ipsec有两种操作模式:传输模式和隧道模式。在传输模式下运行时,- -,源主机和目标主机必须直接执行所有加密操作,加密数据通过使用l2tp(第2层隧道协议)创建的单个隧道发送,数据(密文)由源主机创建,并由目标主机检索,这种操作模式建立了端到端的安全性。
在隧道模式下运行时,除源和目标主机外,特殊-还会执行加密处理。在这里,- -价格,许多隧道在-之间串联创建,建立了-到-的安全性。使用这些模式中的任何一种时,重要的是为所有-提供验证数据包是否真实的能力以及在两端验证数据包的能力,必须丢弃任何无效的数据包。
ipsec的一个重要部分是安全关联(sa),sa使用ah和esp中携带的spi编号来指示哪个sa用于数据包,还包括ip目标地址以指示端点:这可以是防火墙,- -公司,路由器或用户。
安全关联数据库(sad)用于存储所有使用的sa,sad使用安全策略来指示路由器应该对数据包执行的操作,三个例子包括完全丢弃数据包,- -,仅丢弃sa,或替换不同的sa。正在使用的所有安全策略都存储在安全策略数据库中。
ipsec对终端用户来说是透明的,因此无需对用户进行安全培训,同时也无需对用户发放或撤销密钥材料。
ipsec除了支持终端用户、保护系统和网络外,还在网络互联所需的路由结构中起着重要的作用。ipsec能-:路由通告(新路由器用于向外界通告自己)来自一个被授权的路由器;邻居通告(路由器用于建立或维护与其他路由域中路由器的邻居关系)来自一个授权的路由器;重新定向的消息来自于数据包上次到达的路由器;路由的更新。
|
登录后台
