IPsec（互联网协议安全）VPN

IPSec是一种被广泛使用的协议，用于保障互联网通信的安全。在设置或优化网络安全时，你很可能会遇到IPSec。了解IPSec的工作原理对于确保数据的安全传输至关重要。

IPsec VPN协议定义

IPSec，即互联网协议安全，是一种用于加密数据的协议，从而确保数据在传输过程中能够保持安全性。在虚拟专用网络中，IPSec能够创建安全的隧道，从而确保数据的私密性和安全性。由于其强大的加密功能以及可靠的安全性特性，IPSec被广泛使用。

IPsec是如何工作的呢？

关于 IPSec，首先需要了解的是：它并非一种单一的协议。实际上，IPSec是由多个不同的组件构成的。这些组件共同发挥着一系列核心的安全功能。

• 主机识别
• 谈判
• 身份验证
• 加密
• 传输
• 解密
• 终止
  
  

顾名思义，IPSec在OSI模型的IP层上运行（即第三层）。这一特性非常有用，因为通过在第三层进行加密处理，企业可以在整个网络中实现VPN覆盖，而不仅仅是在单独的设备上实现。

用户通常是通过VPN客户端来访问IPSec VPN保护的。VPN客户端充当了安全网关的角色，它构成了通往目标地址的链路中的第一个环节。

IPSec VPN的运作过程分为五个阶段。每个阶段都为IPSec VPN的保护机制增加了新的功能，从而使用户能够安全地传输敏感数据，无论用户身处世界的哪个地方。

阶段1：主持人识别

在数据包进入 IPSec VPN 的安全网关之前，必须先对其进行识别和分析，以便进行后续传输。这里涉及到对宿主的识别过程。确定哪些数据包需要被加密。相关的数据段经过主机验证后，再根据当地的IPSec策略进行加密处理。

这个过程为数据包添加了重要的信息。各个载荷都被分配了新的编号。IP头部包含由两位主机共同同意的信息。

加密与认证头信息此外，还添加了加密头信息。这一加密头信息使得接收方在收到数据包时能够正确地解析其中的内容。而认证头信息则确保了每个数据包都是其所声称的那样，且其来源是合法的。

第二阶段：谈判

IPSec VPN过程的下一步是从起点到终点，打造一条安全可靠的路线。在数据开始传输之前，两个主机必须协商好传输的相关条款。两个主机都必须就控制数据传输的策略达成一致。这就为隧道协议的应用奠定了基础，从而使得IKEv2加密功能能够得以实现。

谈判可以是这两种方式中的一种。aggressive or 主要/核心通常情况下，谈判是以协商一致的方式进行的，双方都会花时间来协商达成一致的条款。而激进的谈判方式则是由发起方强制要求对方接受某些条款。不过，采用协商方式通常更为稳妥，因为所使用的政策都是经过双方共同协商后确定的。而激进的谈判方式则往往能更快地达成协议。

第三阶段：创建 IPSec 电路

IPSec VPN传输的下一个阶段是创建加密隧道，这一过程会遵循之前协商确定的条款。一旦基本条款得到确认后，两个主机就可以决定使用哪种加密算法了。

此时，主持人……交换加密密钥密钥是由一系列独特的字符组成的字符串，每个传输过程中都对应一个唯一的密钥。为了完成IPSec通信并解码数据，源主机和目的设备都必须知道这个密钥。

在这一阶段，还会交换加密后的随机数。这些独特的数字代码用于验证转账过程，从而确保转账能够顺利进行且保持安全性。

当相关的密钥被交换之后，VPN隧道就可以使用了。各主机能够了解正在传输的数据、数据的格式以及所使用的加密方式。在数据的传输过程中，数据应该始终受到有效的保护，不会被外部人员窃取。

阶段4：传播

现在，数据传输可以正常进行。IPSec VPN会通过加密的隧道来传输数据。之前约定的加密策略使得数据可以根据需要进行加密和解密处理。

大多数数据传输方式都使用传输控制协议（TCP）来发送数据。而IPSec则采用用户数据报协议（UDP）作为数据传输的协议。这样一来，IPSec传输的数据就能顺利地通过防火墙了。

阶段5：终止会话

一旦传输完成，IPSec VPN会话就必须被终止。双方已经就这一点达成了共识。数据或时间限制在传输之前，以及当达到这个限制时，会话就会结束。此时，所有的加密密钥都会被立即销毁，从而最大限度地降低伪造攻击的风险。

