IPsec运行模式

2020-10-20 17:36:39 云杰 107

 

IPsec运行模式

 Internet协议安全性(IPsec)是传统的VPN方法。IPsec要求用户设备上的第三方客户端软件访问VPN,公司需要购买客户端软件,将其安装在每个用户的计算机上,保持其更新,有时还需要付费以维护其许可证。

 IPsec以两种模式运行:隧道和传输。

 1.IPsec传输模式

 传输模式下的IPsec运行对两个端点之间的流量进行加密具有一个重要的优点:对任何第7层协议进行加密,并且该协议不必知道任何有关加密的信息。这是因为IPsec在第3层(网络堆栈中的较低级别)上运行。

 ①第7层协议不必知道任何有关身份验证和加密的信息即可使用。

 ②它将自动对任何协议起作用,无论它是否预期。

 在两点之间建立IPsec传输链接,限制telnet守护程序仅响应通过安全IPsec传输到达的流量,并且telnet流量是完全安全的。从平常的ping到SIP流量,所有内容都经过加密。您可以在通常不会使用公共IP运行的各种协议上分层,这些包括在协议上分层,例如IP-in-IP或通用路由封装(GRE)隧道。与在隧道模式下使用IPsec处理路由相比,特别是GRE隧道更容易配置和扩展。

 2.IPsec隧道模式

 隧道模式通过接受来自具有原始头的内部网络的IP数据包,对整个数据包进行加密,然后将其封装在另一个数据包中来实现此目的。生成数据包的哈希值以确保其到达时的真实性。该新数据包包含其内部原始数据,并与哈希一起加密作为有效负载。

 使用封装安全有效载荷协议(ESP)创建此最终数据包。ESP在网络堆栈的第4层运行,因此与TCP和UDP等协议处于同一级别。了解这一点很重要,因为两个端点之间的数据包不使用TCP,UDP,ICMP或类似的东西。该打包的数据包通过公共和/或敌对网络转发到另一个端点。收到后,将其内的封装数据包提取,解密,进行有效性验证,然后根据原始数据包的IP标头和设备的路由策略进行转发。