我們在網絡中，一個信息的傳遞，是需要多個協議的過濾才能完成整個傳遞過程。那么其中也需要特殊的安全協議來保證信息的安全。現在我們就來為大家介紹一下IPsec協議，Cisco的IPsec（Internet Protocol Security）套件的IOS實現是一個基于開放標準的框架，它提供給管理員各種安全IP網絡通信的工具。

IPsec框架是一套IETF標準，它們用于非安全網絡中數據安全傳輸，比如Internet。IPsec協議提供了網絡層的安全通信協議，以及交換身份驗證和安全性協議管理信息的機制。IPsec套件是用于解決IPv4的一些基本的安全缺陷。IPv4是用于一個數據包交換網絡環境中運行有或沒有操作系統的計算機之間共享信息。可以這樣說，在70年代TCP/IP開發出來時，安全性的重要性還比不上數據包準確傳輸。然而，隨著全球網絡的大量系統數以百萬計計算機之間的TCP/IP數據交換支持的增長，這些對安全性的攻擊成為了關注點。

IPsec協議對抗安全性攻擊

目前有三種主要的IP安全性攻擊。其中有兩個是針對于有全局唯一IP地址的互相獨立的主機間的IP數據傳輸。第一個是IP欺騙。為了保證收到的信息是可信的，信息的來源也必須是可信的。IP數據包發送是逐跳式（Hop-by-Hop）處理的。如果一個攻擊者知道網絡拓撲結構，他就能夠讓一個系統失效和偽裝或“欺騙”它的身份。因為大多數IP安全規范都是圍繞主機的IP地址的，IP欺騙對于需要安全地交換數據的網絡管理員是很大的問題。

會話劫持（Session hijacking）是比IP欺騙更高級別的攻擊。這時攻擊者會失效所欺騙的主機并偽裝活躍的網絡會話。這是一個比偽裝主機IP地址更狡猾的攻擊，因為它的成功運行也依賴于軟件攻擊。

第三種攻擊流量嗅探（Traffic Sniffing）是包交換網絡所特有的，在包交換網絡中所有的數據包對于所有連接到傳輸介質的網絡節點都是可見的。不管是什么樣的傳輸介質，路由器、交換機和防火墻對通過這些網關的數據包都有可見權。而這使得這些設備可以很好地應付被支過濾IP流量，同時這使它們成為收集IP數據包并提取數據內容的最佳位置。

IPsec協議細節

為了解決這些攻擊，IETF開發了一些不同的協議標準定義。這些標準提供了四個基本的服務：

1. 數據傳輸加密：原始主機能夠在數據包傳輸前對其進行加密；

2. 數據完整性驗證：接收主機能夠對每一個用來保證原始數據傳輸被接收而發送的數據包進行驗證；

3. 數據來源驗證：原始主機能夠標記數據包，使得接收者能夠對它們進行驗證；

4. 數據狀態完整性：原始和接收主機都能夠標記數據包，所以任何數據流的重傳輸都可以被檢測和拒絕（也就是Anti-replay）；

IPsec協議使用許多不同的安全性協議來支持它們的服務。從一般層次上，這些協議可以分成兩個不同分組：數據包協議和服務協議。數據包協議用以提供數據安全性服務。其中有兩種IPsec數據包協議：認證報頭（Authentication Header，AH）和封裝安全載荷（Encapsulating Security Payload，ESP）。而服務協議有很多種，但其中主要的一種是Internet密鑰交換協議（Internet Key Exchange Protocol，IKE）。