IPsec 是建立在 IP 之上的协议套件。它最初是随 IPv6 设计的,但也存在于 IPv4 中。
IPsec 在 IP 级别上实现主机之间的加密通信(也就是说,上层协议如 TCP,或 HTTP,或 HTTPS,SSL 不需要知道它的存在)。
听起来不错。我希望我的 http 流量超级用户网(或我的 UDP torrent 流量)需要加密。我该如何实现?
十多年来,Windows 一直支持 IPsec,但我却不支持思考我的所有互联网流量(即使用互联网协议的任何流量)都已加密。我该如何加密?
你可以阅读到无数有关 IPsec 的技术细节:
- 身份验证标头
- 封装安全负载
- 安全关联
- 传输模式/隧道模式
但仍然找不到有关如何使用它的任何信息。
至少VPN有道理。你必须找到一个VPN 客户端,并用它来连接到VPN 服务器:
但这需要一个VPN 服务器在另一端。在这个例子中,它不起作用,因为superuser.com没有运行 vpn服务器监听端口1723。但 IPsec 不需要“服务器”;IPsec 是内置IP,并且完全透明。
那么,如何加密我的所有 IP 连接?如何使用IPsec?
我读到的关于“互联网协议安全”(IPsec)的内容越多,就越觉得它无法在“互联网”上使用它——只能在局域网上使用它。
答案1
IPSec 建立在 IPv4 之上,并内置于 IPv6 中。但这并不意味着,如果您所访问的每个站点都使用 IPv6,您就能够“打开”IPSec。
为了加密两点之间的流量,两个端点都必须参与加密。所以是的,superuser.com 没有运行 IPSec VPN 端点,因此您无法将 IPSec VPN 客户端连接到它。如果它运行的是 IPv6,您仍然需要执行密钥交换来验证双方的真实性并建立加密密钥和方法。
在此之前,您无法在与 superuser.com 或任何其他网站通信时在 IPSec VPN 中端到端加密数据。提供加密会话的网站通常使用 SSL 进行加密。
如果您首选 IPSec 方法,那么最好的办法就是找到一个“靠近”您想要安全通信的站点的 VPN 服务提供商。“靠近”是指您连接的 VPN 网关与您想要访问的站点之间的跳数较短。这意味着未加密的流量将在互联网上传输较短的距离。
IPv4 上的 IPSec 在其原生形式下确实难以处理 NAT,但是该协议中有许多标准附加功能使其能够穿越 NAT。最常见且几乎普遍实施的是 NAT-D,它使用 UDP/4500 作为传输协议,而不是直接使用 ESP。