IPSec抵御网络攻击解析

网络攻击者要破译经过IPSec加密的数据，即使不是**不可能，也是非常困难的。根据不同类别数据对于保密需求的不同，IPSec策略中有多种等级的安全强度可供选择。使用IPSec可以显著地减少或防范几种常见的网络攻击。

Sniffer：Sniffer可以读取数据包中的任何信息，因此对抗Sniffer，*有效的方法就是对数据进行加密。IPSec的封装安全载荷ESP协议通过对IP包进行加密来**数据的私密性。

数据篡改：IPSec用密钥为每个IP包生成一个数字检查和，该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改，都会改变检查和，从而可以让接收方得知包在传输过程中遭到了修改。

身份欺骗，盗用口令，应用层攻击：IPSec的身份交换和认证机制不会暴露任何信息，不给攻击者有可趁之机，双向认证在通信系统之间建立信任关系，只有可信赖的系统才能彼此通信。

中间人攻击：IPSec结合双向认证和共享密钥，足以抵御中间人攻击。

**服务攻击：IPSec使用IP包过滤法，依据IP地址范围、协议、甚至特定的协议端口号来决定哪些数据流需要受到保护，哪些数据流可以被允许通过，哪些需要拦截。

通常IPSec提供的保护需要对系统做一定的修改。但是IPSec在IP传输层即第三层的"策略执行"（strategic implementation）几乎不需要什么额外开销就可以实现为绝大多数应用系统、服务和上层协议提供较**别的保护；为现有的应用系统和操作系统配置IPSec几乎无须做任何修改，安全策略可以在Active Directory里集中定义也可以在某台主机上进行本地化管理。

IPSec策略在ISO参考模型第三层即网络层上实施的安全保护，其范围几乎涵盖了TCP/IP协议簇中所有IP协议和上层协议，如TCP、UDP、ICMP，Raw（第255号协议）、甚至包括在网络层发送数据的客户自定义协议。在第三层上提供数据安全保护的主要优点就在于：所有使用IP协议进行数据传输的应用系统和服务都可以使用IPSec，而不必对这些应用系统和服务本身做任何修改。

运作于第三层以上的其他一些安全机制，如安全套接层SSL，仅对知道如何使用SSL的应用系统（如Web浏览器）提供保护，这极大地限制了SSL的应用范围；而运作于第三层以下的安全机制，如链路层加密，通常只保护了特定链路间的数据传输，而无法做到在数据路径所经过的所有链路间提供安全保护，这使得链接层加密无法适用于Internet或路由 Intranet 方案中的端对端数据保护。

加密技术作为一种强有力的安全保护措施，一方面它能给予数据通信以全方位的保护，另一方面也会大幅增加管理开销。IPSec基于策略的管理则有效地避免了这一缺陷。IPSec组策略用于配置IPSec安全服务（IPSec不必在API或操作系统中配置），这些策略为大多数现有网络中不同类别的数据流提供了各种级别的保护。针对个人用户、工作组、应用系统、域、站点或跨国企业等不同的安全要求，网络安全管理员可以配置多种 IPSec 策略以分别满足其需求。例如Windows 2000的 "IPSec 策略管理"，既可以在Active Directory中为域成员集中定义IPSec策略，也可以为非域成员定义IPSec本地计算机策略。