IPSec安全特性

随着越来越多的企业、单位接入Internet和接入速度的不断提高，网络安全正日益成为网络管理的一个重要课题。作为广泛部署的Windows（NT）Server系统自身的安全受到越来越多的关注。市场上也出现了很多软、硬件防*墙产品来**内网服务器的安全。其实，Windows（NT）Server系统自身便带有功能强大的防*墙系统－IPSec，其全面的安全保护功能并不输于其它商业防*墙产品。

使用internet协议安全（Internet Protocol Security，IPSec）是解决网络安全问题的**之计。它能针对那些来自专用网络和internet的攻击提供重要的防线，并在网络安全性与便用性之间取得平衡。IPSec是一种加密的标准，它允许在差别很大的设备之间进行安全通信。利用IPSec不仅可以构建基于操作系统的防*墙，实现一般防*墙的功能。它还可以为许可通信的两个端点建立加密的、可靠的数据通道。

IPSec 协议不是一个单*的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

IPSec的安全特性主要有：

不可否认性："不可否认性"可以证实消息发送方是**可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才**拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。

反重播性："反重播"**每个IP包的**性，**信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。

数据完整性：防止传输过程中数据被篡改，**发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。

数据可靠性（加密）：在传输前，对数据进行加密，可以**在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。

认证：数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。