一 什么是VPN?
是使用加密与隧道技术在共有网络上形成的一个叠加的私有网络,从而保证:信息的私密性,数据的完整性,用户的可追溯性,反重放。(虚拟的私有网络)
二 IPsec 的构成:IKE (用来进行安全参数的协商) ESP (关于加密,验证及其他安全方法) AH (认证整个数据包并且不允许加密)
三 IPsec 的运行模式: 隧道模式 (用于保护两个安全网关之间的数据) 传输模式 (用于保护两台主机之间的数据)
四 IPsec 的五个步骤:
① 定义感兴趣的流量
②Ike 策略 (lke sa )
③ IP sec 策略 (IPsec SA )
④ IPsec 会话
⑤ 隧道终结
注:SA: 安全策略联盟 (定义如何加密的)是IPsec 的基础,也是IPsec的本质 单向的
SA :静态:手工配置 (手工方式建立的sa 永不老化)
动态:Ike 自动协商 (Ike 方式建立的具有生存时间)
SA : 两种方式的生存时间:
① 基于时间的生存时间,
② 基于流量的生存时间
SA :是ipsec 的对等体间对某些要素的约定。
IPsec 对等体:IPsec 在两端点之间提供安全通信,这端点被称为。。。
五 安全协议
① AH (IP协议号 51) 适用于非机密数据
② ESP (50) 数据加密的
六 AH 与 ESP 联合使用的方式:
先对报文进行ESP 封装,在对报文进行AH封装
认证算法:
① HMAC--MD5 (计算速度快)
②HMAC--SHA1 (安全度高)
加密算法:
① DES
② 3des
③ AFS
注:依次排下,速度快,安全性越来越高
七 IPsec
① 主模式:指定双方IP,报文交互6条(安全高),指定IP地址,协商慢
② 野蛮模式:必须NAT 交互报文3条(安全性低),指定名称,协商快