防火墙IPESC VNP技术.doc

幻灯片 1 ? ? ? 幻灯片 2 ? ? ? 幻灯片 3 ? ? ? 幻灯片 4 ? ? ? 幻灯片 5 ? ? IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。换一个说法就是，IPSec不是一个单独的协议，而是一系列为IP网络提供完整安全性的协议和服务的集合。这些协议和服务结合起来提供不同数据的保护。因为IPSec工作在IP层，所以它能为上层协议和应用提供透明的安全服务，这也是它的最大好处。 IPSec提供的安全服务包括： 私有性（Confidentiality） 指对用户数据进行加密保护，用密文的形式传送。 完整性（Data integrity） 指对接收的数据进行验证，以判定报文是否被篡改。 真实性（Data authentication） 指验证数据源，以保证数据来自真实的发送者。 防重放（Anti-replay） 指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。 ? 幻灯片 6 ? ? IPSec协议有两种操作模式：传输模式和隧道模式。 在传输模式下，IPSec协议处理模块会在IP报头和高层协议报头之间插入一个IPSec报头。在这种模式下，IP报头与原始IP分组中的IP报头是一致的，只是IP报文中的协议字段会被改成IPSec协议的协议号（