IPsec操作

在通過各種隧道和網(wǎng)關(guān)的過程中，會(huì)向數(shù)據(jù)包添加額外的標(biāo)頭，在每次通過網(wǎng)關(guān)時(shí)，數(shù)據(jù)報(bào)都包含在新的標(biāo)頭中。此標(biāo)頭中包含安全參數(shù)索引(SPI)，SPI一個(gè)系統(tǒng)用于查看數(shù)據(jù)包的算法和密鑰，此系統(tǒng)中的有效負(fù)載也受到保護(hù)，因?yàn)閷z測(cè)到數(shù)據(jù)中的任何更改或錯(cuò)誤，從而導(dǎo)致接收方丟棄數(shù)據(jù)包。

標(biāo)頭應(yīng)用于每個(gè)隧道的開頭，然后在每個(gè)隧道的末尾進(jìn)行驗(yàn)證和刪除，這種方法可以防止不必要的開銷累積。

IPsec操作

IPsec的一個(gè)重要部分是安全關(guān)聯(lián)(SA)，SA使用AH和ESP中攜帶的SPI編號(hào)來指示哪個(gè)SA用于數(shù)據(jù)包，還包括IP目標(biāo)地址以指示端點(diǎn)：這可以是防火墻，路由器或用戶。

安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)用于存儲(chǔ)所有使用的SA，SAD使用安全策略來指示路由器應(yīng)該對(duì)數(shù)據(jù)包執(zhí)行的操作，三個(gè)例子包括完全丟棄數(shù)據(jù)包，僅丟棄SA，或替換不同的SA。正在使用的所有安全策略都存儲(chǔ)在安全策略數(shù)據(jù)庫中。

IPSec安全網(wǎng)關(guān)產(chǎn)品用途

IPSec 方案安全網(wǎng)關(guān)產(chǎn)品采用一體化設(shè)計(jì)，硬件、整機(jī)、軟件均具有自主知識(shí)產(chǎn)權(quán)。同時(shí)，IPSec 方案安全網(wǎng)關(guān)完全采用國產(chǎn)化的隨機(jī)數(shù)模塊，方案設(shè)備和加密卡為同一企業(yè)生產(chǎn)，技術(shù)完全自主可控。

IPSec 方案安全網(wǎng)關(guān)產(chǎn)品作為一種提供IPSec 方案功能和信息加密的設(shè)備，為用戶內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳輸，提供機(jī)密性、完整性保護(hù)以及數(shù)據(jù)源鑒別等安全保障，廣泛應(yīng)用于大中型企業(yè)事業(yè)單位，通過 IPSec 方案 產(chǎn)品可以實(shí)現(xiàn)企業(yè)總部與各個(gè)分支機(jī)構(gòu)、合作伙伴、移動(dòng)辦公人員之間的遠(yuǎn)程接入等多種網(wǎng)絡(luò)互聯(lián)需求，同時(shí)對(duì)這些遠(yuǎn)程網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)提供完整性等安全防護(hù)手段。

IPSec VPN網(wǎng)關(guān)導(dǎo)入?yún)f(xié)議原因

導(dǎo)入IPSEC協(xié)議，原因有2個(gè)，一個(gè)是原來的TCP/IP體系中間，沒有包括基于安全的設(shè)計(jì)，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。

IPSEC引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個(gè)原因，是因?yàn)镮nternet迅速發(fā)展，接入越來越方便，很多客戶希望能夠利用這種上網(wǎng)的帶寬，實(shí)現(xiàn)異地網(wǎng)絡(luò)的的互連通。

IPSEC協(xié)議通過包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通。