IPsec原理

IPsec 應用場景

既可以在路由器、防火牆上部署，也可以配置專業的 v*n 網關產品。企業員工出差時，只要安裝了客戶端，就可以通過撥號訪問公司的內網。

1、傳統專線價格比較昂高；
2、IPsec v*n 基於加密線路傳輸；
3、部署非常方便，客戶能夠既上網又能與分支相互通信；
4、IPsec v*n 在企業網絡/校園網絡分支之間使用。

IPsec原理

IP security 是一套完整的加密系統，可以實現數據的安全性、完整性、不可抵賴性、防止重放。

IPsec 使用三種主要的協議來構建一個安全的網絡框架：
// IPsec 是一個大的協議，其中有包含幾個組成部分
1、IKE，Internet Key Exchange，互聯網**交互協議；
提供安全結構參數的協調。
確定驗證**。
2、ESP，Encapsulating Security Payload，封裝安全載荷；
提供對數據加密、驗證和數據安全的框架結構
3、AH，Authentication Header，認證頭部；
提供驗證和安全的數據傳輸功能

IKE

IKE，Internet Key Exchange，互聯網**交互協議。

功能：通過身份認證、**交換、參數協商搭建隧道。

IKE 組成：
1、ISAKMP：<隧道建立的流程、分組交換、**交換>，2個階段，9個分組，定義了消息交換的體系結構，包括兩個 IPsec 對等體間分組形式和狀態轉變；
2、SKEME：提供爲認證目的使用公開**加密的機制；
3、Oakley：提供在兩個 IPsec 對等體間達成相同加***的基本模式的機制。

ISAKMP原理

應用層協議，基於 UDP 500 端口。

通過 ISAKMP 實現 IPsec v*n 的建立：
階段一，有6個分組，爲主模式，
階段二，有3個分組，爲快速模式。

下圖中，R1 和 R2 之間協商的隧道有兩層，其中 ISAKMP SA 是由第一階段協商的，IPsec SA 是第二階段協商的。在第一階段協商完成的安全環境中進行第二階段協商，以保證最終數據傳輸的安全性。

在階段一交互策略集和階段二交互轉換集時都包含了 3DES/MD5，都是爲了協商加密算法，第一階段協商的算法用於加密第7、8、9三個數據包，第二階段協商的加密算法用於加密最終用戶通過第二條隧道發送的數據包，保證了多層安全。

ESP

ESP，Encapsulating Security Payload，封裝安全載荷，用於實現數據機密性以及完整性校驗。

接收到數據包後封裝的方式：
傳輸模式：只加密 IP 頭部以上。
隧道模式：加密原有數據包，再加入新的頭部。

AH

AH，Authentication Header，認證頭部，用於實現完整性校驗。

抓包發現 AH 協議中內網的數據流可以被查看，無法保證安全性，所以平時很少用到。