一、IPSec VPN应用场景

企业分支可以通过IPSec VPN接入到企业总部网络。（重要数据  ipsce vpn加密）

隧道  不管中间有多少设备客户是无感知的

二、IPSec架构

Ipsce  不是一个协议  而是一个架构（三个协议组成）

它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。

AH（51）  保证数据的完整性        ESP（50） 对报文的加密过程         用的最多

IKE 协议提供密钥协商，建立和维护安全联盟SA等服务。

传输层不存在端口号  传输层协议提供端口号给应用层

传输层有的是协议号   端口号封装在传输层  提供给应用层来打开

网络层提供协议号给传输层

三、安全协议：（AH、ESP）

1. AH

认证头协议AH (Authentication Header) : 提供数据来源认证、数据完整性校验和报文抗重放功能

AH会对隧道内的整个数据包进行哈希  对方收到验证哈希

（AH跟NAT不能同时使用  NAT会改变IP  验证失败）

AH不能对数据进行加密

2. ESP

封装安全载荷协议ESP (Encapsulating Security Payload) :除提供AH的功能之外，还提供对有效载荷的加密功能

 

ESP协议允许对报文同时进行加密和认证，或只加密，或只认证

ESP没有对IP头的内容进行保护

      ESP可以对数据进行加密          尾部认证数据就是哈希值（ESP头部到加密块）

加密块：入DES  64位  不满64  填满

Nat可用

混合使用：AH认证时不会对nat字节哈  

密钥交换：

因特网密钥交换协议IKE (Internet Key Exchange)

四、IPSec封装方式（传输  隧道）

区分：         是否有两个IP头  （主机主机之前    主机网管之间）

隧道模式：   网关与网关之间（路由器和路由器之前）（公网）

1. 传输模式：

用的少  网络设备默认隧道模式

把原始IP直接提取用于数据内部

一般用在主机与主机之间  全网可达模式

不可部署在网关网关之间（公网不可允许私网地址）

Windows可部署传输模式

在传输模式下，AH或ESP报头位于IP报头和传输层报头之间。

通常把两个协议结合使用

IP头部和tcp头部分别加入AH和ESP的报头  在尾部加ESP 加密块，ESP的认证方式

针对tcp头到esp尾部进行加密

针对esp头到esp尾部进行ESP认证

针对整个数据包进行AH认证

不仅对数据进行加密，还对IP头部进行了认证

2. 隧道模式：（默认，可部署网关）

在隧道模式下，IPSec会另外生成一个新的IP报头， 并封装在AH或ESP之前。

两个IP头   一个新的在最前面   一个旧的在tcp头前

五、IPsce基本组件

IPSec对等体               接入设备

IPSce隧道                   隧道模式

安全联盟                     SA

六、IPSce特性

IPsec可以提供如下特性:

访问控制                                          身份认证技术

无连接的完整性、数据来源验证      哈希技术

防重放                                             防止重复读取数据

机密性(加密)                                    加解密技术

重放攻击：黑客虽然不能破解加密数据，但是可以重复利用辅助的合法数据与接收端建立协商关系，接收端误认为是同一人，进行认可

可通过AH或者ESP的序列号防止

也可以通过窗口模式：比如 10s内的数据合法（窗口期）  超过窗口期的重放无效