IPsec操作
IPsec的一个重要部分是安全关联(SA),SA使用AH和ESP中携带的SPI编号来指示哪个SA用于数据包,还包括IP目标地址以指示端点:这可以是防火墙,路由器或用户。
安全关联数据库(SAD)用于存储所有使用的SA,SAD使用安全策略来指示路由器应该对数据包执行的操作,三个例子包括完全丢弃数据包,仅丢弃SA,或替换不同的SA。正在使用的所有安全策略都存储在安全策略数据库中。
IPSec VPN网关产品特点
安全接入与安全防护无缝结合
IPSec VPN网关作为网络边界设备,除了完成远端网络或移动用户的远程接入功能外,还对用户网络边界提供安全防护。IPSec VPN网关集成了业内的防火墙功能模块,能够为用户的VPN网络提供高等级的边界安全防护与访问控制。
IPSec VPN网关支持完善的基于完全内容检测的访问控制技术,可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行检查,实现内容防护。
IPSec VPN网关安全接入与安全防护无缝结合
IPSec VPN网关在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;
在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;从而形成了立体的访问控制机制,实现了安全控制。
IPSec安全网关的使用场合和作用
IPSec用于防火墙和路由器等网际设备,可为通过网际设备的业务流提供强安全业务,且在LAN内(比如一个公司的LAN)的业务无需进行安全性处理。
IPSec用于防火墙,可防止使用IP的业务流绕过防火墙。
IPSec位于传输层(TCP、UDP)之下,所以它对应用程序来说是透明的。且当IPSec用于防火墙或路由器时,无需修改用户或服务器所使用的软件。即使IPSec用于端系统时,上层软件(包括应用程序)也不受影响。