使用IPsec加密数据.pdfVIP

维普资讯 室全 …～ 使用IPsec加密数据 作者 ／RussellSmith 译者 ／刘海蜀 IPs j一定了解。本文在为大家介绍了IPsec的基本概念和原理之后，通过一个只包含两个服务器的应用场景深入 i浅出地讨论了IPsec策略的创建和配置。 L ————————————————— ————————————— — — — — 虽然数据加密功能是IPsec技术所提供的诸多特性中最 性，以及在数据传输过程中无法被各种网络流量监控工具 为大家所知的一个，但是不要忽略了它的数据验证和其它 所捕获。但是该数据加密是可选功能：根据需要 lPsec可 功能仍然能够在构建保护业务数据的深层次防御系统中占有 以使用数字签名验证数据包，而对数据负载不进行加密。 一 席之地 。我们常常会发现对于很多企业 的系统管理员而 IPsec不依赖于用户的身份验证而是使用机器验证来保 言 ，最初从 内心深处对lPsec技术都是有所顾虑的，因为 证网络中只有被信任的主机才能进行通讯。由于 IPsec是一 在决定部署之前他们需要对该技术的各个方面、对现有协 个位于网络第三层的安全协议，因此它的运行对用户和应 议和应用程序可能造成的影响都要通盘考虑。因此，我们 用程序而言是透 明的。应用程序无需对 IPsec将使用的加密 不妨从理解该技术的原理开始。本文将首先为大家介绍 和验证做任何修改。并且 IPsec还能够通过设置特定端口或 lPsec技术的特性和一些术语，然后会举例说明在一个只拥 者通讯协议 的限制 ，保护主机免遭企业局域 网内可信赖伙 有两台服务器的简单网络环境中如何配置lPsec。 伴发起的可能的攻击。 Ipsec及其功能 IPsec基础 IPsec实际上就是一个工作于开放式系统互联参考模型 在我们开始动手配置一个仅包含两台服务器 的简单应用 0S1第三层 (也就是网络层 )的安全协议，它为网络中传 场景之前，我将首先为大家介绍 1Psec。我们将了解 1Psec 输的数据报提供了强大的数据加密、验证和数据完整性的 的头部和模式：然后 1Psec过滤器列表、动作和规则；接 功能。lPsec具有 以下 四个主要功能： 着验证、加密、安全联盟 (SecurityAssociations，SAs) 数据源验证。数据源验证功能保证了主机系统收到的 和流量监视 。 数据包的确来 自一个可信任的伙伴。它能够被用于防止诸 IPsec头部。验证头部 (Authenticatj0nHeader，AH) 如 ”第三人 ”方式的攻击，保证了你在 网络中部署的主 提供了为lP数据包进行数字签名 的功 能，保证了数据包 机是可信赖 的。 (包括 lP头部和数据 )在传输过程中免遭修改和提供了拒 保证数据包在传输过程中没有被修改。当网络中的主 绝重发包的保护。但是数据包中的数据并没有经过加密。 机收到数据包，它如何才能判断该数据包是否被修改过? 若采用封装安全负载 (EncapsulatingSecurityPayload， IPsec技术的应用将能够保证数据包不被修改，从而实现数 ESP)头部则提供 了额外的数据加密保护。 据在传