IPSec不是一个单一的协议。它可做到网络层的加密与认证,网络架构中有一个端到端的安全解决方案;对每个IP分组进行分别鉴别;内置在操作系统中;对任一IP流实施加密保护,也对用户是透明的。
1)通过Internet实现一个机构各分支办公室的安全连接:一个机构或公司可在Internet或公用广域网上创建安全的VPN。这使得企业主要依靠互联网来减少构建专用网络的需要,因而节省了建设费用与网络管理的负担。
2)基于因特网的安全远程访问:如果用户系统配备了IP安全协议,他可以通过本地互联网服务提供商安全访问公司网络,这是商务旅行或旅行的理想选择。
3)与企业合作伙伴建立起企业内部网和企业外部网: IPSec可用于与其他组织间的安全通信,确保鉴别与机密性,并可提供密钥交换功能。
4)增强电子商务的安全性:虽说一些WEB与电子商务应用已内置了相关的安全协议,使用IPSec可提升其安全性。
IPSec能支持以上不一样应用的特点是其可加密与鉴别在IP层的全部通信。
IPSec在路由中也起着重要作用,可以保证:
1)路由器通告或邻站通告源于被认可的路由器;
2)重定向的报文源自原始报文的目标路由器;
3)路由更新不会被伪造。
这些安全措施保证了攻击者不能中断通信或者转移通信量。
IPSec的优点表现为如下几点。
1)由于IPSec处于传输层的下面,所以对于应用是透明的。所以当于防火墙、路由器或用户终端系统上完成IPSec时,并不对应用程序产生任何的改变。
2)IPSec可向个人用户提供安全性。这针对不在本地的工作者或一个组织内部,为敏感的应用建立只有少数人才可使用的虚拟子网是必要的。
3)IPSec对跨越局域网边界的通信量有安全保障,不过针对局域网内部的通信,它不可能产生任一和涉及安全的处理负荷。
4)IPSec对于终端用户是透明的。不必对用户进行安全培训,也不涉及密钥的分发与管理等问题。
以下一个使用IPSec的典型方案。一个组织可能在不同的地点建立了多个局域网,在每个局域网内部传输的是不安全的IP通信量。当局域网内的IP数据包要离开局域网进入某个公开或专用的广域网时,为了保证传输数据的安全性,就需用IPSec协议。IPSec协议运行在把局域网和外部世界连接起来的网络设备上。这些支持IPSec协议的网间互联设备的任务之一就是:将从局域网进入广域网的全部通信量实施加密与压缩;对全部从广域网进入局域网的通信量实施解密与解压。另外,对于拨号进入广域网的单个用户来说,通过IPSec提供安全传输也是可能的,条件是用户工作站必须支持IPSec协议。
