IPsec操作
IPsec的一个重要部分是安全关联(SA),SA使用AH和ESP中携带的SPI编号来指示哪个SA用于数据包,还包括IP目标地址以指示端点:这可以是防火墙,路由器或用户。
安全关联数据库(SAD)用于存储所有使用的SA,SAD使用安全策略来指示路由器应该对数据包执行的操作,三个例子包括完全丢弃数据包,仅丢弃SA,或替换不同的SA。正在使用的所有安全策略都存储在安全策略数据库中。
IPsec的缺点
在某些情况下,不可以进行直接的端到端通信(即传输模式)。举一个简单示例,其中H1和H2是一个直接隧道上的两个主机,H1使用防火墙称为FW1。
在大型分布式系统或域间环境中,多样化的区域安全策略实施可能会给端到端通信带来严重的问题。在上面的示例中,假设FW1需要检查流量内容以进行检测,并且在FW1设置策略以拒绝所有加密流量以强制执行其内容检查要求。
然而,H1和H2构建直接隧道而不了解防火墙及其策略规则的存在。因此,所有流量将被FW1丢弃,该场景显示每个策略满足其相应的要求,而所有策略一起可能导致冲突。
IPsec是否过于复杂和令人困惑?
IPsec包含所有常用的安全服务,包括身份验证,完整性,机密性,加密和不可否认性。但是,IPsec的主要缺点是其复杂性和相关文档的混乱性质,尽管存在各种缺点,但许多人认为IPsec是可用的安全系统之一。希望在未来的IPsec修订版中能够证明可以得到相当大的改进,并且可以解决与架构相关的问题。
以上信息由专业从事IPSec 网关报价的国泰网信于2024/5/5 9:38:37发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/bjgtwx-2747231000.html