• 生活小妙招免费各类生活中的小问题知识以及音乐简谱等,是你了解世界未知知识的好地方。
> 十万个为什么 > Ipsec的工作原理及优缺点有什么?

Ipsec的工作原理及优缺点有什么?

十万个为什么 空空 2024-4-11 20:32:19 8次浏览

关于问题Ipsec 的工作原理及优缺点有什么?一共有 1 位热心网友为你解答:

【1】、来自网友【田鑫网络】的最佳回答:

IPsec(IP 安全性)是一套协议,旨在确保 IP 网络上数据通信的完整性,机密性和身份验证。虽然 IPsec 标准的灵活性已引起商业市场的兴趣,但由于其复杂性,导致识别协议存在若干问题,与其他安全系统一样,维护不良很容易导致关键系统故障。IPsec 可用于三个不同的安全域:虚拟专用网络、应用程序级安全性和路由安全性。目前,IPsec 主要用于 VPN(虚拟专用网络),当在应用程序级安全性或路由安全性中使用时,IPsec 不是一个完整的解决方案,必须与其他安全措施结合才能发挥其有效作用。

IPsec 操作

IPsec 有两种操作模式:传输模式和隧道模式。在传输模式下运行时,源主机和目标主机必须直接执行所有加密操作,加密数据通过使用 L2TP(第 2 层隧道协议)创建的单个隧道发送,数据(密文)由源主机创建,并由目标主机检索,这种操作模式建立了端到端的安全性。在隧道模式下运行时,除源和目标主机外,特殊网关还会执行加密处理。在这里,许多隧道在网关之间串联创建,建立了网关到网关的安全性。使用这些模式中的任何一种时,重要的是为所有网关提供验证数据包是否真实的能力以及在两端验证数据包的能力,必须丢弃任何无效的数据包。

IPsec 中需要两种类型的数据包编码(DPE):身份验证标头(AH)和封装安全负载(ESP)DPE。这些编码为数据提供网络级安全性,AH 提供数据包的真实性和完整性,通过密钥散列函数(也称为 MAC(消息验证代码))可以进行验证,此标题还禁止非法修改,并可选择提供反重放安全性。AH 可以在多个主机,多个网关或多个主机和网关之间建立安全性,所有这些都实现了 AH ,ESP 标头提供加密,数据封装和数据机密性。通过对称密钥提供数据机密性。

IPsec 的一个重要部分是安全关联(SA),SA 使用 AH 和 ESP 中携带的 SPI 编号来指示哪个 SA 用于数据包,还包括 IP 目标地址以指示端点:这可以是防火墙,路由器或最终用户。安全关联数据库(SAD)用于存储所有使用的 SA,SAD 使用安全策略来指示路由器应该对数据包执行的操作,三个例子包括完全丢弃数据包,仅丢弃 SA,或替换不同的 SA。正在使用的所有安全策略都存储在安全策略数据库中。

IPsec 的缺点

在某些情况下,不可以进行直接的端到端通信(即传输模式)。举一个简单示例,其中 H1 和 H2 是一个直接隧道上的两个主机,H1 使用防火墙称为 FW1。在大型分布式系统或域间环境中,多样化的区域安全策略实施可能会给端到端通信带来严重的问题。在上面的示例中,假设 FW1 需要检查流量内容以进行入侵检测,并且在 FW1 设置策略以拒绝所有加密流量以强制执行其内容检查要求。然而,H1 和 H2 构建直接隧道而不了解防火墙及其策略规则的存在。因此,所有流量将被 FW1 丢弃,该场景显示每个策略满足其相应的要求,而所有策略一起可能导致冲突。

IPsec 最大的缺点之一是其复杂性,虽然 IPsec 的灵活性使其受欢迎,但它也导致了混乱,安全专家指出“IPsec 包含太多选项和太多的灵活性”。IPsec 的大部分灵活性和复杂性可能归因于 IPsec 是通过委员会流程开发的,由于委员会的政治性质,标准中经常添加额外的功能,选项和灵活性,以满足标准化机构的各个派系,这一过程与高级加密标准(AES)的开发中使用的标准化过程形成鲜明对比,后者是 1998 年到期的数据加密标准的替代。

将此与 NIST [国家标准与技术研究院]为 AES 的发展所采取的方法进行比较是有益的,而不是委员会,NIST 组织了一次竞赛,几个小组各自创建了自己的提案,并且在撰写本文时,已经有一个消除阶段,剩下的五个候选人中的任何一个都会比任何一个委员会做出的标准要好得多。此外,IPsec 的大部分文档都很复杂且令人困惑,没有提供概述或介绍,也没有确定 IPsec 的目标,用户必须组装这些部件并尝试理解可能被描述为难以阅读的文档。为了说明用户必须忍受的挫败感,请考虑 ISAKMP 规范,这些规范缺少关键解释,包含许多错误并且在不同位置自相矛盾。

然而,尽管 IPsec 可能并不完美,但与其他安全协议相比,它被认为是一项重大改进。例如,考虑流行的安全系统安全套接字层,虽然 SSL 广泛部署在各种应用程序中,但它本身就受到限制,因为它在传输/应用程序层上使用,需要修改任何想要包含使用 SSL 能力的应用程序。由于 IPsec 用于第 3 层,因此只需要对操作系统进行修改,而不是对使用 IPsec 的应用程序进行修改。

IPsec 是否过于复杂和令人困惑?

IPsec 包含所有最常用的安全服务,包括身份验证,完整性,机密性,加密和不可否认性。但是,IPsec 的主要缺点是其复杂性和相关文档的混乱性质,尽管存在各种缺点,但许多人认为 IPsec 是可用的最佳安全系统之一。希望在未来的 IPsec 修订版中能够证明可以得到相当大的改进,并且可以解决与架构相关的问题。

田鑫科技,专业的企业组网服务商,致力于为企业提供企业组网包括 SD-WAN、MPLS、IPsec、云互联、业务云化、数据中心、网络安全、行业 IT 解决方案等相关服务。

以上就是关于问题【Ipsec 的工作原理及优缺点有什么?】的全部回答,希望能对大家有所帮助,内容收集于网络仅供参考,如要实行请慎重,任何后果与本站无关!

喜欢 (0)