IPSec防御机制

IPSec (Internet 协议安全)是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：（1）保护IP数据包安全；（2）为抵御网络攻击提供防护措施。

IPSec结合密码保护服务、安全协议组和动态密钥管理三者来实现上述两个目标，不仅能为企业局域网与拨号用户、域、网站、远程站点以及Extranet之间的通信提供强有力且灵活的保护，而且还能用来筛选特定数据流。IPSec基于一种端-对-端的安全模式。这种模式有一个基本前提假设，就是假定数据通信的传输媒介是不安全的，因此通信数据必须经过加密，而掌握加解密方法的只有数据流的发送端和接收端，两者各自负责相应的数据加解密处理，而网络中其他只负责转发数据的路由器或主机无须支持IPSec。该特性有助于企业用户在下列方案中成功地配置IPSec：

局域网：C/S模式，对等模式

广域网：路由器-对-路由器模式，网关-对-网关模式

远程访问：拨号客户机，专网对Internet的访问

众所周知，网络攻击常常可能导致系统崩溃以及敏感数据的外泄，因此数据资源必须受到足够的保护，以防被侦听，篡改，或非法访问。

常规网络保护策略有使用防*墙、安全路由器（安全网关）以及对拨号用户进行身份认证等。这些措施通常被称为"边界保护"，往往只着重于抵御来自网络外部的攻击，但不能阻止网络内部的攻击行为。

用户认证等的访问控制法，单纯依赖用户名和口令，也不足以抵御大多数网络攻击。例如，一台主机由多个用户共享，往往会发生人不在了，而机器却仍处于登录状态的情况，从而导致系统出现不安全因素。访问控制法*大的缺陷是一旦用户帐号被窃，根本无法阻止攻击者盗取网络资源。

还有一种比较少见的保护策略是物理级保护，就是保护实际的网络线路和网络访问节点，禁止任何未经授权的使用。但这种保护方式，当数据需要从数据源通过网络传输到目的地时，无法做到**数据的全程安全。

IPSec采用端-对-端加密模式，其基本工作原理是：发送方在数据传输前（即到达网线之前）对数据实施加密，在整个传输过程中，报文都是以密文方式传输，直到数据到达目的节点，才由接收端对其进行解密。IPSec对数据的加密以数据包而不是整个数据流为单位，这不仅更灵活，也有助于进一步提高IP数据包的安全性。通过提供强有力的加密保护，IPSec可以有效防范网络攻击，**专用数据在公共网络环境下的安全性。

一个完善的企业安全计划，应该是多种安全策略的有机组合，将IPSec与用户访问控制、边界保护以及物理层保护相结合，可以为企业数据通信提供更***的纵深防护。