IPSec VPN-北京国泰网信科技公司

IPsec的缺点

在某些情况下，不可以进行直接的端到端通信(即传输模式)。举一个简单示例，其中H1和H2是一个直接隧道上的两个主机，H1使用防火墙称为FW1。

在大型分布式系统或域间环境中，多样化的区域安全策略实施可能会给端到端通信带来严重的问题。在上面的示例中，假设FW1需要检查流量内容以进行检测，并且在FW1设置策略以拒绝所有加密流量以强制执行其内容检查要求。

然而，H1和H2构建直接隧道而不了解防火墙及其策略规则的存在。因此，所有流量将被FW1丢弃，该场景显示每个策略满足其相应的要求，IPSec VPN供应，而所有策略一起可能导致冲突。

IPSec VPN网关建立隧道

建立隧道说起来简单，IPSec VPN公司，做起来不容易。如果两个设备都有合法的公网IP，那么建立一个隧道是比较容易的。

如果一方在nat之后，那就比较麻烦了。一般通过内部的vpn节点发起一个udp连接，再封装一次ipsec，送到对方，因为udp可以通过防火墙进行记忆，因此通过udp再封装的ipsec 包，可以通过防火墙来回传递。

建立隧道以后，就确定隧道路由，即到哪里去，走哪个隧道。很多VPN隧道配置的时候，就定义了保护网络，这样，隧道路由就根据保护的网络关系来决定。

但是这丧失了一定的灵活性。所有的ipsec VPN展开来讲，实现的无非就是以上几个要点，具体各家公司，各有各的做法。但是可以肯定，目前在市场销售的VPN，肯定都已经解决了以上的问题。

IPsec是否过于复杂和令人困惑?

IPsec包含所有常用的安全服务，IPSec VPN报价，包括身份验证，完整性，IPSec VPN，机密性，加密和不可否认性。但是，IPsec的主要缺点是其复杂性和相关文档的混乱性质，尽管存在各种缺点，但许多人认为IPsec是可用的安全系统之一。希望在未来的IPsec修订版中能够证明可以得到相当大的改进，并且可以解决与架构相关的问题。