计算机教程实用IP安全技术.pdfVIP

下载 第10章 实用IP安全技术 对保护I P数据报的安全而言，I P S e c是一个强健的、可扩展的机制。 I P S e c提供无国界的安 全保护 —数据的机密性、数据完整性、数据源身份验证、反通信分析保护以及抗重播保护 —因此，对获安全保护的I P协议没有什么要求。同样地，对通过 I P顶层传送的任何一种通信 来说，它都是理想的—基本上是对任何一种通信。 通过在I P层提供安全保护， I P S e c允许任何一个应用充分利用其机能。安全保护在堆栈上 的某处进行，而不是在要求安全保护的各应用中。因此，身份验证和访问控制在堆栈上的通 信聚合点上进行。把这一点和基于套接字的安全保护进行对比是很重要的—比如S S L—其 中，每个希望安全保护的应用都必须被修改。采用 I P S e c ，你可只修改自己的堆栈和可进行安 全保护的所有应用。 不同应用模式—通道模式和传送模式—允许在任何地方配置 I P S e c ，只要有I P堆栈存 在就可以，允许保护任何类型的、通过 I P传输的通信。对提供端到端安全保护来说，传送模 式是相当理想的，而通道模式非常适合用于提供传送过程中的通信保护。 把具有 I P S e c 的硬件放在网络中的不同地方—路由器、防火墙、主机，和线缆中