IPSec所采用的封装协议是AH(Authentication Header,验证头)和ESP(Encapsulating Security Payload,封装安全性有效负载)。
ESP定义于RFC2406协议。它用于确保IP数据包的机密性(对第三方不可见)、数据的完整性以及对数据源地址的验证,同时还具有抗重播的特性。具体来说,是在IP头(以及任何IP选项)之后,在要保护的数据之前,插入一个新的报头,即ESP头。受保护的数据可以是一个上层协议数据,也可以是整个IP数据包,最后添加一个ESP尾。ESP本身是一个IP协议,它的协议号为50。这也就是说,ESP保护的IP数据包也可以是另外一个ESP数据包,形成了嵌套的安全保护,ESP的封装方式如下图:
如上图所示,ESP头没有加密保护,只采用了验证保护,但ESP尾的一部分则进行的加密处理,这是因为ESP头中包含了一些关于加/解密的信息。所以ESP头自然就采用明文形式了。
AH定义于RFC2402中。该协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务,与ESP协议相比,AH不提供对通信数据的加密服务,同样提供对数据的验证服务,但能比ESP提供更加广的数据验证服务,如图所示:
它对整个IP数据包的内容都进行了数据完整性验证处理。在SA中定义了用来负责数据完整性验证的验证算法(即散列算法,如AH-MD5-HMAC、AH-SHA-HMAC)来进行这项服务。
AH和ESP都提供了一些抗重播服务选项,但是否提供抗重播服务,则是由数据包的接收者来决定的。
HiPER系列VPN安全网关设计支持L2TP,PPTP和IPSec,支持和多种设备在Internet上建立VPN,隧道连接了两个远端局域网,每个局域网上的用户都可以访问另一个局域网网上的资源:对方的设备可以使用如Windows 2000 服务器, Cisco™ PIX, 华为Quidway 等路由器,netscreen,fortigate设备等其他支持标准的VPN网络设备。
除了以上介绍的隧道技术以外,作为一个网关的IP VPN安全网关还有以下特点,如备份技术,流量控制技术,包过滤技术,网络地址转换技术,抗击打能力和网络监控和管理技术等。
三、使用HiPER系列VPN安全网关的安全解决方案
根据上面所述的路由器安全特性设计的要求,HiPER系列VPN安全网关提供了各种网络安全解决方案,以适应不同的应用需求,包括:
Ø 电子政务的VPN联网
Ø 和Internet的安全互联
Ø 通过Internet构建VPN
Ø 电子商务应用
Ø 教育系统校校通的应用
分类导航
认识设备管理器中的问题符号[4月8日] 计算机开关电源维修实战[4月6日] 显示器OSD菜单功能图解说明[4月4日] 修改内存SPD信息的方法[3月29日] 让低端显卡运行Vista Aero效果更流畅[3月29日] Windows Vista 中设置宽带连接[3月27日] Vista实用优化攻略[3月27日] Nivdia显卡Vista驱动安装图文[3月27日] ADSL拨号提速私房秘籍[2月28日] 硬盘维修与数据恢复[2月23日]