IPsec

一  什么是×××？

是使用加密与隧道技术在共有网络上形成的一个叠加的私有网络，从而保证：信息的私密性，数据的完整性，用户的可追溯性，反重放。（虚拟的私有网络）

二     IPsec  的构成：IKE （用来进行安全参数的协商）   ESP （关于加密，验证及其他安全方法）  AH  （认证整个数据包并且不允许加密）

三  IPsec  的运行模式： 隧道模式  （用于保护两个安全网关之间的数据）       传输模式 （用于保护两台主机之间的数据）

四  IPsec  的五个步骤：

① 定义感兴趣的流量

②Ike 策略   （lke  sa  )

③  IP sec 策略  （IPsec SA ）

④ IPsec  会话

⑤ 隧道终结

注：SA: 安全策略联盟 （定义如何加密的）是IPsec 的基础，也是IPsec的本质   单向的

SA  :静态：手工配置   （手工方式建立的sa  永不老化）

动态：Ike 自动协商  （Ike 方式建立的具有生存时间）

SA : 两种方式的生存时间：

① 基于时间的生存时间，

② 基于流量的生存时间

SA ：是ipsec 的对等体间对某些要素的约定。

IPsec 对等体：IPsec 在两端点之间提供安全通信，这端点被称为。。。

五  安全协议

① AH   （IP协议号   51）  适用于非机密数据

② ESP   （50）  数据加密的

六  AH 与 ESP 联合使用的方式：

先对报文进行ESP 封装，在对报文进行AH封装

认证算法：

① HMAC--MD5  （计算速度快）

②HMAC--SHA1   (安全度高)

加密算法：

①  DES

② 3des

③ AFS

注：依次排下，速度快，安全性越来越高

七  IPsec

① 主模式：指定双方IP，报文交互6条（安全高），指定IP地址，协商慢

② 野蛮模式：必须NAT 交互报文3条（安全性低），指定名称，协商快