IPsec操作
IPsec中需要两种类型的数据包编码(DPE):身份验证标头(AH)和封装安全负载(ESP)DPE。这些编码为数据提供网络级安全性,AH提供数据包的真实性和完整性,通过密钥散列函数(也称为MAC(消息验证代码))可以进行验证,此标题还禁止修改,并可选择提供反重放安全性。
AH可以在多个主机,多个网关或多个主机和网关之间建立安全性,所有这些都实现了AH ,ESP标头提供加密,数据封装和数据机密性。通过对称密钥提供数据机密性。
IPsec操作
IPsec的一个重要部分是安全关联(SA),SA使用AH和ESP中携带的SPI编号来指示哪个SA用于数据包,还包括IP目标地址以指示端点:这可以是防火墙,路由器或用户。
安全关联数据库(SAD)用于存储所有使用的SA,SAD使用安全策略来指示路由器应该对数据包执行的操作,三个例子包括完全丢弃数据包,仅丢弃SA,或替换不同的SA。正在使用的所有安全策略都存储在安全策略数据库中。
IPSec安全网关的使用场合和作用
IPSec对终端用户来说是透明的,因此无需对用户进行安全培训,同时也无需对用户发放或撤销密钥材料。
IPSec除了支持终端用户、保护系统和网络外,还在网络互联所需的路由结构中起着重要的作用。IPSec能保证:路由通告(新路由器用于向外界通告自己)来自一个被授权的路由器;邻居通告(路由器用于建立或维护与其他路由域中路由器的邻居关系)来自一个授权的路由器;重新定向的消息来自于数据包上次到达的路由器;路由的更新。
以上信息由专业从事IPSec 网关供应的国泰网信于2024/5/5 7:13:43发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/bjgtwx-2747046774.html