)議是一種基于UDP的應(yīng)用層協(xié)議,它主要用于SA協(xié)商和密鑰管理。IKE協(xié)議分IKEv1和IKEv2兩個(gè)版本,IKEv2與IKEv1相比,修復(fù)了多處公認(rèn)的密碼學(xué)方面的安全漏洞,提高了安全性能,同時(shí)簡(jiǎn)化了安全聯(lián)盟的協(xié)商過(guò)程,提高了協(xié)商效率。IKE協(xié)議屬于一種混合型協(xié)議,它綜合了ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)、Oakley協(xié)議和SKEME協(xié)議這三個(gè)協(xié)議。其中,ISAKMP定義了IKESA的建立過(guò)程,Oakley和SKEME協(xié)議的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分發(fā)密鑰、驗(yàn)證身份,以保證數(shù)據(jù)傳輸?shù)陌踩?。IKESA和IPSecSA需要的加密密鑰和驗(yàn)證密鑰都是通過(guò)DH算法生成的,它還支持密鑰動(dòng)態(tài)刷新。

AH(AuthenticationHeader,認(rèn)證頭)

AH協(xié)議用來(lái)對(duì)IP報(bào)文進(jìn)行數(shù)據(jù)源認(rèn)證和完整性校驗(yàn),即用來(lái)保證傳輸?shù)腎P報(bào)文的來(lái)源可信和數(shù)據(jù)不被篡改,但它并不提供加密功能。AH協(xié)議在每個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP報(bào)文頭后面添加一個(gè)AH報(bào)文頭,AH協(xié)議對(duì)報(bào)文的完整性校驗(yàn)的范圍是整個(gè)IP報(bào)文。

ESP(EncapsulatingSecurityPayload,封裝安全載荷)
ESP協(xié)議除了對(duì)IP報(bào)文進(jìn)行數(shù)據(jù)源認(rèn)證和完整性校驗(yàn)以外,還能對(duì)數(shù)據(jù)進(jìn)行加密。ESP協(xié)議在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP報(bào)頭后方添加一個(gè)ESP報(bào)文頭,并在數(shù)據(jù)包后方追加一個(gè)ESP尾(ESPTrailer和ESPAuthdata)。ESP協(xié)議在傳輸模式下的數(shù)據(jù)完整性校驗(yàn)范圍不包括IP頭,因此它不能保證IP報(bào)文頭不被篡改。AH和ESP可以單獨(dú)使用,也可以同時(shí)使用。AH和ESP同時(shí)使用時(shí),報(bào)文會(huì)先進(jìn)行ESP封裝,再進(jìn)行AH封裝;IPsec解封裝時(shí),先進(jìn)行AH解封裝,再進(jìn)行ESP解封裝。

IPsec使用的端口
IPsec中IKE協(xié)議采用UDP500端口發(fā)起和響應(yīng)協(xié)商,因此為了使IKE協(xié)商報(bào)文順利通過(guò)網(wǎng)關(guān)設(shè)備,通常要在網(wǎng)關(guān)設(shè)備上配置安全策略放開(kāi)UDP500端口。另外,在IPsecNAT穿越場(chǎng)景下,還需要放開(kāi)UDP4500端口。而AH和ESP屬于網(wǎng)絡(luò)層協(xié)議,不涉及端口。為了使IPsec隧道能正常建立,通常還要在網(wǎng)關(guān)設(shè)備上配置安全策略放開(kāi)AH(IP協(xié)議號(hào)是51)和ESP(IP協(xié)議號(hào)是50)服務(wù)。

IPsecVPN和SSLVPN對(duì)比
IPsec和SSL是部署VPN時(shí)最常用的兩種技術(shù),它們都有加密和驗(yàn)證機(jī)制保證用戶遠(yuǎn)程接入的安全性。從以下幾個(gè)方面對(duì)IPsecVPN和SSLVPN進(jìn)行對(duì)比:OSI參考模型工作層級(jí)OSI定義了網(wǎng)絡(luò)互連的七層框架:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層。IPsec工作在網(wǎng)絡(luò)層,它直接運(yùn)行在IP(InternetProtocol,互聯(lián)網(wǎng)協(xié)議)之上。在應(yīng)用層中,SSL工作是一種應(yīng)用層協(xié)議,它對(duì)HTTP流量進(jìn)行加密,而不是對(duì)IP數(shù)據(jù)包進(jìn)行直接加密。

IPsec和SSL的工作層級(jí)
IPsecVPN的配置部署通常適用于SitetoSite(網(wǎng)站到網(wǎng)站)的組網(wǎng),要求網(wǎng)站分別部署VPN網(wǎng)關(guān)或遠(yuǎn)程用戶安裝專用VPN客戶端,因此配置部署的復(fù)雜性和維護(hù)成本都比較高。但SSLVPN通常適用于ClientoSite(客戶端到站點(diǎn))的組網(wǎng),只要求遠(yuǎn)程用戶使用支持SSL的標(biāo)準(zhǔn)瀏覽器安裝指定插件即可進(jìn)行訪問(wèn),通過(guò)數(shù)據(jù)中心部署VPN網(wǎng)關(guān)進(jìn)行集中管理和維護(hù),因此配置部署更簡(jiǎn)單,維護(hù)成本相對(duì)較低。


SSLVPN
安全性IPSec工作在網(wǎng)絡(luò)層,對(duì)站點(diǎn)間傳輸?shù)乃袛?shù)據(jù)進(jìn)行保護(hù)。IPSecVPN要求遠(yuǎn)程用戶安裝專用的VPN客戶端或在網(wǎng)站上部署VPN網(wǎng)關(guān)設(shè)備,用戶訪問(wèn)將受到用戶認(rèn)證規(guī)則、安全策略規(guī)則或內(nèi)容安全過(guò)濾方面的檢查,因此安全性較高。而SSLVPN不要求安裝專用客戶端或接入站點(diǎn)部署網(wǎng)關(guān)設(shè)備,更容易受到安全威脅的影響。訪問(wèn)控制IPsec工作在網(wǎng)絡(luò)層,不能基于應(yīng)用進(jìn)行細(xì)粒度的訪問(wèn)控制。而且SSLVPN在精細(xì)化訪問(wèn)控制方面更加靈活,網(wǎng)絡(luò)管理員可以根據(jù)不同的應(yīng)用類型將網(wǎng)絡(luò)資源劃分為不同的資源類型,每一類資源的訪問(wèn)權(quán)限都不一樣。

保存圖片,微信識(shí)別二維碼

微信號(hào):18565868778

(點(diǎn)擊微信號(hào)復(fù)制,添加好友)

  打開(kāi)微信