IP 安全性协议

在线编辑

IP 安全性 (IPSec) 为提供网络层安全性提供稳定,持久的基础。

IPSec 支持当前正在使用的所有密码算法,并且还可以在可用时容纳更新的,更强大的算法。 IPSec 协议可解决以下主要安全问题:

data origin authentication(数据起源认证)
验证每个数据报是否由声明的发送方发起。
数据完整性
验证数据报的内容是否未在传输过程中有意或由于随机错误而更改。
data confidentiality(数据机密性)
隐藏消息的内容,通常使用加密。
replay protection(重放保护)
确保攻击者无法拦截数据报并在稍后回放该数据报。
自动管理密钥和安全关联
确保您的 VPN 策略可以在整个扩展网络中使用,只需很少或不需要手动配置。

VPN 使用两个 IPSec 协议来保护流经 VPN 的数据: 认证头 (AH) 和封装安全有效内容 (ESP)。 IPSec 启用的另一部分是因特网密钥交换 (IKE) 协议或密钥管理。 当 IPSec 对数据进行加密时, IKE 支持自动协商安全关联 (SA) 以及自动生成和刷新密钥。

注: 某些 VPN 配置可能具有安全漏洞,具体取决于 IPSec 的配置方式。 该漏洞会影响配置,其中 IPsec 配置为在具有机密性 (加密) 但没有完整性保护 (认证) 或认证头 (AH) 的隧道方式下采用封装安全性有效负载 (ESP)。 选择 ESP 时的缺省配置始终包含提供完整性保护的认证算法。 因此,除非除去 ESP 变换中的认证算法,否则将保护 VPN 配置不受此漏洞的影响。 IBM® Universal Connection VPN 配置不受此漏洞影响。
要检查系统是否受此安全漏洞影响,请执行以下步骤:
  1. IBM Navigator for i中,展开 网络 > IP 策略 > 虚拟专用网络 ,然后单击 IP 安全策略
  2. 右键单击 数据策略 ,然后选择 打开
  3. 右键单击要检查的数据策略,然后选择 属性
  4. 单击 建议 选项卡。
  5. 选择正在使用 ESP 协议的任何数据保护建议,然后单击 编辑
  6. 单击 变换 选项卡。
  7. 从列表中选择任何使用 ESP 协议的变换,然后单击 编辑
  8. 验证认证算法是否具有任何其他值,然后验证

因特网工程任务组 (IETF) 正式定义 IPSec in Request for Comment (RFC) 4301 , Security Architecture for The Internet Protocol。 您可以在因特网上的以下 Web 站点上查看此 RFC: http://www.rfc-editor.org。

下面列出了主要的 IPSec 协议: