由于安全路由器具有數據加密的功能,局域網上的需要傳輸的數據在通過安全路由器向外發送時,安全路由器會根據一定的加密算法把數據加密,接收到該數據的對端也要使用相同的算法才能把數據還原。
安全路由器的IPSec的隧道模式還具有隱藏內部網絡拓撲結構圖的功能,安全路由器對所有需要發送的IP包,進行重新封裝,在原來的IP包上封裝源和目的網關的IP地址;目的路由器對接收到的IP包,先去掉IPSec所增加的IP包頭,然后再根據IP包的源和目的地址,把該IP包發送到局域網上的目的主機上。
當局域網A上的用戶要給局域網B上的用戶發送數據時,首先A用戶的IP報文通過出口安全路由器時被重新打包,在原來的IP包上封裝源和目的網關的IP地址,封裝后的IP報文傳送到目的地B端的安全路由器時,可被自動識別出來,同時IP報文重新被解包,最終傳送到B端用戶。
IPSec技術介紹
IPSec是一個開放式標準的框架。基于IETF開發的標準,IPSec可以在一個公共IP網絡上確保數據通訊的可靠性和完整性。IPSec對于實現通用的安全策略所需要的基于標準的靈活的解決方案提供了一個必備的要素。
TCP/IP協議簇提供了一個開放式協議平臺,正將越來越多的部門和人員用網絡連接起來,網絡正在快速地改變著我們工作和生活的方式,但是安全性的缺乏已經減慢了聯網的發展速度。目前網絡面臨的各種威脅包括保密數據的泄露、完整性的破壞、身份偽裝和拒絕服務等。
首先是保密數據的泄露。一個罪犯可能會在公網上竊聽保密性數據。這個可能是目前互相通信之間的最大障礙。沒有加密,每個發送的信息可能被一個未被授權的組織所竊聽。由于早期協議對安全考慮的匱乏,各種用戶驗證信息如用戶名或口令均以明碼在網絡上傳輸。竊聽者可以很容易得到用戶的帳戶信息。
其次是數據完整性的破壞。即使數據不是保密的,還要確保數據完整性。也許你不在乎別人看見你的交易過程,但你肯定在意交易是否被篡改。如果一旦你能用向銀行驗證你的身份,你一定想確保交易本身的內容不會被以某種方式被修改,如存款數額不會被修改。
再次是身份偽裝。除了保護數據本身以外,你肯定還要保護自己的身份。一個聰明的入侵者可能會偽造你的有效身份,存取只限于你本人可存取的保密信息。目前許多安全系統依賴于IP地址來唯一地識別用戶。不幸的是,這種系統很容易被欺騙并導致侵入。
另一種威脅是拒絕服務。一旦聯網之后,必須確保系統隨時可以工作。在過去數年內,攻擊者已在TCP/IP協議簇及其具體實現中發現若干弱點,以使他們可造成某些計算機系統崩潰。
對于抵抗上述威脅保障網絡安全并沒有一個簡單的答案。加密和驗證是抵抗上述威脅保障的關鍵服務。很明顯,如果數據在傳輸過程中加密,那么sniffer就不能偵聽和篡改。而網絡層驗證可以防止身份偽裝和拒絕服務。如果設備能正確識別數據的來源,那么就很難模仿一個友好的設備去實現拒絕服務的攻擊。
為實現IP網絡上的安全,IETF建立了一個Internet安全協議工作組負責IP安全協議和密鑰管理機制的制定。經過幾年的努力,該工作組提出一系列的協議,構成一個安全體系,總稱為IP Security Protocol,簡稱為IPSec。
IPSec主要包括兩個安全協議AH(Authentication Header)和ESP(Encapsulating Security Payload)及密鑰管理協議IKE(Internet Key Exchange)。AH提供無連接的完整性、數據發起驗證和重放保護。ESP 還可另外提供加密。密鑰管理協議IKE 提供安全可靠的算法和密鑰協商。這些機制均獨立于算法,這種模塊化的設計允許只改變不同的算法而不影響實現的其它部分。協議的應用與具體加密算法的使用取決于用戶和應用程序的安全性要求。
IPSec可以為IP提供基于加密的互操作性強高質量的通信安全,所支持的安全服務包括存取控制、無連接的完整性、數據發起方認證和加密。這些服務在IP上實現,提供IP層或IP層之上的保護。實現網絡層的加密和驗證可以在網絡結構上提供一個端到端的安全解決方案。這樣終端系統和應用程序不需要任何改變就可以利用強有力的安全性保障用戶的網絡內部結構。因為加密報文類似于通常IP報文,因此可以很容易通過任意IP網絡,而無須改變中間的網絡設備。只有終端網絡設備才需要了解加密,這可以大大減小實現與管理的開銷。由于IPSec的實現位于網絡層上,實現IPSec的設備仍可進行正常的IP通信,這樣可以實現設備的遠程監控和配置。
