|
|
|
|
|
|
|
|
包即使被截获也不容易破译。如何实现这一点,以前的VPN很多的采用SSL等方法对数据进行加密,但是缺点是配置安全策略不够灵活,另外,需要在高层协议上开发大量的代码,唯一的优点就是能够对DOS(服务拒绝)攻击由较好的防御。
4.基于IPsec的虚拟专用网
当IPsec用于路由器时,就可以建立虚拟专用网。在路由器的连内部网的一端,如图2所示,是一个受保护的网络,另一端则是不安全的公共网络。两个这样的路由器建立起一个安全通道,通信就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一个VPN。
在这个VPN中,每一个具有IPsec的路由器都是一个网络聚合点,试图对VPN进行通信分析将会失败。目的地是VPN的所有通信都经过路由器上的SA来定义加密或认证的算法和密钥等参数,即从VPN的一个路由器出来的数据包只要符合安全策略,就会用相应的SA来加密或认证(加上AH或ESP报头)。整个安全传输过程由IKE控制,密钥自动生成,保护子网内的用户根本不需要考虑安全,所有的加密和解密由两端的路由器全权代理。
我们来看看数据包的处理过程,先看看数据包的外出处理:
(1)源主机TCP层通过调用ip_output()函数,调用IP层,令其发送一个数据包给路由器;页码:[1] [2] [3] [4] [5] [6] [7] 第5页、共7页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
