IPsec

一 什么是×××？

是使用加密与隧道技术在共有网络上形成的一个叠加的私有网络，从而保证：信息的私密性，数据的完整性，用户的可追溯性，反重放。（虚拟的私有网络）

二 IPsec 的构成：IKE （用来进行安全参数的协商） ESP （关于加密，验证及其他安全方法） AH （认证整个数据包并且不允许加密）

三 IPsec 的运行模式： 隧道模式 （用于保护两个安全网关之间的数据） 传输模式 （用于保护两台主机之间的数据）

四 IPsec 的五个步骤：

① 定义感兴趣的流量

②Ike 策略 （lke sa )

③ IP sec 策略 （IPsec SA ）

④ IPsec 会话

⑤ 隧道终结

注：SA: 安全策略联盟 （定义如何加密的）是IPsec 的基础，也是IPsec的本质 单向的

SA :静态：手工配置 （手工方式建立的sa 永不老化）

动态：Ike 自动协商 （Ike 方式建立的具有生存时间）

SA : 两种方式的生存时间：

① 基于时间的生存时间，

② 基于流量的生存时间

SA ：是ipsec 的对等体间对某些要素的约定。

IPsec 对等体：IPsec 在两端点之间提供安全通信，这端点被称为。。。

五 安全协议

① AH （IP协议号 51） 适用于非机密数据

② ESP （50） 数据加密的

六 AH 与 ESP 联合使用的方式：

先对报文进行ESP 封装，在对报文进行AH封装

认证算法：

① HMAC--MD5 （计算速度快）

②HMAC--SHA1 (安全度高)

加密算法：

① DES

② 3des

③ AFS

注：依次排下，速度快，安全性越来越高

七 IPsec

① 主模式：指定双方IP，报文交互6条（安全高），指定IP地址，协商慢

② 野蛮模式：必须NAT 交互报文3条（安全性低），指定名称，协商快