什么是 IPsec?
IPSec 是一组用于在网络上建立安全连接的通信规则或协议。互联网协议(IP)是确定数据如何通过互联网传输的通用标准。IPSec 在此基础上融入加密和身份验证,使此协议更加安全。例如,它在来源处对数据进行置乱处理,在目的地处将其还原。它还会验证数据的来源。
为什么 IPSec 很重要?
Internet 工程任务组在 1990 年代开发了 IPSec,以确保在访问公共网络时数据的机密性、完整性和真实性。例如,用户通过 IPSec 虚拟专用网络(VPN)连接到 Internet 以远程访问公司文件。IPSec 协议对敏感信息进行加密以防止不必要的监视。服务器还可以验证接收到的数据包是否获得授权。
IPSec 的作用?
IPsec 可用于执行以下操作:
- 通过公共互联网发送数据时提供路由器安全性。
- 加密应用程序数据。
- 如果数据来自已知发件人,则快速验证数据。
- 通过设置称为 IPsec 隧道的加密回路来保护网络数据,该回路将对两个端点之间发送的所有数据进行加密。
组织使用 IPSec 来防止重放攻击。重放攻击或中间人攻击是通过将数据路由到中间计算机来拦截和更改正在进行的传输的行为。IPSec 协议为每个数据包分配一个序列号,并执行检查以检测重复数据包的迹象。
什么是 IPSec 加密?
IPSec 加密是一种软件功能,可对数据进行加密以保护其内容免受未经授权的各方的侵害。数据由加密密钥加密,需要解密密钥来解密信息。IPSec 支持各种类型的加密,包括 AES、Blowfish、Triple DES、ChaCha 和 DES-CBC。
IPSec 使用非对称和对称加密在数据传输过程中提供速度和安全性。在非对称加密中,加密密钥是公开的,而解密密钥是保密的。对称加密使用相同的公钥来加密和解密数据。IPSec 通过非对称加密建立安全连接,然后切换到对称加密以加快数据传输。
IPSec 的工作原理?
计算机通过以下步骤与 IPSec 协议交换数据。
- 发件人计算机通过验证其安全策略来确定数据传输是否需要 IPSec 保护。如果是,计算机将启动与接收计算机的安全 IPSec 传输。
- 两台计算机就建立安全连接的要求进行协商。这包括相互同意加密、身份验证和其他安全关联(SA)参数。
- 计算机将发送和接收加密数据,验证它来自受信任的来源。它会执行检查以确保基础内容是可靠的。
- 一旦传输完成或会话超时,计算机将结束 IPSec 连接。
什么是 IPSec 协议?
IPSec 协议可以安全地发送数据包。数据包是一种特定的结构,它为网络传输格式化和准备信息。它由标头、有效负载和尾部组成。
- 标头是前面的部分,包含用于将数据包路由到正确目的地的说明信息。
- 有效负载是描述数据包中包含的实际信息的术语。
- 尾部是附加到有效载荷尾部的附加数据,用于指示数据包的结束。
下面给出了一些 IPSec 协议。
身份验证标头(AH)
认证标头(AH)协议会添加一个包含发送者认证数据的标头,并保护数据包内容不被未授权方修改。它会在可能对原始数据包进行了操作时向接收者发送警告。接收数据包时,计算机会将来自有效负载的加密哈希计算与标头进行比较,以确保两个值匹配。加密哈希是一种数学函数,可将数据汇总为唯一值。
封装安全有效载荷(ESP)
根据所选的 IPSec 模式,封装安全有效负载(ESP)协议将对整个 IP 数据包或仅对负载进行加密。ESP 会在加密时为数据包添加标头和尾部。
Internet 密钥交换(IKE)
Internet 密钥交换(IKE)是基于 Internet,在两个设备之间建立安全连接的协议。两种设备都设置了安全关联(SA),其中涉及协商加密密钥和算法以传输和接收后续数据包。
什么是 IPSec 模式?
IPSec 以两种不同的模式运行,两者的保护程度不同。
隧道
IPSec 隧道模式适用于在公共网络上传输数据,因为它增强了对未经授权方的数据保护。计算机将对所有数据(包括有效负载和标头)加密,并向其附加一个新标头。
传输
IPSec 传输模式仅加密数据包的有效负载,并将 IP 标头保留为原始形式。未加密的数据包标头允许路由器识别每个数据包的目标地址。因此,IPSec 传输用于紧密且受信任的网络中,例如保护两台计算机之间的直接连接。
什么是 IPSec VPN?
VPN,即虚拟专用网络,是一种网络软件,允许用户匿名且安全地浏览互联网。IPSec VPN 是一种 VPN 软件,它使用 IPSec 协议在 Internet 上创建加密隧道。它提供端到端加密,这意味着数据在计算机上被加密,在接收服务器上被解密。
SSL VPN
SSL 代表安全套接字层。它是一种保护网络流量的安全协议。SSL VPN 是一种基于浏览器的网络安全服务,它使用内置的 SSL 协议来加密和保护网络通信。
IPSec VPN 和 SSL VPN 有什么区别?
两种安全协议都适用于开放系统互连(OSI)模型的不同层。OSI 模型定义了计算机在网络上交换数据的分层结构。
IPSec 协议适用于 OSI 模型中间的网络和传输层。同时,SSL 在最顶层的应用层对数据进行加密。您可以从 Web 浏览器连接到 SSL VPN,但必须安装单独的软件才能使用 IPSec VPN。
AWS 如何支持 IPSec 连接?
AWS Site-to-Site VPN 是一种完全托管式服务,它使用 IPSec 隧道在数据中心或分支机构与 AWS 资源之间创建安全连接。使用 Site-to-Site VPN 时,您可以连接到 Amazon 虚拟私有云(VPC)以及 AWS Transit Gateway,每个连接使用两条隧道来增加冗余。AWS Site-to-Site VPN 带来了许多好处,例如:
- 通过性能监控了解本地和远程网络运行状况。
- 将本地应用程序安全轻松地迁移到 AWS Cloud。
- 与 AWS Global Accelerator 集成时提高了应用程序性能。
立即注册 AWS 账户,开始使用 AWS VPN。
