IPSec是專門設計為IP提供安全服務的一種協議(其實是一個協議族)。IPSec可有效保護IP數據報的安全，所采取的具體保護形式包括：數據源驗證;無連接數據的完整性驗證;數據內容的機密性保護;抗重播保護等。

　　使用IPSec協議中的認證頭(AH)協議和封裝安全載荷(ESP)協議，可以對IP數據報或上層協議(如UDP和TCP)進行保護，這種保護由IPSec兩種不同的工作模式(分別對應隧道模式和傳輸模式)來提供。其中AH可以驗證數據的起源、保障數據的完整性以及防止相同數據包的不斷重播。ESP除具有AH的所有能力之外，還可選擇保障數據的機密性，以及為數據流提供有限的機密性保障。

　　AH和ESP協議根據安全聯盟(SA)規定的參數為IP數據包提供安全服務。SA可以手工建立，也可以自動建立。IKE就是IPSec規定的一種用來自動管理SA的協議。IKE的實現可支持協商VPN，也可支持IP地址事先并不知道的遠程接入。IKE必須支持協商方不是SA協商發生的端點的客戶協商模式，這樣可以隱藏端方身份。

　　雖然到目前為止，全球安全專家普遍認為IPSec是最安全的IP協議，但也并非全是贊美之詞，最主要的批評是它的復雜性，因為系統復雜性是系統安全的主要威脅之一。IPSec有兩個運行模式：傳輸模式和隧道模式，有兩個安全協議：AH和ESP。

　　AH提供認證，ESP提供認證和/或加密。這導致了額外的復雜性：打算認證一個包的兩臺機器之間的通信總共有四種模式可供選擇：傳輸/AH，隧道/AH，空加密的傳輸/ESP以及空加密的隧道/ESP，而這些選擇之間的功能和性能差別都很小(因此沒有太大實際意義)。

　　產生這種問題的原因是IPSec是多個國家的安全專家經過多年的研究和討論后折衷的產物。因此有安全專家已經提出安全協議的設計原則應是多家競爭，擇優使用，正如AES(高級加密標準)那樣。

　　ATM/幀中繼VPN的“專用”性體現在虛電路連接的是一組閉合的用戶或社區，安全性保證主要來自它的“閉合用戶群(CUG)”的特性，假設運營商不會(惡意)錯誤配置而導致數據傳遞錯誤，不會監聽用戶的流量，不會不經過授權就進入用戶網絡，不會被修改，不會被非授權方進行流量分析等，根本不提供認證和加密等安全服務(當然如果用戶需要傳遞特別敏感的數據(如金融信息)等，通常需要采用用戶自己實施的鏈路加密等方法)。而對于IPSec VPN，連接的也是一組閉合的用戶或社區，但這時提供的安全服務還包括認證和加密等。因此可以這樣認為，IPSec比傳統的ATM/幀中繼 VPN更強的安全服務，是到目前為止最為安全的VPN技術。

總結

以上是生活随笔為你收集整理的IPSec的安全性如何？—微云MPLS的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。