VPN安全技术在实际网络中的应用3

VPN安全技术在实际网络中的应用3

　IPSec传输迷失用户两个通信系统之间的IP信息流提供端到端的安全保证，比如保证一个TCP连接或一个UDP数据报的安全。IPSec隧道模式主要用于为网络中间节点、路由器或网关提供安全保证，保证了连接一个公共网络或不可信任的IP网络上的私有IP网到另一个私有IP网的隧道内的其他IP信息流的安全性。两种模式都需要通过因特网密钥交换在两台计算机之间进行一个复杂的安全协商。

　　当配置IPSec策略时，端点计算机使用IKE阶段1协商参数来建立一个安全的VPN通道，为通信双方之间的所有信息流建立一个主安全关联。这里要使用到设备认证和生成一个共享主密钥。接着系统使用IKE阶段2，为此时所尽力保护的应用程序信息流协商另一个安全关联，这包括生成共享会话密钥。只有这两台计算机知道所有的两套密钥。使用安全关联交换的数据收到了很好的保护，一面遭受到网络上可能存在的攻击者的修改或监听。密钥根据IPSec策略自动更新，根据管理员定义的策略提供适当的保护。

　　因特网工程任务(IETF)的IPSec隧道协议规范不包含适用于远程访问VPN客户端的机制。省略的特性包括用户认证选项和客户端IP地址配置等，但是已经通过增加的因特网草案进行了纠正。这些草案建议为扩展的基于用户的认证和地址分配定义标准的方法。但是，在使用之前应当明确不同厂商的产品之间的互操作性，因为所有厂商都选择以各自特有的方式扩展该协议。

　　IPSec传输模式(AH或ESP)只适用于那些主机(也就是IPSec端点)是需要保护的信息流的发送方和接受方的主机实现。IPSec隧道模式对主机和安全网关都适用，尽管安全网关必须使用隧道模式。所有站点到站点VPN和客户端到站点VPN都使用某种安全网关，因而IPSec隧道模式用于大多数VPN调度。

　　网络地址转换(NAT)/端口地址转换(PAT)