ipsec安全联盟是由哪些元素组成的云主机是由什么组成

IPsec是一套用于保护通信安全的协议——实际上，该名称本身就是ProtocolSecurity的缩写。

如果您今天使用IPsec，它可能是在虚拟专用网络或VPN的环境中。顾名思义，VPN在公共上的两台机器之间创建网络连接，与专用内部网络中的连接一样安全（或几乎一样安全）：可能VPN最著名的用例是允许远程员工访问公司防火墙后面的安全文件，就像他们在办公室工作一样。

在安全套件的协议是技术，主要种的安全VPN一个所谓的IPsec的VPN，自然。在本文的大部分内容中，当我们说VPN时，我们指的是IPsecVPN，在接下来的几个部分中，我们将解释它们的工作原理。

关于IPsec端口的注意事项：如果您希望设置防火墙以允许IPsecVPN连接，请确保打开UDP端口500以及IP端口50和51。

在我们深入了解IPsecVPN的工作原理之前，我们需要了解是什么赋予了它们在网络世界中的特殊地位，为此我们需要讨论OSI网络模型。OSI模型定义了七层——基本上是不断增加的抽象层——在这些层上进行网络通信。堆栈的顶部是第7层，即应用程序层，即您的Web浏览器所在的层；底部是第1层，即物理层，电脉冲在此通过电线传输。

该模型的核心是传输层（第4层）和网络层（第3层）。为管理传输层而编写的代码在单独的计算机上运行，​​并负责协调终端系统和主机之间的数据传输：要发送多少数据、以什么速率发送以及去向何处。一旦这一切都设置好了，传输层就会将数据交给网络层，网络层主要由运行在路由器和构成网络的其他组件上的代码控制。这些路由器决定单个网络数据包到达目的地的路由，但通信链两端的传输层代码不需要知道这些细节。

位于核心的TCP/IP协议套件跨越这两层——TCP（或传输控制协议）用于传输，而IP用于网络。就其本身而言，IP没有任何内置安全性，正如我们所指出的，这就是开发IPsec的原因。但是IPsec紧随其后的是SSL/TLS——TLS代表传输层安全，它涉及在该层加密通信。

如今，TLS已内置于几乎所有浏览器和其他互联网连接应用程序中，并且对于日常互联网使用来说已经绰绰有余。但这并不完美，如果攻击者能够破解或以其他方式绕过您的TLS加密，他们就可以访问您通过发送的单个网络数据包中的数据。这就是IPsecVPN可以添加另一层保护的原因：它涉及保护数据包本身。

IPsecVPN连接始于在两台正在通信的计算机或主机之间建立安全关联(SA)。通常，这涉及交换加密密钥，这将允许各方对其通信进行加密和解密。（有关密码学一般工作原理的更多信息，请查看CSO的密码学解释器。）所使用的确切加密类型是在两台主机之间自动协商的，并将取决于它们在CIA三元组中的安全目标；例如，您可以加密消息以确保消息完整性（即，确保数据未被更改）而不是机密性。但在大多数情况下，您也会尝试对数据保密。

关于SA的信息被传递到在每个通信主机上运行的IPsec模块，每个主机的IPsec模块使用该信息来修改发送到另一台主机的每个IP数据包，并处理收到的类似修改后的数据包。这些修改会影响数据包的标头——数据包开头的元数据，解释数据包的去向、来源、长度和其他信息——以及它的有效载荷，即正在发送的实际数据。

请注意，可以同时使用AH和ESP，尽管较新版本的ESP协议包含了AH的大部分功能。无论如何，这两种协议都内置于IP实现中。

IKE和ESP建立的加密完成了我们期望从IPsecVPN中完成的大部分工作。您会注意到，我们对这里的加密工作方式有些含糊；这是因为IKE和IPsec允许使用广泛的加密套件和技术，这就是IPsec在该领域取得超过20年进步的原因。IPsecVPN将公钥基础设施(PKI)用于加密目的是相当普遍的，但这绝不是必需的，还有其他选项可用。

IPsec有两种不同的运行方式，称为模式：隧道模式和传输模式。两者之间的区别与IPsec如何处理数据包头有关。在传输模式下，IPsec仅加密（或验证，如果仅使用AH）数据包的有效载荷，但或多或​​少地保留现有数据包头数据。在隧道模式下，IPsec创建一个带有新标头的全新数据包，加密（或验证）包括其标头在内的整个原始数据包，并使用修改后的原始数据包作为新数据包的有效载荷。

你什么时候会使用不同的模式？如果网络数据包已从专用网络上的主机发送或发往专用网络上的主机，则该数据包的标头包含有关这些网络的路由数据——黑客可以分析该信息并将其用于恶意目的。保护该信息的隧道模式通常用于位于企业专用网络外边缘的网关之间的连接。一个数据包在离开一个网络时被加密，并放入一个新的数据包中，该数据包的目的地是目标网络的网关。一旦它到达网关，它就会被解密并从封装数据包中删除，并沿其发送到内部网络上的目标主机。因此，当数据包穿越公共互联网时，有关专用网络拓扑的标头数据永远不会公开。

另一方面，传输模式通常用于工作站到网关和主机到主机的直接连接。例如，使用Windows远程桌面帮助诊断用户计算机上的问题的服务技术将使用传输模式连接。

如上所述，IPsecVPN并不是城里唯一的游戏。还有SSLVPN，顾名思义，它受TLS协议而非IPsec保护。SSLVPN通过网络浏览器运行，通常用于访问有防火墙的内联网网站。因为它们内置于每个人都熟悉的浏览器软件中，所以SSLVPN使用起来要简单得多；IPsecVPN通常需要安装和配置专门的软件。SSLVPN还可以提供对专用网络的更细粒度的限制访问。

另一方面，由于它使用TLS，因此SSLVPN在传输层而非网络层受到保护，因此这可能会影响您对它在多大程度上增强连接安全性的看法。