IPSec VPN 基本原理IPSec VPN 是目前 VPN 技术中点击率非常高的一种技术,同时提供 VPN 和信息加密两项技术,这一期专栏就来介绍一下 IPSec VPN 的原理
IPSec VPN 应用场景 IPSec VPN 的应用场景分为 3 种:1
Site-to-Site(站点到站点或者网关到网关):如弯曲评论的 3 个机构分布在互联网的3 个不同的地方,各使用一个商务领航网关相互建立 VPN 隧道,企业内网(若干 PC)之间的数据通过这些网关建立的 IPSec 隧道实现安全互联
End—to-End(端到端或者 PC 到 PC): 两个 PC 之间的通信由两个 PC 之间的 IPSec会话保护,而不是网关
End-to—Site(端到站点或者 PC 到网关):两个 PC 之间的通信由网关和异地 PC 之间的 IPSec 进行保护
VPN 只是 IPSec 的一种应用方式,IPSec 其实是 IP Security 的简称,它的目的是为 IP 提供高安全性特性,VPN 则是在实现这种安全特性的方式下产生的解决方案
IPSec 是一个框架性架构,具体由两类协议组成:1
AH 协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH 常用摘要算法(单向 Hash 函数)MD5 和 SHA1 实现该特性
ESP 协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP 通常使用 DES、3DES、AES 等加密算法实现数据加密,使用 MD5 或 SHA1 来实现数据完整性
为何 AH 使用较少呢
因为 AH 无法提供数据加密,所有数据在传输时以明文传输,而ESP 提供数据加密;其次 AH 因为
