AH(Authencation Header)协议:认证头
- --提供数据源认证,可以保证信息源的可靠性和数据的完整性,以及确保数据到达次序的完整性,并防止重放攻击
- --摘要算法采用Hash算法(单向Hash函数MD5和SHA1实现摘要和认证确保数据完整性)
ESP(Encapsulating Security Payload)协议: 封装安全有效负载
- --支持数据的保密性,使用DES,3DES,AES等加密算法
- --提供数据的完整性和可靠性,使用非对称密钥技术(使用MD5和SHA1实现摘要和认证确保数据完整性)
IPSec的工作模式
- 传输模式
- 隧道模式
AH与ESP均支持两种模式:传输模式和隧道模式
传输模式通常用于主机和主机之间,不改变原有的IP包头,主要是为上层协议提供保护,同时增加IP包载荷的保护
传输模式下AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头.
隧道模式:通常用于私网与私网之间通过公网进行通信。
- 传输模式下AH和ESP处理后的IP头部不变
- 隧道模式下的AH和ESP处理后需要新封装一个新的IP头
- AH只做摘要,只能验证数据完整性和合法性
- ESP做摘要和加密,验证数据完整性和合法性,还能进行数据加密
IPSec的传输模式与隧道模式的应用场景
IPSec VPN应用场景
站点到站点(site-to-site):又称为网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来
端到端(End-to-End):又称为PC到PC,即两个PC之间的通信由IPSec完成
端到站点(End-to-Site):两个PC之间的通信由网关和异地PC之间的IPSec会话完成
PPTP---点对点隧道协议(Point-to-Point Tunneling Protocol)
PPTP是一种用于让远程用户拨号连接到本地的ISP,是通过因特网安全访问内网资源的技术,它能将PPP帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP 使用TCP连接创建、维护、终止隧道,并使用GRE (通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密、压缩或同时被加密与压缩。该协议是第2层隧道协议。
- PPTP协议是PPP协议的扩展
- 增强了PPP协议的认证、压缩和加密功能
- 增加了一个新的安全等级,并且可以通过因特网进行多协议通信。
- 可用于移动办公或个人用户与VPN服务器进行连接
PPTP协议将控制包和数据包分开,控制包采用TCP控制。
封装服务:使用一般路由封装(GRE)头文件和IP报头数据封装PPP帧加密服务:PPTP继承了PPP的认证和加密机制,采用Chap、EAP、PAP等认证,以及MPPE(微软点对点加密)机制。
