《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —3.1.2 IPSec虚拟专用网络的原理

华章计算机 发表于 2019/11/14 12:14:47 2019/11/14
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第3章,第3.1.2节,作者是胥峰。

3.1.2 IPSec虚拟专用网络的原理

IPSec是一组基于IP协议的协议组。它使得两台或者多台主机之间通过认证和加密每个IP包以一个安全的方式进行通信。IPSec由以下协议组成。

封装的安全负荷(Encapsulated Security Payload,ESP):通过使用对称加密算法(比较常用的,如Blowfish和3DES)来加密通信内容,以防止被第三方窃听和干扰通信。

认证头部(Authentication Header,AH):通过计算校验和的方式来对通信双方的数据进行认证,防止被第三方篡改。

IP负荷压缩协议(IP Payload Compression Protocol,IPComp):通过压缩IP的负荷来减少数据通信量,提高性能。

IPSec虚拟专用网络有以下两种工作模式。

传输模式:仅IP数据负荷被加密,IP和路由信息不做修改。这个模式主要在两个服务器之间进行Host-to-Host加密通信时使用。

隧道模式:整个IP包都被加密。这个模式主要在不同网络之间构建Network-to-Network的虚拟专用网络时使用。

在Linux环境中,使用范围比较多的IPSec虚拟专用网络实现方案是strongSwan(官方网站:https://www.strongswan.org)和FreeS/WAN(官方网站:https://www.freeswan.org)。

IPSec也是大部分商业硬件防火墙或者路由器所支持的VPN构建协议。


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。