網際網路協議安全IPSec

導讀	IPSec 可為通訊兩端裝置提供安全通道，比如用於兩個路由器之間以建立點到點 VPN，以及在防火牆和 Windows 主機之間用於遠端訪問 VPN等。

IPSec（網際網路協議安全）是一個安全網路協議套件，用於保護網際網路或公共網路傳輸的資料。IETF在 1990 年代中期開發了 IPSec 協議，它透過 IP網路資料包的身份驗證和加密來提供 IP 層的安全性。

IPSec 可為通訊兩端裝置提供安全通道，比如用於兩個路由器之間以建立點到點 VPN，以及在防火牆和 Windows 主機之間用於遠端訪問 VPN等。IPSec可以實現以下四項功能：

1. 資料機密性：IPSec傳送方將包加密後再透過網路傳送，可以保證在傳輸過程中，即使資料包遭擷取，資訊也無法被讀取。

1. 資料完整性：IPSec可以驗證IPSec傳送方傳送過來的資料包，以確保資料傳輸時沒有被改變。若資料包遭篡改導致檢查不相符，將會被丟棄。

1. 資料認證：IPSec接受方能夠鑑別IPSec包的傳送起源，此服務依賴資料的完整性。

1. 防重放：確保每個IP包的唯一性，保證資訊萬一被擷取複製後不能再被重新利用，不能重新傳輸回目的地址。該特性可以防止攻擊者擷取破譯資訊後，再用相同的資訊包獲取非法訪問權。

IPSec 不是一個協議，而是一套協議，以下構成了 IPSec 套件：

AH(Authentication Header)指一段報文認證程式碼，確保資料包來自受信任的傳送方，且資料沒有被篡改，就像日常生活中的外賣封條一樣。在傳送前，傳送方會用一個加密金鑰算出AH，接收方用同一或另一金鑰對之進行驗證。然而，AH並不加密所保護的資料包，無法向攻擊者隱藏資料。

ESP（Encapsulating Security Payload）向需要保密的資料包新增自己的標頭和尾部，在加密完成後再封裝到一個新的IP包中。ESP還向資料包頭新增一個序列號，以便接收主機可以確定它沒有收到重複的資料包。

安全關聯（SA）是指用於協商加密金鑰和演算法的一些協議，提供AH、ESP操作所需的引數。最常見的 SA 協議之一是網際網路金鑰交換 (IKE)，協商將在會話過程中使用的加密金鑰和演算法。

IPSec 的工作方式涉及五個關鍵步驟，如下：

1. 主機識別：主機識別資料包是否需要保護，使用 IPSec 進行傳輸時，這些資料包流量會自己觸發安全策略。主機還會檢查傳入的資料包是否正確加密。

1. IKE 階段 1：主機使用 IPSec 協商將用於安全通道的策略集，雙方驗證完成後，在它們之間建立一個安全通道，用於協商 IPSec 電路加密或驗證透過它傳送的資料的方式。

1. IKE 階段 2：透過安全通道進行，在該通道中，兩臺主機協商在會話中使用的加密演算法型別，主機還同意並交換雙方計劃用於進出流量的加密和解密金鑰。

1. IPSec 傳輸：透過新建立的 IPSec 加密隧道交換資料，之前設定的 IPSec SA 用於加密和解密資料包。

1. IPSec 終止：當主機之間的會話超時或通訊完成時，通訊雙方之間的隧道在空閒時間達到一定值後會自動刪除。

IPSec 有兩種不同的執行方式：隧道模式和傳輸模式。兩者之間的區別在於 IPSec 如何處理資料包報頭。 在隧道模式下加密和驗證整個 IP資料包（包括 IP 標頭和有效負載），並附加一個新的報頭，如下圖所示。通常，隧道模式應用在兩個安全閘道器之間的通訊。

隧道模式 在傳輸模式下，IPSec 僅加密（或驗證）資料包的有效負載，但或多或少地保留現有的資料包頭資料。通常，傳輸模式應用在兩臺主機之間的通訊，或一臺主機和一個安全閘道器之間的通訊。

IPSec傳輸模式和隧道模式的區別在於：

1. 從安全性來講，隧道模式優於傳輸模式。它可以完全對原始IP資料包進行驗證和加密。隧道模式下可以隱藏內部IP地址、協議型別和埠。

1. 從效能來講，隧道模式因為有一個額外的IP頭，所以它將比傳輸模式佔用更多頻寬。

1. 從場景來講，傳輸模式主要應用於兩臺主機或一臺主機和一臺VPN閘道器之間通訊；隧道模式主要應用於兩臺VPN閘道器之間或一臺主機與一臺VPN閘道器之間的通訊。

VPN本質上是在公共網路上實現的專用網路。VPN 通常用於企業，使員工能夠遠端訪問其公司網路。按照VPN協議分類，常見的VPN種類有：IPSec、SSL、GRE、PPTP和L2TP等。其中IPSec是通用性較強的一種VPN技術，適用於多種網路互訪的場景。 IPSec 通常用於保護 VPN的安全。VPN在使用者的計算機和VPN伺服器之間建立了一個專用網路，而IPSec協議實現了一個安全的網路，保護VPN資料不受外部訪問。

透過IPSec VPN可以在主機和主機之間、主機和網路安全閘道器之間或網路安全閘道器（如路由器、防火牆）之間建立安全的隧道連線。其協議主要工作在IP層，在IP層對資料包進行加密和驗證。可以使用兩種 IPSec 模式設定 VPN：隧道模式和傳輸模式。

SSL VPN是採用SSL/TLS協議來實現遠端接入的一種輕量級VPN技術，包括伺服器認證、客戶認證、SSL鏈路上的資料完整性和SSL鏈路上的資料保密性。SSL VPN提供安全、可代理連線，只有經認證的使用者才能對資源進行訪問。SSL VPN能對加密隧道進行細分，從而使得終端使用者能夠同時接入Internet和訪問內部企業網資源，也就是說它具備可控功能。

IPSec VPN和SSL VPN 都可以實現企業級安全遠端訪問，但它們以不同的方式提供。IPSec工作在網路層，即把原始資料包網路層及以上的內容進行封裝；SSL VPN工作在傳輸層，封裝的是應用資訊。

IPSec和SSL的具體區別：

自1998年正式頒佈以來，IPSec經過了二十多年的發展，其設計初衷是在網路層建立一套通用的安全機制，保護所有IP網路通訊的安全。相比位於傳輸層和應用層的安全協議，IPSec可以提供較為廣泛和通用的安全保護。由於位於網路層，IPSec對上層協議是透明的，不需要修改上層協議就可以使用。但IPSec也存在著一定的限制，在某些情況下，其不可以進行直接的端到端通訊(即傳輸模式)。另外，IPSec配置複雜性較高，相比其他 VPN 協議要求更高。

原文來自： https://www.linuxprobe.com/internet-protocol-security-ipsec.html