Cisco IPSec VPN实战指南
上QQ阅读APP看书,第一时间看更新

第3章 IPSec基本理论

3.1 基本原理介绍

IPSec 是一项标准的安全技术,它通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全。IPSec主要用于保护网络层(IP)数据,因此它提供了网络层的安全性。

图3-1所示为IPSec封装的示意图。

图3-1 IPSec封装示意图

图3-1上半部分所示是一个普通的IP数据包,下半部分所示是被IPSec加密后的数据包格式。不难看出IPSec技术在原始IP头部和IP负载之间插入了一个IPSec头部,这样可以对原始的IP负载实现加密,同时还可以实现对IPSec头部和原始IP负载的验证,以确保数据的完整性。

与我们在前一章中介绍的GRE技术相比,IPSec技术可以提供更多的安全特性,它对VPN流量提供了如下3个方面的保护。

私密性(Confidentiality):数据私密性也就是对数据进行加密。这样一来,即使第三方能够捕获加密后的数据,也不能将其恢复成明文。

完整性(Integrity):完整性确保数据在传输过程中没有被第三方篡改。

源认证(Authenticity):源认证也就是对发送数据包的源进行认证,确保是合法的源发送了此数据包。