ipsec有兩種操作模式:傳輸模式和隧道模式。在傳輸模式下運行時,- -,源主機和目標(biāo)主機必須直接執(zhí)行所有加密操作,加密數(shù)據(jù)通過使用l2tp(第2層隧道協(xié)議)創(chuàng)建的單個隧道發(fā)送,數(shù)據(jù)(密文)由源主機創(chuàng)建,并由目標(biāo)主機檢索,這種操作模式建立了端到端的安全性。
在隧道模式下運行時,除源和目標(biāo)主機外,特殊-還會執(zhí)行加密處理。在這里,- -價格,許多隧道在-之間串聯(lián)創(chuàng)建,建立了-到-的安全性。使用這些模式中的任何一種時,重要的是為所有-提供驗證數(shù)據(jù)包是否真實的能力以及在兩端驗證數(shù)據(jù)包的能力,必須丟棄任何無效的數(shù)據(jù)包。
ipsec的一個重要部分是安全關(guān)聯(lián)(sa),sa使用ah和esp中攜帶的spi編號來指示哪個sa用于數(shù)據(jù)包,還包括ip目標(biāo)地址以指示端點:這可以是防火墻,- -公司,路由器或用戶。
安全關(guān)聯(lián)數(shù)據(jù)庫(sad)用于存儲所有使用的sa,sad使用安全策略來指示路由器應(yīng)該對數(shù)據(jù)包執(zhí)行的操作,三個例子包括完全丟棄數(shù)據(jù)包,- -,僅丟棄sa,或替換不同的sa。正在使用的所有安全策略都存儲在安全策略數(shù)據(jù)庫中。
ipsec對終端用戶來說是透明的,因此無需對用戶進行安全培訓(xùn),同時也無需對用戶發(fā)放或撤銷密鑰材料。
ipsec除了支持終端用戶、保護系統(tǒng)和網(wǎng)絡(luò)外,還在網(wǎng)絡(luò)互聯(lián)所需的路由結(jié)構(gòu)中起著重要的作用。ipsec能-:路由通告(新路由器用于向外界通告自己)來自一個被授權(quán)的路由器;鄰居通告(路由器用于建立或維護與其他路由域中路由器的鄰居關(guān)系)來自一個授權(quán)的路由器;重新定向的消息來自于數(shù)據(jù)包上次到達的路由器;路由的更新。
登錄后臺
