第3章 IPSec基本理論

3.1 基本原理介紹

IPSec 是一項標準的安全技術，它通過在數據包中插入一個預定義頭部的方式，來保障OSI上層協議數據的安全。IPSec主要用于保護網絡層（IP）數據，因此它提供了網絡層的安全性。

圖3-1所示為IPSec封裝的示意圖。

圖3-1 IPSec封裝示意圖

圖3-1上半部分所示是一個普通的IP數據包，下半部分所示是被IPSec加密后的數據包格式。不難看出IPSec技術在原始IP頭部和IP負載之間插入了一個IPSec頭部，這樣可以對原始的IP負載實現加密，同時還可以實現對IPSec頭部和原始IP負載的驗證，以確保數據的完整性。

與我們在前一章中介紹的GRE技術相比，IPSec技術可以提供更多的安全特性，它對VPN流量提供了如下3個方面的保護。

私密性（Confidentiality）：數據私密性也就是對數據進行加密。這樣一來，即使第三方能夠捕獲加密后的數據，也不能將其恢復成明文。

完整性（Integrity）：完整性確保數據在傳輸過程中沒有被第三方篡改。

源認證（Authenticity）：源認證也就是對發送數據包的源進行認證，確保是合法的源發送了此數據包。