【廣告】
IPsec操作
在通過各種隧道和網(wǎng)關的過程中,會向數(shù)據(jù)包添加額外的標頭,在每次通過網(wǎng)關時,數(shù)據(jù)報都包含在新的標頭中。此標頭中包含安全參數(shù)索引(SPI),SPI一個系統(tǒng)用于查看數(shù)據(jù)包的算法和密鑰,此系統(tǒng)中的有效負載也受到保護,因為將檢測到數(shù)據(jù)中的任何更改或錯誤,從而導致接收方丟棄數(shù)據(jù)包。
標頭應用于每個隧道的開頭,IPSec VPN價格,然后在每個隧道的末尾進行驗證和刪除,這種方法可以防止不必要的開銷累積。
IPSec VPN網(wǎng)關VPN節(jié)點
一個VPN節(jié)點,可能是一臺VPN網(wǎng)關,也可能是一個客戶端軟件。在VPN組網(wǎng)中間,IPSec VPN供應,屬于組網(wǎng)的一個通訊節(jié)點。它應該能夠連接 Internet,有可能是直接連接,IPSec VPN,比如adsl、電話撥號等等,也可能是通過nat方式,例如:小區(qū)寬帶、cdma上網(wǎng)、鐵通線路等等。VPN隧道:在兩個vpn節(jié)點之間建立的一個虛擬鏈路通道。
兩個設備內(nèi)部的網(wǎng)絡,能夠通過這個虛擬的數(shù)據(jù)鏈路到達對方。與此相關的信息是當時兩個VPN節(jié)點的IP地址,隧道名稱、雙方的密鑰。
IPsec的缺點
在某些情況下,不可以進行直接的端到端通信(即傳輸模式)。舉一個簡單示例,其中H1和H2是一個直接隧道上的兩個主機,H1使用防火墻稱為FW1。
在大型分布式系統(tǒng)或域間環(huán)境中,多樣化的區(qū)域安全策略實施可能會給端到端通信帶來嚴重的問題。在上面的示例中,假設FW1需要檢查流量內(nèi)容以進行檢測,并且在FW1設置策略以拒絕所有加密流量以強制執(zhí)行其內(nèi)容檢查要求。
然而,H1和H2構(gòu)建直接隧道而不了解防火墻及其策略規(guī)則的存在。因此,所有流量將被FW1丟棄,該場景顯示每個策略滿足其相應的要求,而所有策略一起可能導致沖突。
企業(yè): 北京國泰網(wǎng)信科技有限公司
手機: 13366380840
電話: 010-82809580
地址: 北京市海淀區(qū)昆明湖南路51號中關村科學城四季科創(chuàng)中心B座3層303