什么是IPsec?

IPsec(IP安全性)是一套協議，旨在確保IP網絡上數據通信的完整性，機密性和身份驗證。雖然IPsec標準的靈活性已引起商業市場的興趣，但由于其復雜性，導致識別協議存在若干問題，與其他安全系統一樣，維護不良很容易導致關鍵系統故障。

IPsec可用于三個不同的安全域：虛擬專用網絡、應用程序級安全性和路由安全性。目前，IPsec主要用于VPN，當在應用程序級安全性或路由安全性中使用時，IPsec不是一個完整的解決方案，必須與其他安全措施結合才能發揮其有效作用。

IPsec操作

IPsec有兩種操作模式：傳輸模式和隧道模式。在傳輸模式下運行時，源主機和目標主機必須直接執行所有加密操作，加密數據通過使用L2TP(第2層隧道協議)創建的單個隧道發送，數據(密文)由源主機創建，并由目標主機檢索，這種操作模式建立了端到端的安全性。

在隧道模式下運行時，除源和目標主機外，特殊網關還會執行加密處理。在這里，許多隧道在網關之間串聯創建，建立了網關到網關的安全性。使用這些模式中的任何一種時，重要的是為所有網關提供驗證數據包是否真實的能力以及在兩端驗證數據包的能力，必須丟棄任何無效的數據包。

IPsec中需要兩種類型的數據包編碼(DPE)：身份驗證標頭(AH)和封裝安全負載(ESP)DPE。這些編碼為數據提供網絡級安全性，AH提供數據包的真實性和完整性，通過密鑰散列函數(也稱為MAC(消息驗證代碼))可以進行驗證，此標題還禁止非法修改，并可選擇提供反重放安全性。AH可以在多個主機，多個網關或多個主機和網關之間建立安全性，所有這些都實現了AH ，ESP標頭提供加密，數據封裝和數據機密性。通過對稱密鑰提供數據機密性。

在通過各種隧道和網關的過程中，會向數據包添加額外的標頭，在每次通過網關時，數據報都包含在新的標頭中。此標頭中包含安全參數索引(SPI)，SPI指定最后一個系統用于查看數據包的算法和密鑰，此系統中的有效負載也受到保護，因為將檢測到數據中的任何更改或錯誤，從而導致接收方丟棄數據包。標頭應用于每個隧道的開頭，然后在每個隧道的末尾進行驗證和刪除，這種方法可以防止不必要的開銷累積。

IPsec的一個重要部分是安全關聯(SA)，SA使用AH和ESP中攜帶的SPI編號來指示哪個SA用于數據包，還包括IP目標地址以指示端點：這可以是防火墻，路由器或最終用戶。安全關聯數據庫(SAD)用于存儲所有使用的SA，SAD使用安全策略來指示路由器應該對數據包執行的操作，三個例子包括完全丟棄數據包，僅丟棄SA，或替換不同的SA。正在使用的所有安全策略都存儲在安全策略數據庫中。

IPsec的缺點

在某些情況下，不可以進行直接的端到端通信(即傳輸模式)。舉一個簡單示例，其中H1和H2是一個直接隧道上的兩個主機，H1使用防火墻稱為FW1。

在大型分布式系統或域間環境中，多樣化的區域安全策略實施可能會給端到端通信帶來嚴重的問題。在上面的示例中，假設FW1需要檢查流量內容以進行入侵檢測，并且在FW1設置策略以拒絕所有加密流量以強制執行其內容檢查要求。然而，H1和H2構建直接隧道而不了解防火墻及其策略規則的存在。因此，所有流量將被FW1丟棄，該場景顯示每個策略滿足其相應的要求，而所有策略一起可能導致沖突。

IPsec最大的缺點之一是其復雜性，雖然IPsec的靈活性使其受歡迎，但它也導致了混亂，安全專家指出“IPsec包含太多選項和太多的靈活性”。IPsec的大部分靈活性和復雜性可能歸因于IPsec是通過委員會流程開發的，由于委員會的政治性質，標準中經常添加額外的功能，選項和靈活性，以滿足標準化機構的各個派系，這一過程與高級加密標準(AES)的開發中使用的標準化過程形成鮮明對比，后者是1998年到期的數據加密標準的替代。

將此與NIST [國家標準與技術研究院]為AES的發展所采取的方法進行比較是有益的，而不是委員會，NIST組織了一次競賽，幾個小組各自創建了自己的提案，并且在撰寫本文時，已經有一個消除階段，剩下的五個候選人中的任何一個都會比任何一個委員會做出的標準要好得多。

此外，IPsec的大部分文檔都很復雜且令人困惑，沒有提供概述或介紹，也沒有確定IPsec的目標，用戶必須組裝這些部件并嘗試理解可能被描述為難以閱讀的文檔。為了說明用戶必須忍受的挫敗感，請考慮ISAKMP規范，這些規范缺少關鍵解釋，包含許多錯誤并且在不同位置自相矛盾。

然而，盡管IPsec可能并不完美，但與其他安全協議相比，它被認為是一項重大改進。例如，考慮流行的安全系統安全套接字層，雖然SSL廣泛部署在各種應用程序中，但它本身就受到限制，因為它在傳輸/應用程序層上使用，需要修改任何想要包含使用SSL能力的應用程序。由于IPsec用于第3層，因此只需要對操作系統進行修改，而不是對使用IPsec的應用程序進行修改。

IPsec是否過于復雜和令人困惑?

IPsec包含所有最常用的安全服務，包括身份驗證，完整性，機密性，加密和不可否認性。但是，IPsec的主要缺點是其復雜性和相關文檔的混亂性質，盡管存在各種缺點，但許多人認為IPsec是可用的最佳安全系統之一。希望在未來的IPsec修訂版中能夠證明可以得到相當大的改進，并且可以解決與架構相關的問題。