到达网线之前)对数据实施加密,在整个传输过程中,报文都是以密文方式传输,直到数据到达目的节点,才由接收端对其进行解密。IPSec对数据的加密以数据包而不是整个数据流为单位,这不仅更灵活,也有助于进一步提高IP数据包的安全性。通过提供强有力的加密保护,IPSec可以有效防范网络攻击,保证专用数据在公共网络环境下的安全性。
一个完善的企业安全计划,应该是多种安全策略的有机组合,将IPSec与用户访问控制、边界保护以及物理层保护相结合,可以为企业数据通信提供更高层次的纵深防护。
二、用IPSec抵御网络攻击
网络攻击者要破译经过IPSec加密的数据,即使不是完全不可能,也是非常困难的。根据不同类别数据对于保密需求的不同,IPSec策略中有多种等级的安全强度可供选择。使用IPSec可以显著地减少或防范前面谈到过的几种网络攻击。
·Sniffer:Sniffer可以读取数据包中的任何信息,因此对抗Sniffer,最有效的方法就是对数据进行加密。 IPSec的封装安全载荷ESP协议通过对IP包进行加密来保证数据的私密性。
·数据篡改:IPSec用密钥为每个IP包生成一个数字检查和,该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改,都会改变检查和,从而可以让接收方得知包在传输过页码:[1] [2] [3] [4] [5] [6] [7] [8] 第7页、共8页 |