IPsec VPN的端口有哪些呢？

VPN协议使用不同的端口来进行数据传输。在IPSec的情况下，默认的端口为：UDP/500和UDP/4500。通常，IPSec会使用UDP/500来创建IKEv2加密隧道。如果目标主机位于网络地址转换（NAT）设备之后，那么就会使用UDP/4500来进行通信。

IPsec是用来做什么的？

IPSec协议起源于20世纪90年代，最初是一种用于数据传输的通用工具。当时，各公司需要一种能够安全地在互联网上传输数据的方法。IPSec为这个问题提供了解决方案。从那时起，IPSec一直保持着开放性的协议特性，因此可以继续得到不断的改进和更新。由于其开放性，IPSec至今仍然被广泛用于虚拟私有网络服务中。

VPNs是在公共网络之上创建的虚拟网络。这些虚拟网络能够路由加密后的流量，并通过IP屏蔽技术来隐藏数据，从而保护数据不被外部人员获取。因此，VPNs是现代网络安全管理中的关键组成部分。

作为一种VPN协议，IPSec具有许多实际应用价值。它可以帮助用户绕过地理封锁，避免受到监控。不过，VPN最著名的用途就是用于实现远程访问。在远程用户与中央服务器之间建立安全连接.

那些依赖远程工作或现场员工工作的企业，可以构建具有强大加密功能的远程网络。通过IPSec VPN技术，远程用户可以在任何地点发送和接收数据，同时数据丢失或被截获的风险也很低。此外，企业还可以将IPSec VPN技术整合到防火墙系统中，从而为卧室、机场候机室或咖啡店等场所的网络设备提供安全的网络安全保护。

主要的IPsec VPN协议

协议是一组规则或标准，它们使得各种设备能够相互通信。IPSec本身通常被描述为一种VPN隧道协议。但实际上，这项技术包含了一系列的协议。例如，重要的IPSec VPN协议包括以下几个要素：

认证头（Authentication Header, AH）

Authentication Header协议用于验证数据的安全性，确保数据的完整性，并通过防止数据被重复传输的方式来保护数据。

AH会生成一个名为MD5的消息认证码。这个认证码或校验和是为每一个通过IPSec VPN传输的数据包而生成的。能够检测传输过程中数据包发生的任何变化。确保在此过程中不会发生任何修改。

IPSec算法还包括共享密钥，AH利用这些共享密钥来验证每个数据包的合法性。这样就能确保数据确实属于IPSec传输链中的某个数据包，从而可以安全地传输数据。

最后，AH还增加了一些内容。序列号字段这些数据包的头部信息会被记录下来。这样一来，就形成了一个与特定时间点相关联的一次性传输标识。如果后续传输的数据包的顺序发生混乱，那么就可以检测到重复传输或伪造攻击的行为。

这三个组成部分的最终结果就是从一端到另一端，都能提供有效的载荷保护。数据应保持其原始状态，任何外部干预都应该是不可能发生的，或者至少极其困难。

AH是通常用于IPSec VPN传输模式中。在这种模式下，AH负责对IP数据报进行认证，而数据包内的数据仍然保持加密状态。不过，外部攻击者仍然可以在数据包传输过程中获取有关该数据包的信息。

封装安全载荷（Encapsulated Security Payload）

ESP的功能与AH类似，但有一个关键的区别。ESP能够对负载和IP头部进行加密处理。同时，它还提供了回放保护、身份验证以及数据完整性方面的功能。

当用户通过ESP传输数据时，解密过程会在数据包到达目的地后进行。目标主机会确认数据包的真实性，确保数据未被篡改，然后使用共享密钥来解密数据。

ESP是通常用于IPSec隧道模式下。这种方式虽然更安全，但也需要大量的数据来处理。在这种IPSec模式下，数据包会被附加一个额外的IP头部。头部中的信息与数据包内部的IP信息无关。实际上，数据包中的IP数据会与数据本身一起被隐藏起来。关于数据的来源和性质的敏感信息，对于外部人员来说是不可见的。

互联网安全关联与密钥管理协议（ISAKMP）

ISAKMP是一种加密协议。管理安全密钥它能够在那些共享密钥的实体之间建立连接。不过，它并不对数据进行加密处理。相反，ISAKMP为诸如IKE这样的协议提供了运行的条件。（详见下文）

ISAKMP配置定义了允许通过的交换路径以及通过IPSec隧道传输的数据内容。主机之间这种关系被称为……安全关联（Security Association, SA）.

