ipsec是通过对ip协议的分组进行加密

IPsec---（英语：ProtocolSecurity，缩写为IPsec），是一个协议包，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。

实际上IPsec是一整套协议包而不只是一个单独的协议，这一点对于我们认识IPSec是很重要的。IPsec协议把多种安全技术集合到一起，从而建立起一个安全、可靠的隧道。在IPsec安全体系结构中包括了3个最基本的协议：AH（AuthenticationHeader）协议为IP包提供信息源验证和完整性保证；ESP（EncapsulatingSecurityPayload）协议提供加密保证；密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。

●访问控制访问控制是指防止未经授权对资源进行访问。IPsec中，需要进行访问控制的资源通常指主机中的数据和计算能力、安全网关内的本地网及其带宽。IPsec使用身份认证机制进行访问控制。

●机密性和有限传输流量的机密性相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。有限传输流量的机密性服务是指防止对通信的外部属性（源地址、目的地址、消息长度和通信频率等）的泄露，从而使攻击者无法对网络流量进行分析，推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。

●无连接完整性和抗重播无连接完整性服务对单份数据包是否被修改进行检查，而对数据包的到达顺序不作要求。IPsec使用数据源认证机制实现无连接完整性服务。IPsec的抗重播服务，亦称为部分序号完整性服务，是指防止攻击者截取和复制IP包，然后发送到目的地。IPsec根据IPsec头中的序号字段，使用滑动窗口原理，实现抗重播服务。

上面的服务都在IP层上实现。IPsec采用了以下两个协议提供传输安全:AH和ESP。IPAH提供无连接完整性、数据源认证和可选的防重播服务。ESP协议可提供机密性和受限传输流机密性；还可提供无连接完整性、数据源认证和防重播服务。这些协议可单独使用或组合使用，以提供所希望的安全服务。

IPsec允许用户（或系统管理员）控制安全服务的粒度。如:单个加密隧道用于两个安全网关间所有的传输或在通过网关的两台主机间为每个TCP连接建立独立的加密隧道。IPsec管理在下列方面体现了很大的灵活性：使用何种安全服务和何种组合;给定的安全保护采用何种粒度;用于加密的算法。

由于这些安全服务使用共享的安全值（加密密钥），因此IPsec必须依赖于一套独立的密钥管理机制。IPsec提供了一个基于公钥体系的实现方法IKE，并要求支持手工和自动密钥分发。在IPsec中采用了多种密码技术。同时，也可以采用其他自动密钥分发技术，如：基于KDC的系统（Kerberos）和其他公钥系统。

IPsec较好地融合了加密技术和访问控制技术，实现了在主机或安全网关环境中对IP传输的保护。这种保护或者基于安全策略数据库（SPD）中定义的需求，或者基于由应用定义的需求。通常，报文按SPD数据库中匹配的情况，根据IP和传输层的头信息选择提供IPsec安全服务、丢弃或允许旁路（bypass），这是根据筛选器标识的相应数据库策略来确定。

IPsec可以运行于网络的任意一部分，它可以在路由器和防火墙之间、路由器和路由器之间、PC机和服务器之间、PC机和拨号访问设备之间，为各种分布式应用提供安全，可保证LAN、专用和公用WAN以及的通信安全。

CSDN-Ada助手:非常感谢您分享关于企业网络加速方案的博客！这是一个非常热门的话题，并且有很多不同的解决方案。能否请您继续写下一篇博客，深入探讨每种方案的优缺点、使用场景以及实现方法等。同时，我们也希望您能分享您对企业网络加速方案的实践经验，帮助更多读者更好地应对企业网络性能的挑战。期待您的下一篇博客，建议主题为《企业网络加速方案的实践经验分享》。年博客之星「城市赛道」年中评选已开启（/creatActivity?id=