IPSec是IETF IPSec工作组制定的一套协议簇,目的在于为IP层通信提供安全。它主要由两大部分组成:安全协议部分、密钥协商部分。安全协议部分提供了各种通信保护方式;密钥协商部分用来保护安全协议协商的参数,以及鉴别通信实体的身份。
VPN的英文全称是“Virtual Private Network”,中文翻译过来就是“虚拟专用网络”。它是构建在公共通信基础设施上的虚拟专用网络,是一种从公共网络中隔离出来的专用网络。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在公共网络上建立出来的虚拟专用网。虚拟专用网可以用来帮助商业伙伴、远程用户、供应商以及公司分支机构同公司的内部网建立可信、安全的连接,并且保证了数据传输的安全性。由于是将数据流转移到了成本较低的公共网络上,所以企业的虚拟专用网解决方案将用户花费在远程网络和城域网连接上的费用大幅度地消减。同时,还能够对网络的管理和设计进行简化,加速新的用户和网站连接。
1.1.2 IPSec VPN的优缺点
(1) IPSec VPN的优点
1. IPSec技术与应用无关,因此IPSec VPN是一种支持所有IP层协议的客户端。应用于传输层之下IPSec,对应用程序来说完全没有影响。在防火墙或者路由器上安装IPSec时,不需要对用户或者服务器系统中的软件进行设置。就算在终端系统上运行IPSec,基于应用程序的上层软件也不会受到任何影响。
2. IPSec技术中,client-to-client(客户端到客户端)、 client-to-site(客户端到站点)、site-to-site(站点到站点)这三种模式在连接时使用的是完全一样的技术。
3. IPSec VPN有着极高的安全性能。由于IPSec安全协议网络层中运行,不仅会加密所有网络通道,而且用户通过采用像专线方式物理连接企业网络一样的方式去访问所有企业资源。IPSec不是仅仅加密正在通信的那一部分通道,而是加密所有的通道。另外安装和配置在运程接入客户端的IPSec客户端软件和接入设备限制了来自接入设备、软件客户端、用户认证机制和预定义安全规则的特定访问,能够大大的提高安全级别。
(2) IPSec VPN的缺点
1. IPSec VPN在通信性能方面要比其他软件。IPSec VPN较高的安全性能反而影响了它的通信性能。
2. IPSec VPN必须安装客户端软件来支持。在IPSec VPN中,每个客户端都需要安装有特定用途的软件。这些特定用途的软件可以用来替换或者增加客户系统的TCP/IP堆栈。在很多的系统中,这也许会出现和其他软件的兼容性问题。目前还没有出现解决这一兼容性问题的标准,每一个IPSec客户端软件都是特定的,无法和其他软件兼容。在一些其他的情形中,IPSec安全协议可以网络硬件应用中运行,这就要求通信双方必须采用相同的硬件。因此,应用于硬件中的IPSec协议也隐藏着兼容性问题。
3. IPSec VPN较难安装和文护。使用IPSec VPN时,每个接入用户都必须安装VPN客户端,因此,需要花费非常高的费用。现今的一些移动终端用户偏离了IPSec VPN用于连接运程办公地点的这一初衷。IPSec VPN,必须得为每个移动终端用户提供客户端。环境和网络不同,客户端的配置也不一样。如果想要从不同的地方访问公司内部网络,就要求客户经常修改配置,无形当中支持的费用也提高了。在部署IPSec VPN之后,如果用户想要访问他所需要的资源,就必须事先在他的电脑上安装客户端。这也就意着那些经常变动办公地点的员工,如果想要从其他任何非本人的电脑上访问公司内部资源的时候,他要么无法访问,要么打电话向公司求助。 基于IPSec协议的Linux VPN网关平台(3):http://www.youerw.com/jisuanji/lunwen_13723.html