- Cisco IPSec VPN實戰指南
- 秦柯
- 393字
- 2019-11-22 20:30:49
第3章 IPSec基本理論
3.1 基本原理介紹
IPSec 是一項標準的安全技術,它通過在數據包中插入一個預定義頭部的方式,來保障OSI上層協議數據的安全。IPSec主要用于保護網絡層(IP)數據,因此它提供了網絡層的安全性。
圖3-1所示為IPSec封裝的示意圖。
圖3-1 IPSec封裝示意圖
圖3-1上半部分所示是一個普通的IP數據包,下半部分所示是被IPSec加密后的數據包格式。不難看出IPSec技術在原始IP頭部和IP負載之間插入了一個IPSec頭部,這樣可以對原始的IP負載實現加密,同時還可以實現對IPSec頭部和原始IP負載的驗證,以確保數據的完整性。
與我們在前一章中介紹的GRE技術相比,IPSec技術可以提供更多的安全特性,它對VPN流量提供了如下3個方面的保護。
私密性(Confidentiality):數據私密性也就是對數據進行加密。這樣一來,即使第三方能夠捕獲加密后的數據,也不能將其恢復成明文。
完整性(Integrity):完整性確保數據在傳輸過程中沒有被第三方篡改。
源認證(Authenticity):源認證也就是對發送數據包的源進行認證,確保是合法的源發送了此數據包。