《Linux系统安全：纵深防御、安全扫描与入侵检测 》 —3.1.2　IPSec虚拟专用网络的原理

3.1.2　IPSec虚拟专用网络的原理

IPSec是一组基于IP协议的协议组。它使得两台或者多台主机之间通过认证和加密每个IP包以一个安全的方式进行通信。IPSec由以下协议组成。

封装的安全负荷（Encapsulated Security Payload，ESP）：通过使用对称加密算法（比较常用的，如Blowfish和3DES）来加密通信内容，以防止被第三方窃听和干扰通信。

认证头部（Authentication Header，AH）：通过计算校验和的方式来对通信双方的数据进行认证，防止被第三方篡改。

IP负荷压缩协议（IP Payload Compression Protocol，IPComp）：通过压缩IP的负荷来减少数据通信量，提高性能。

IPSec虚拟专用网络有以下两种工作模式。

传输模式：仅IP数据负荷被加密，IP和路由信息不做修改。这个模式主要在两个服务器之间进行Host-to-Host加密通信时使用。

隧道模式：整个IP包都被加密。这个模式主要在不同网络之间构建Network-to-Network的虚拟专用网络时使用。

在Linux环境中，使用范围比较多的IPSec虚拟专用网络实现方案是strongSwan（官方网站：https://www.strongswan.org）和FreeS/WAN（官方网站：https://www.freeswan.org）。

IPSec也是大部分商业硬件防火墙或者路由器所支持的VPN构建协议。