原创力文档SADB概述 SADB(Security Association Database,安全关联数据库)。SADB并不是通常意义上的“数据库”,而是将所有的SA以某种数据结构集中存储的一个列表。在SADB中包含每一个SA的详细参数信息,如算法、密钥等。 对于进入的流量,如果需要进行IPSec处理,IPSec将从IP包中得到三元组(SPI,DST,Protocol),并利用这个三元组在SADB中查找一个SA。有时是四元组,加上源地址(SRC)。 * 第二章 IPSec协议工作原理 SP概述 SP(Security Policy,安全策略):决定对IP数据包提供何种保护,并以何种方式实施保护。 SP主要根据源IP地址、目的IP地址、入数据还是出数据等来标识。 IPSec还定义了用户能以何种粒度来设定自己的安全策略,不仅可以控制到IP地址,还可以控制到传输层协议或者TCP/UDP端口等,即通常所说的感兴趣数据流。 SPDB概述 SPDB也不是通常意义上的“数据库”,而是将所有的SP以某种数据结构集中存储的列表。(包处理过程中,SPDB和SADB两个数据库要联合使用) * 第二章 IPSec协议工作原理 当接收或将要发出IP包时,首先要查找SPDB来决定如何进行处理。存在3种可能的处理方式:丢弃、不用IPSec和使用IPSec。 丢弃:流量不能离开主机或者发送到应用程序,也不能进行转发。
文档评论(0)