认识
在企业分支(总部与分部)间,经常有互联的需求,企业互联的方式很多,可以使用专线线路或者 Internet 线路。从成本和需求出发,部分企业会选择使用 Internet 线路进行互联,但是使用 Internet 线路存在安全风险,传统的 TCP/IP 协议缺乏有效的安全认证和保密机制。企业对网络安全性的需求日益提升,如何保障数据在传输时不会被窃取?
IPSec(Internet Protocol Security),是 IETF 定义的一个协议组(RFC 1825),是一系列安全协议,作为一种开放标准的安全框架结构,其能够用来保证 IP Packet 在网络上传输时的机密性、完整性、防重放;
补充说明:IPSec VPN,仅是 IPSec 的应用案例,在 IPv6 也能使用 IPSec 实现贴身安全(OSPFv3 也能使用相关技术)。鉴于我们选择的技术方向,我们将从 IPSec VPN 的视角来学习 IPSec 技术;
组成
IPSec
该技术通过将数据报文加密传输,达到保障企业互联安全性的目的。它为端到端 IP 报文交互提供基于密码学的、可互操作的、高质量的安全保护机制。通过对数据加密、认证,IPsec 使得数据能够在 Internet 网络上安全的传输。
IPSec VPN
IPSec 是种架构,而非具体协议,通过多种协议报文(AH、ESP、IKE、……)来共同实现 IPSec VPN 技术;
性质
通过加密与验证等方式,实现:
1)真实性(Data Authentication):接收方验证发送方身份是否合法;
2)机密性(Confidentiality):发送方对数据进行加密保护,用密文的形式在互联网中传送数据。接收方将接收加密数据,并进行解密后处理或直接转发;
3)完整性(Data Integrity):指对接收的数据进行认证,以判定报文是否被篡改;
4)防重放(Anti-replay):指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击;
应用
在 Internet 中,IPsec VPN 更多的应用。
现在(04/20/2025)IKEv2/IPSec 仍然是企业级 VPN 的可靠选择,尤其在移动场景。但是,IKEv2/IPSec VPN 通常今天添加一个网段。
通过加密模式,保护主机间的通信
主机之间通过互联网进行数据传输,需要加密时,加解密操作在主机侧完成;
在某些场景中,例如服务器放在 DMZ 区域,防火墙配置 NAT server,也可以实现;
通过加密模式,保护其他网络协议
在现网中,IPsec VPN 技术可以和多种 VPN 技术结合使用,使得企业互联更加灵活安全:
1)分支站点互联多使用 GRE Over IPsec 技术:IPsec 技术保障数据安全传输;GRE 实现企业内网互联;
2)L2TP over IPSec:数据报文先进行 L2TP 封装,再进行 IPSec 封装;
通过隧道模式,实现站点内网互通
IPSec 不但能加密数据(加密模式),还能作为隧道(隧道模式)实现两个内网互通;
通常,将 IPSec VPN 部署在企业出口设备间(网关与网关(site-to-site)),在总部与分支间建立 IPSec 隧道,从而实现局域网之间互通。企业远程分支机构通过使用 IPSec VPN 建立安全传输通道,接入到企业总部网络;
该应用场景也叫 点到点 IPSec VPN 或 点到多点 IPSec VPN;
点对点:
1)两个网络的公网 IP 地址固定不变,且两个网络之间要互相访问,可建立 IKE 协商的点到点方式的 IPSec 隧道,使两个网络中的设备都可以主动发起连接;
点对多点:
1)在实际的应用中,经常需要使用 HUB-Spoke 类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的 IPSec 隧道,各个分支机构之间的通信由总部节点转发和控制。这样的应用场景,为点对多点的 IPSec 应用场景;
2)点到点与点到多点应用场景的配置比较类似,各分支机构的配置大致相同,他们的对端设备都应该为总部的防火墙;
参考
IPsec – Wikipedia
http://www.unixwiz.net/techtips/iguide-ipsec.html
我对 ipsec 的感觉