如前所述，SA的构建过程分为两个阶段。第一阶段，主机决定如何建立连接以及用于保护数据的相关策略。当这些步骤完成后，ISAKMP会引入ESP来处理数据加密工作，而AH则负责实施IP认证功能。

IKE

Internet Key Exchange (IKE) 在 IPSec VPN 过程中与 ISAKMP 协同工作。IKE 负责在主机之间建立安全的密钥交换机制，从而确保数据能够在虚拟私有网络隧道中安全地从一端传输到另一端。为了实现这一点，IKE 必须生成安全的密钥。这些密钥被用于对数据进行加密，同时也在数据的传输过程中用于解密数据。

IPsec的优缺点

IPSec VPN技术非常受那些寻求数字隐私保护的公司和个人的欢迎。不过，IPSec协议是在20世纪90年代开发的，从那时起就一直面临着来自竞争对手的挑战。因此，了解这种技术的优缺点就显得非常重要了。

采用IPSec VPN保护的优势

• 极高的安全级别如果用户能够正确地使用 IPSec，那么该协议在安全性方面有着良好的表现。内置的认证系统与IKE加密技术相结合，能够有效保护数据。不过，用户可以选择使用哪种加密标准。并非所有的加密系统都是绝对安全的，而配置不当的IPSec VPN则可能会面临安全风险。
• 应用程序的透明度IPSec作为一种在网络层上的安全解决方案，可以轻松地应用于几乎任何应用程序中。通过采用SSL等替代方案来加密数据通道，可能会导致兼容性问题以及复杂的解决方案。而IPSec则更容易实施，同时还能提供类似的网络安全优势。
• 实施起来非常容易，出错率也很低。IPSec能够自动覆盖所有的网络流量。与基于SSL的VPN技术不同，用户无需对应用程序进行任何修改。用户只需在操作系统中进行一些简单的设置，然后就可以正常使用VPN保护功能了。
  
  

这些优势充分证明了使用 IPSec VPN的合理性。不过，我们也需要权衡这种协议可能带来的缺点。

IPSec的缺点

• 数据使用量IPSec可以加密所有传输的数据，并采用严格的身份验证机制。不过，这两种操作都会占用网络带宽，从而增加数据使用量。因此，对于需要处理大量小型数据包的网络来说，IPSec并不是一个理想的选择。在这种情况下，基于SSL的VPN可能更为合适。
• 可能会具有欺骗性当正确配置IP数据包的加密功能时，IPSec能够提供出色的安全性。不过，在某些情况下，这可能会成为一个问题。例如，IPSec的配置可能没有包含ESP协议。无论是出于故意还是无意，如果没有ESP提供的加密功能，管理者可能就不会意识到数据存在风险。
• 已知的安全问题虽然 IPSec 提供了可靠的加密和身份验证功能，但它也存在一些众所周知的安全漏洞。首先，用户必须严格控制密钥的交换过程。加密密钥必须保持机密性，并受到外部人员的保护。其次，IPSec 的访问范围非常广泛。这可能会导致用户有过多的权限来访问网络资源，从而可能引发网络攻击。
• 复杂性IPSec的实施方式相对简单，但实际使用起来却可能相当复杂。该协议包含多个相互关联的部分，这些部分共同实现了不同的功能。在创建加密隧道的过程中，还需要经过多个步骤，包括数据的认证、加密以及监控等过程。由于存在隧道模式和传输模式这两种方式，因此会带来额外的复杂性，这可能会使得找到合适的配置方案变得困难。

IPsec模式：隧道模式与传输模式

在部署IPSec VPN技术之前，了解这两种IPSec模式之间的区别是非常重要的。每种模式都有其特定的用途，同时每种模式也都有各自的优缺点。

隧道模式

隧道模式是IPSec的主要传输方式。在这种模式下，ESP会在加密后的数据上添加IP头部信息。整个数据包会被包裹在一个额外的IP头部中，然后沿着VPN隧道被传输到目的地。

在IPSec隧道模式下，该过程的双方都必须配置有网关，以便对IPSec数据包进行解包和解密操作。这个网关可以是专业的VPN路由器。不过，它也可以是一个连接到远程网络的VPN客户端。

为什么隧道模式如此有用呢？当数据通过IPSec VPN以隧道模式传输时，整个数据包都会被加密。IP网络数据包的加密功能使得其内部的IP头部信息无法被外部观察者看到。因此，数据在遭受网络攻击时的脆弱性大大降低。

添加额外的IP头部信息，还可以根据需要在需要时更改路由信息。通过添加这个额外的头部信息，VPN服务能够更轻松地通过服务器来路由数据，同时还能对IP信息进行匿名处理。此外，这种方法在穿越防火墙时也非常有用，因为在这种环境下，IPSec传输模式可能会遇到一些困难。