IPsec vpn 隧道的基本构建块如下 -
Authentication header - 它用于验证数据发送者的身份并检查它是否被更改。它将每个数据包中的数据与可验证的签名联系起来。它用于身份验证。
封装安全有效载荷- 数据包中的数据使用加密技术进行加扰,以防止嗅探攻击。它确保数据的机密性,因为数据是加密的,除了拥有密钥的人之外,任何人都无法理解。
Internet 密钥交换- 一种允许用户就身份验证方法、加密方法、使用哪个密钥以及在出于安全目的更改密钥之前可以使用密钥的时间达成一致的协议。这些技术确保了数据的完整性。
Ipsec 协议- 它是一种安全网络协议,用于对数据包进行身份验证和加密,以提供一个安全的加密网络,该网络对网络上的两台计算机的通信具有适当的身份验证措施。该网络通过加密、解密和验证的数据包提供数据验证、完整性和机密性。
diffie-helman - 它是一种通过网络的公共通道安全地交换加密密钥的方法。它是两台计算机可以生成共享私钥的协议,通过该协议它们可以轻松地相互通信或通过不安全的通道安全地共享数据。
传输模式和网络隧道模式
在传输模式下,只有 IP 数据包加载被加密或授权。路由不完整,因为IP头没有改变,没有隐藏;但是,当使用身份验证标头时,无法转换 IP 地址,因为这将始终禁用哈希值。传输层和操作层或应用层始终受散列保护,因此不能以任何方式更改它们(例如,通过转换端口号)。
在隧道模式下,整个 IP 数据包被加密和/或认证。然后将其添加到具有新 IP 标题或标题的新 IP 包中。隧道模式用于为网络到网络通信(例如连接到站点的路由器之间)、设备网络通信(例如,用户远程访问)和设备通信(例如私有聊天)创建VPN。