| 枫林在线论坛精华区>>信息安全 |
| [82647] 主题: ipsec(安全IP)3 |
| 作者: qmzh. (qmzh.) | ||
| 标题: ipsec(安全IP)3[转载] | ||
| 来自: 202.112.*.* | ||
| 发贴时间: 2003年08月07日 00:08:34 | ||
| 长度: 1995字 | ||
|
发信人:qmzh@smth.org (一个人的战争),信区:cn.bbs.comp.security 标 题:ipsec(安全IP)3 发信站:BBS 水木清华站 转信站:LeafOK!news.zixia.net!maily.cic.tsinghua.edu.cn!SMTH IPSEC结构 IPSEC 的结构文档(或基本架构文档),RFC2401 ,定义了IPSEC 的 基本结构,所 有具 体的 实施方案均建立在它的基础之上。它定义了IPSEC 提供的安全服务;它们 如何使用以及 在哪 里使用;数据包如何构建及处理;以及IPSEC 处理同策略之间如何协调等 等。 IPSEC 协议(包括AH 和ESP )既可用来保护一个完整的IP 载荷,亦 可用来保护某 个IP 载 荷的上层协议。这两方面的保护分别是由IPSEC 两种不同的“模式”来提 供的。 传送模式用来保护上层协议;而通道模式用来保护整个IP 数据报。在传送 模式中,IP头 与 上 层协议头之间需插入一个特殊的IPSEC 头;而在通道模式中,要保护的整 个IP 包都需封 装 到 另一个IP 数据报里,同时在外部与内部IP 头之间插入一个IPSEC 头。两 种IPSEC 协议 (AH 和ESP )均能同时以传送模式或通道模式工作。 由构建方法所决定,对传送模式所保护的数据包而言,其通信终点必须是 一个加密的终 点。 有时可用通道模式来取代传送模式,而且也许能由安全网关使用,来保护 与其它连网实 体( 比如一个虚拟专用网络)有关的安全服务。在后一种情况下,通信终点便 是由受保护的 内部 头指定的地点,而加密终点则是那些由外部IP 头指定的地点。在IPSEC 处 理结束的时候 , 安 全网关会剥离出内部IP 包,再将那个包转发到它最终的目的地。 分别处于传送模式和通道模式下的、受IPSec 保护的IP 包的图略 前面已经说过,IPSEC 既可在终端系统上实现,亦可在某种安全网关上 实现(如路由 器及 防火墙)。典型情况下,这是通过直接修改IP 堆栈来实现的,以便从最基 本的层次支持 IPS EC 。但倘若根本无法访问一部机器的IP 堆栈,便需将IPSEC 实现成为一 个“堆栈内的 块( Bump inthe Stack, BITS )”或者“线缆内的块(Bump in the Wire, B ITW )”。前 者通 常以一个额外的“填充物”的形式出现,负责从IP 堆栈提取数据包,处理 后再将其插入 ; 而 后者通常是一个外置的专用加密设备,可单独设定 |
||
|
========== * * * * * ==========
|
| 返回 |