【WALL1600下一代防火墙】IPsec VPN的应用场景和功能原理以及配置IPsec VPN有什么样的效果？

发布时间：2013-11-14

点击量：2425

应用场景
总公司和分公司各自的内网要能够互相共享资料，且共享资料的流量需要经过各自的出口设备后在Internet上传输，为了保证流量在Internet传输过程中的安全性，希望资料在网络传输中不易被黑客截获破解窃取，保证资料的安全保密，此时您可以在总公司和分公司的网络设备上建立IPSec VPN，它即能实现总公司和分公司之间能够互相访问共享资料，也能对数据传输进行加密，保证了数据的安全性。

IPSEC VPN原理简介
IPSec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPSec提供了以下网络安全服务，这些安全服务是可选的，通常情况下，本地安全策略决定了采用以下安全服务的一种或多种：
? 1、数据的机密性—IPSec的发送方对发给对端的数据进行加密
? 2、数据的完整性—IPSec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改
? 3、数据来源的认证—IPSec接收方验证数据的起源
? 4、抗重播—IPSec的接收方可以检测到重播的IP包丢弃
使用IPSec可以避免数据包的监听、修改和欺骗，数据可以在不安全的公共网络环境下安全的传输，IPSec的典型运用是构建VPN。
IPSec使用“封装安全载荷（ESP）”或者“鉴别头（AH）”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播；
使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ，根据安全策略数据库（SPDB）随IPSec使用，用来协商安全联盟（SA）并动态的管理安全联盟数据库。
数字证书原理简介
IPsec 的密钥管理协议IKE RFC标准中对参与通讯的各方安全网关(或安全路由器)身份认证有3种方法：预共享密钥，公钥加密，数字签名。
数字证书称为数字标识（Digital Certificate ，Digital ID）。它提供了一种在 Internet 上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。数字证书它是由一个由权威机构即CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在交往中用它来识别对方的身份。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关交易操作。通俗地讲，数字证书就是个人或单位在 Internet上的身份证。
比较专业的数字证书定义是，数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循相关国际标准。有了数字证书，我们在网络上就可以畅通无阻。