IPSec 是一组基于加密的服务和安全协议,用以保护通过不可信任网络发送流量的设备之间的通信。 由于 IPSec 是建立在一组广为人知的协议和算法的基础上,因此您可以在 XTM 设备和许多其他支持这些标准协议的设备之间建立 IPSec VPN。 IPSec 使用的协议和算法将在后续部分中讨论。
加密算法可保护数据,防止数据在传输过程中被第三方读取。 Fireware XTM 支持三种加密算法:
身份验证算法用于认证数据的完整性和消息的真实性。 Fireware XTM 支持两种认证算法:
根据 RFC2409 的定义,IKE(Internet 密钥交换)是一种为 IPSec 设置安全关联的协议。 这些安全关联将建立共享的会话机密,并由此产生密钥,用于隧道数据的加密。 IKE 还被用于两个 IPSec 对等方的认证。
Diffie-Hellman (DH) 密钥交换算法可以产生两个实体都可用的共享加密密钥,而无需交换密钥。 以两个设备的加密密钥作为加密数据的对称密钥。 只有 DH 密钥交换涉及到的双方可以推导共享密钥,而且密钥从不通过线路发送。
Diffie-Hellman 密钥组是一组用于 Diffie-Hellman 密钥交换的整数。 Fireware XTM 可以使用 DH 组 1、2 和 5。 组的编号越大,所提供的安全性越强。
有关详细信息,请参阅“关于 Diffie-Hellman 组”。
根据 RFC 2402 的定义,AH(认证头)是可以在手动 BOVPN 第 2 阶段 VPN 协商中使用的协议。 为了保障安全,AH 向 IP 数据报添加了身份验证信息。 大多数 VPN 隧道不使用 AH,因为 AH 不提供加密。
根据 RFC 2406 的定义,ESP(封装安全负载)提供身份验证和数据加密。 ESP 将数据包的原始负载替换为加密数据, 并添加完整性检查,以确保数据在传输过程中未改变,而且数据来自于正确的源。 建议您在 BOVPN 第 2 阶段协商中使用 ESP,因为 ESP 比 AH 更加安全。 Mobile VPN with IPSec 始终使用 ESP。