一臭笆、IPSec和SSL VPN
兩種網(wǎng)絡安全協(xié)議(包)都可以起到 VPN(虛擬專用網(wǎng)絡的作用)。
實際上這兩種安全協(xié)議要做到機密性保護就需要建立連接,而 VPN的核心也是連接渤昌。
區(qū)別:
IPSec:
網(wǎng)絡層虽抄,可以利用傳輸層的UDP協(xié)議,可以添加新的IP頭部独柑。
但是必須處理可靠性和分片的問題迈窟,增加了它的復雜性和處理開銷。SSL:
建立在TCP協(xié)議的基礎上忌栅,實現(xiàn)端口到端口(應用到應用)之間的安全傳輸车酣。
可依賴TCP來管理可靠性和分片。
無法使用UDP索绪。
二湖员、TLS:
暫略。
三瑞驱、IPSEC:
互聯(lián)網(wǎng)安全協(xié)議(英語:Internet Protocol Security娘摔,縮寫:IPsec)是一個協(xié)議包,透過對IP協(xié)議的分組進行加密和認證來保護IP協(xié)議的網(wǎng)絡傳輸協(xié)議族(一些相互關聯(lián)的協(xié)議的集合)唤反。
IPsec主要由以下協(xié)議組成:一凳寺、認證頭(AH),為IP數(shù)據(jù)報提供無連接數(shù)據(jù)完整性彤侍、消息認證以及防重放攻擊保護肠缨;二、封裝安全載荷(ESP)盏阶,提供機密性晒奕、數(shù)據(jù)源認證、無連接完整性般哼、防重放和有限的傳輸流(traffic-flow)機密性吴汪;三、安全關聯(lián)(SA)蒸眠,提供算法和數(shù)據(jù)包漾橙,提供AH、ESP操作所需的參數(shù)楞卡。
注:AH和ESP屬于同一層的協(xié)議霜运,目前AH用的很少,ESP比較常見蒋腮。
RFC
rfc5406-Guidelines for Specifying the Use of IPsec Version 2
rfc6071- IP Security (IPsec) and Internet Key Exchange (IKE) Document Roadmap
IKE
IKE是一個混合協(xié)議淘捡,由三個協(xié)議組成。
- SKEME決定了KE的密鑰交換方式池摧,KE主要使用DH來實現(xiàn)密鑰交換焦除。
- Oakley決定了 IPSec的框架設計,讓 IPSec能夠支持更多的協(xié)議作彤。
-
ISAKMP是IKE的本質(zhì)協(xié)議膘魄,它決定了IKE協(xié)商包的封裝格式乌逐,交換過程和模式切換。ISAKMP是IKE的核心協(xié)議创葡,所以我們經(jīng)常會把IKE與 SAKMP這兩個術語互換使用浙踢。
在配置 PSec vPn的時候,主要配置內(nèi)容也是 SAKMP另外灿渴, SKEME和 Oakley沒有仼何相關的配置內(nèi)容洛波,因此很多網(wǎng)絡技術人員常常會認為IKE和ISAKMP是相同的概念。
ipsec組成
isakmp在ike中的位置
端口500/4500
知乎:vowfi中IPSEC port 500骚露、4500端口解釋
NAT穿越
rfc:https://tools.ietf.org/html/rfc3948
ikev1和ikev2
todo
