×××的定義：通過(guò)一個(gè)公共的網(wǎng)絡(luò)以加密或不加密的方式將連續(xù)兩個(gè)或多個(gè)私有局域網(wǎng)連在一起，就像在一個(gè)局域網(wǎng)中一樣 ? <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> ×××-An encrypted connection between private networks over a public network such as the Internet ×××的分類：根據(jù)連接私有網(wǎng)絡(luò)的介質(zhì)/公共網(wǎng)絡(luò)類型進(jìn)行分類，或者說(shuō)是按照貓畫(huà)虎OSI7層結(jié)構(gòu)的分類 1、? 數(shù)據(jù)鏈路層×××/二層×××：FR/ATM/ISDN/DDN專線等 2、? 網(wǎng)絡(luò)層×××/三層×××：IPsec×××（學(xué)習(xí)重點(diǎn)）/GRE-×××/L2TP-×××等 3、? 應(yīng)用層×××/高層×××：SSL-based×××（利用安全套接子層協(xié)議在server與client之間建立一個(gè)供WEB使用的×××連接）等

?

L2TP-×××：第二層遂道協(xié)議×××

?

×××解決的問(wèn)題： 1、? 兩個(gè)或多個(gè)私有網(wǎng)絡(luò)的互聯(lián) 2、? 移動(dòng)用戶訪問(wèn)公司網(wǎng)絡(luò)

?

基于以上×××所要解決的兩個(gè)問(wèn)題，IPsec×××也分為兩種：（其實(shí)不止這兩種） 1、LAN-TOLAN/SITE-TO-SITE??? 是廣域網(wǎng)的擴(kuò)展 2、Remote-access/Easy-×××?????? 基于client-server模式，客戶端可硬可軟，是撥號(hào)的擴(kuò)展 其實(shí)屬于IPsec×××的還有DM×××/Redundancy×××（動(dòng)態(tài)多點(diǎn)×××/）等等種類，它們用自已不同的方式也能解決以上兩個(gè)問(wèn)題

?

有一種比較特殊的叫做Firewall-Based×××，與上述分類標(biāo)準(zhǔn)無(wú)關(guān)而獨(dú)立布在

?

CISCO關(guān)于不同類型的×××的總體設(shè)備選型：

?	Site-to-Site ×××	Remote access ×××
×××-enabled router	Primary role (full-fledged IOS)	Secondary role
3000	Secondary role	Primary role (full-fledged remote access solution)
PIX Firewall	Security organization Owns ××× solution	Enhance existing PIX Firewall with the ××× Remote access solution

×××3000只能在北美銷(xiāo)售，所以用ASA+×××模塊（完全集成了×××3000）的方式在北美以外銷(xiāo)售，高版本的×××3000支持硬件加速，以減輕CPU的負(fù)荷（×××3030以上才有）

?

詳細(xì)設(shè)備選型匯總：

Customer type	Remote access	Site-to-site	Firewall-based
Large enterprise	Concentrators 3060,3080	CAT 6500 Routers 7100,7200,7400	PIX Firewall 525,535
Medium enterprise	Concentrators 3030	Rotuers 3800,7100	515,525
Small business or Branch office	Concentrator 3005,3015	Router 1700,2600,3600	PIX Firewall 506,515
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />Soho market	Cisco ××× software client Hardware client	Routers 800,900	PIX Firewall 501,506

Cisco now provides the industry’s broadest ××× solution set. 路由器從12.1以后、PIX從5.2以后都支持各種××× IPsec是一個(gè)開(kāi)放的、標(biāo)準(zhǔn)的框架，并未直接定義如何加密、驗(yàn)證問(wèn)題 IPsec也不是一種算法，只是一個(gè)框架，或者說(shuō)是一個(gè)協(xié)議集，由下面的很多子協(xié)議構(gòu)成 IPsec的目的是在IP層面來(lái)保障數(shù)據(jù)包的安全。

?

IPsec提倡： 1、? 數(shù)據(jù)的機(jī)密性（通過(guò)對(duì)稱加密算法或非對(duì)稱加密算法來(lái)實(shí)現(xiàn)，而加密算法所需要密鑰通過(guò)DH1/2/5/7，DH實(shí)際上是一套密鑰管理系統(tǒng)）

2、? 數(shù)據(jù)的完整性（通過(guò)HASH）

3、? 數(shù)據(jù)的起源認(rèn)證（通過(guò)數(shù)字簽名）

4、? 數(shù)據(jù)的不可否認(rèn)性（通過(guò)數(shù)字簽名）

以下分別論述

?

數(shù)據(jù)的機(jī)密性實(shí)現(xiàn)：（總的來(lái)說(shuō)是通過(guò)對(duì)數(shù)據(jù)（特別注意：密鑰管理系統(tǒng)與加密算法是兩個(gè)完全不同的概念，密鑰管理系統(tǒng)是用來(lái)生成、交換、注銷(xiāo)以及銷(xiāo)毀密鑰的，加密算法需要密鑰管理系統(tǒng)的支持）進(jìn)行加密算法、也就是用密鑰加密后傳輸?shù)綄?duì)端，對(duì)端再用加密算法、也就是密鑰解密后取出數(shù)據(jù)，但細(xì)節(jié)有所不同，有的甚至相差很大） 加密是一個(gè)過(guò)程，解密是另一個(gè)過(guò)程 安全是相對(duì)的，只要在暫時(shí)的財(cái)力和物力中無(wú)法解密，就算是安全的。

轉(zhuǎn)載于:https://blog.51cto.com/ltyluck/204248

總結(jié)

以上是生活随笔為你收集整理的ipsec ***概念(一)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。