ipsec是專門設計為ip提供安全服務的一種協議(其實是乙個協議族)。ipsec可有效保護ip資料報的安全,所採取的具體保護形式包括:資料來源驗證;無連線資料的完整性驗證;資料內容的機密性保護;抗重播保護等。
使用ipsec協議中的認證頭(ah)協議和封裝安全載荷(esp)協議,可以對ip資料報或上層協議(如udp和tcp)進行保護,這種保護由ipsec兩種不同的工作模式(分別對應隧道模式和傳輸模式)來提供。其中ah可以驗證資料的起源、保障資料的完整性以及防止相同資料報的不斷重播。esp除具有ah的所有能力之外,還可選擇保障資料的機密性,以及為資料流提供有限的機密性保障。
ah和esp協議根據安全聯盟(sa)規定的引數為ip資料報提供安全服務。sa可以手工建立,也可以自動建立。ike就是ipsec規定的一種用來自動管理sa的協議。ike的實現可支援協商vpn,也可支援ip位址事先並不知道的遠端接入。ike必須支援協商方不是sa協商發生的端點的客戶協商模式,這樣可以隱藏端方身份。
雖然到目前為止,全球安全專家普遍認為ipsec是最安全的ip協議,但也並非全是讚美之詞,最主要的批評是它的複雜性,因為系統複雜性是系統安全的主要威脅之一。ipsec有兩個執行模式:傳輸模式和隧道模式,有兩個安全協議:ah和esp。
ah提供認證,esp提供認證和/或加密。這導致了額外的複雜性:打算認證乙個包的兩台機器之間的通訊總共有四種模式可供選擇:傳輸/ah,隧道/ah,空加密的傳輸/esp以及空加密的隧道/esp,而這些選擇之間的功能和效能差別都很小(因此沒有太大實際意義)。
產生這種問題的原因是ipsec是多個國家的安全專家經過多年的研究和討論後折衷的產物。因此有安全專家已經提出安全協議的設計原則應是多家競爭,擇優使用,正如aes(高階加密標準)那樣。
atm/幀中繼vpn的「專用」性體現在虛電路連線的是一組閉合的使用者或社群,安全性保證主要來自它的「閉合使用者群(cug)」的特性,假設運營商不會(惡意)錯誤配置而導致資料傳遞錯誤,不會監聽使用者的流量,不會不經過授權就進入使用者網路,不會被修改,不會被非授權方進行流量分析等,根本不提供認證和加密等安全服務(當然如果使用者需要傳遞特別敏感的資料(如金融資訊)等,通常需要採用使用者自己實施的鏈路加密等方法)。而對於ipsec vpn,連線的也是一組閉合的使用者或社群,但這時提供的安全服務還包括認證和加密等。因此可以這樣認為,ipsec比傳統的atm/幀中繼 vpn更強的安全服務,是到目前為止最為安全的vpn技術。
如何提高Wi Fi的安全性
在15年前,wi fi開始了其漫長而穩步的發展,從家庭到辦公室,最終取代乙太網成為很多企業首選網路接入方式。現在,在802.11ac的推動下,企業wi fi部署正在進一步發展,2014年,802.11ac佔全球1.76億接入點 ap 出貨量的18 wi fi不僅將改變員工的連線方式,還將改變保護通訊...
mysql安全性 如何提高mysql的安全性
一 作為最流行的開源資料庫引擎,mysql本身是非常安全的。即便如此,你仍然需要新增額外的安全層來保護你的mysql資料庫不受攻擊,畢竟任何經營網上 二 保護作業系統 2.1 主機資料庫伺服器和web伺服器分別在不同的物理機器上,如果可能,在乙個單獨的伺服器上執行資料庫伺服器,以預防由其他應用程式或...
Ubuntu的安全性
現在ubuntu 的安裝源還不是很多,以後大量的非官方源出現會不會出現安全問題呢?下面是幾個德國源 據說軟體比官方源新。首先,在終端下執行下面的命令開啟源代表,sudo gedit etc apt sources.list 然後把這兩行加入 再拿把安全金鑰 完了以後,就sudo apt get up...