国泰网信科技有限公司-IPSec VPN公司

IPsec操作

IPsec的一个重要部分是安全关联(SA)，SA使用AH和ESP中携带的SPI编号来指示哪个SA用于数据包，还包括IP目标地址以指示端点：这可以是防火墙，路由器或用户。

安全关联数据库(SAD)用于存储所有使用的SA，SAD使用安全策略来指示路由器应该对数据包执行的操作，IPSec VPN供应，三个例子包括完全丢弃数据包，仅丢弃SA，或替换不同的SA。正在使用的所有安全策略都存储在安全策略数据库中。

IPsec的缺点

在某些情况下，不可以进行直接的端到端通信(即传输模式)。举一个简单示例，其中H1和H2是一个直接隧道上的两个主机，H1使用防火墙称为FW1。

在大型分布式系统或域间环境中，多样化的区域安全策略实施可能会给端到端通信带来严重的问题。在上面的示例中，假设FW1需要检查流量内容以进行检测，并且在FW1设置策略以拒绝所有加密流量以强制执行其内容检查要求。

然而，IPSec VPN公司，H1和H2构建直接隧道而不了解防火墙及其策略规则的存在。因此，所有流量将被FW1丢弃，该场景显示每个策略满足其相应的要求，IPSec VPN报价，而所有策略一起可能导致冲突。

IPsec操作

在通过各种隧道和网关的过程中，会向数据包添加额外的标头，IPSec VPN，在每次通过网关时，数据报都包含在新的标头中。此标头中包含安全参数索引(SPI)，SPI一个系统用于查看数据包的算法和密钥，此系统中的有效负载也受到保护，因为将检测到数据中的任何更改或错误，从而导致接收方丢弃数据包。

标头应用于每个隧道的开头，然后在每个隧道的末尾进行验证和删除，这种方法可以防止不必要的开销累积。