我們?cè)诰W(wǎng)絡(luò)中，一個(gè)信息的傳遞，是需要多個(gè)協(xié)議的過(guò)濾才能完成整個(gè)傳遞過(guò)程。那么其中也需要特殊的安全協(xié)議來(lái)保證信息的安全?，F(xiàn)在我們就來(lái)為大家介紹一下IPsec協(xié)議，Cisco的IPsec（Internet Protocol Security）套件的IOS實(shí)現(xiàn)是一個(gè)基于開(kāi)放標(biāo)準(zhǔn)的框架，它提供給管理員各種安全I(xiàn)P網(wǎng)絡(luò)通信的工具。

IPsec框架是一套IETF標(biāo)準(zhǔn)，它們用于非安全網(wǎng)絡(luò)中數(shù)據(jù)安全傳輸，比如Internet。IPsec協(xié)議提供了網(wǎng)絡(luò)層的安全通信協(xié)議，以及交換身份驗(yàn)證和安全性協(xié)議管理信息的機(jī)制。IPsec套件是用于解決IPv4的一些基本的安全缺陷。IPv4是用于一個(gè)數(shù)據(jù)包交換網(wǎng)絡(luò)環(huán)境中運(yùn)行有或沒(méi)有操作系統(tǒng)的計(jì)算機(jī)之間共享信息。可以這樣說(shuō)，在70年代TCP/IP開(kāi)發(fā)出來(lái)時(shí)，安全性的重要性還比不上數(shù)據(jù)包準(zhǔn)確傳輸。然而，隨著全球網(wǎng)絡(luò)的大量系統(tǒng)數(shù)以百萬(wàn)計(jì)計(jì)算機(jī)之間的TCP/IP數(shù)據(jù)交換支持的增長(zhǎng)，這些對(duì)安全性的攻擊成為了關(guān)注點(diǎn)。

IPsec協(xié)議對(duì)抗安全性攻擊

目前有三種主要的IP安全性攻擊。其中有兩個(gè)是針對(duì)于有全局唯一IP地址的互相獨(dú)立的主機(jī)間的IP數(shù)據(jù)傳輸。第一個(gè)是IP欺騙。為了保證收到的信息是可信的，信息的來(lái)源也必須是可信的。IP數(shù)據(jù)包發(fā)送是逐跳式（Hop-by-Hop）處理的。如果一個(gè)攻擊者知道網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，他就能夠讓一個(gè)系統(tǒng)失效和偽裝或“欺騙”它的身份。因?yàn)榇蠖鄶?shù)IP安全規(guī)范都是圍繞主機(jī)的IP地址的，IP欺騙對(duì)于需要安全地交換數(shù)據(jù)的網(wǎng)絡(luò)管理員是很大的問(wèn)題。

會(huì)話劫持（Session hijacking）是比IP欺騙更高級(jí)別的攻擊。這時(shí)攻擊者會(huì)失效所欺騙的主機(jī)并偽裝活躍的網(wǎng)絡(luò)會(huì)話。這是一個(gè)比偽裝主機(jī)IP地址更狡猾的攻擊，因?yàn)樗某晒\(yùn)行也依賴于軟件攻擊。

第三種攻擊流量嗅探（Traffic Sniffing）是包交換網(wǎng)絡(luò)所特有的，在包交換網(wǎng)絡(luò)中所有的數(shù)據(jù)包對(duì)于所有連接到傳輸介質(zhì)的網(wǎng)絡(luò)節(jié)點(diǎn)都是可見(jiàn)的。不管是什么樣的傳輸介質(zhì)，路由器、交換機(jī)和防火墻對(duì)通過(guò)這些網(wǎng)關(guān)的數(shù)據(jù)包都有可見(jiàn)權(quán)。而這使得這些設(shè)備可以很好地應(yīng)付被支過(guò)濾IP流量，同時(shí)這使它們成為收集IP數(shù)據(jù)包并提取數(shù)據(jù)內(nèi)容的最佳位置。

IPsec協(xié)議細(xì)節(jié)

為了解決這些攻擊，IETF開(kāi)發(fā)了一些不同的協(xié)議標(biāo)準(zhǔn)定義。這些標(biāo)準(zhǔn)提供了四個(gè)基本的服務(wù)：

1. 數(shù)據(jù)傳輸加密：原始主機(jī)能夠在數(shù)據(jù)包傳輸前對(duì)其進(jìn)行加密；

2. 數(shù)據(jù)完整性驗(yàn)證：接收主機(jī)能夠?qū)γ恳粋€(gè)用來(lái)保證原始數(shù)據(jù)傳輸被接收而發(fā)送的數(shù)據(jù)包進(jìn)行驗(yàn)證；

3. 數(shù)據(jù)來(lái)源驗(yàn)證：原始主機(jī)能夠標(biāo)記數(shù)據(jù)包，使得接收者能夠?qū)λ鼈冞M(jìn)行驗(yàn)證；

4. 數(shù)據(jù)狀態(tài)完整性：原始和接收主機(jī)都能夠標(biāo)記數(shù)據(jù)包，所以任何數(shù)據(jù)流的重傳輸都可以被檢測(cè)和拒絕（也就是Anti-replay）；

IPsec協(xié)議使用許多不同的安全性協(xié)議來(lái)支持它們的服務(wù)。從一般層次上，這些協(xié)議可以分成兩個(gè)不同分組：數(shù)據(jù)包協(xié)議和服務(wù)協(xié)議。數(shù)據(jù)包協(xié)議用以提供數(shù)據(jù)安全性服務(wù)。其中有兩種IPsec數(shù)據(jù)包協(xié)議：認(rèn)證報(bào)頭（Authentication Header，AH）和封裝安全載荷（Encapsulating Security Payload，ESP）。而服務(wù)協(xié)議有很多種，但其中主要的一種是Internet密鑰交換協(xié)議（Internet Key Exchange Protocol，IKE）。