第3章 IPSec基本理论

3.1 基本原理介绍

IPSec 是一项标准的安全技术，它通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全。IPSec主要用于保护网络层（IP）数据，因此它提供了网络层的安全性。

图3-1所示为IPSec封装的示意图。

图3-1 IPSec封装示意图

图3-1上半部分所示是一个普通的IP数据包，下半部分所示是被IPSec加密后的数据包格式。不难看出IPSec技术在原始IP头部和IP负载之间插入了一个IPSec头部，这样可以对原始的IP负载实现加密，同时还可以实现对IPSec头部和原始IP负载的验证，以确保数据的完整性。

与我们在前一章中介绍的GRE技术相比，IPSec技术可以提供更多的安全特性，它对VPN流量提供了如下3个方面的保护。

私密性（Confidentiality）：数据私密性也就是对数据进行加密。这样一来，即使第三方能够捕获加密后的数据，也不能将其恢复成明文。

完整性（Integrity）：完整性确保数据在传输过程中没有被第三方篡改。

源认证（Authenticity）：源认证也就是对发送数据包的源进行认证，确保是合法的源发送了此数据包。