什麼是 IPSec?
IPSec 是一組用於建立安全網路連線的通訊規則或協定。網際網路通訊協定 (IP) 是確定資料如何透過網際網路傳輸的通用標準。IPSec 新增了加密與身分驗證,從而可確保協定更加安全。例如,它會在資料來源處對其進行編碼,並在目的地處進行解碼。它還會驗證資料來源。
為什麼 IPSec 很重要?
Internet Engineering Task Force 在 20 世紀 90 年代開發了 IPSec,以確保在存取公有網路時資料的機密性、完整性和真實性。例如,使用者可透過 IPSec 虛擬私有網路 (VPN) 連接到網際網路,以遠端存取公司檔案。IPSec 通訊協定對敏感資訊進行加密,以防止不必要的監控。伺服器還可以驗證接收到的資料封包是否已獲授權。
IPSec 有哪些用途?
IPsec 可用於執行下列動作:
- 透過公有網際網路傳送資料時提供路由器安全性。
- 加密應用程式資料。
- 如果資料來自已知寄件者,則快速對資料進行身分驗證。
- 透過設定稱為 IPsec 通道的加密電路來保護網路資料,該電路會對兩個端點之間傳送的所有資料進行加密。
組織會使用 IPSec 來防止重播攻擊。重播攻擊或中間人攻擊是透過將資料路由到中間電腦來攔截和改變進行中的傳輸的行為。IPSec 通訊協定會為每個資料封包指派一個序號,並執行檢查以偵測出重複封包的跡象。
什麼是 IPSec 加密?
IPSec 加密是一種軟體函數,可對資料進行加擾,以保護其內容免受未授權方的侵害。資料由加密金鑰進行加密,且需要解密金鑰來解碼資訊。IPSec 支援各種類型的加密,包括 AES、Blowfish、Triple DES、ChaCha 和 DES-CBC。
IPSec 使用非對稱和對稱加密在資料傳輸過程中提供速度和安全性。在非對稱加密中,加密金鑰是公有的,而解密金鑰則保持私密。對稱加密使用相同的公有金鑰來加密和解密資料。IPSec 透過非對稱加密建立安全連接,並切換到對稱加密以加快資料傳輸。
IPSec 如何運作?
電腦可透過以下步驟與 IPSec 通訊協定交換資料。
- 寄件者電腦透過驗證其安全策略來確定資料傳輸是否需要 IPSec 保護。如果是,電腦將啟動與收件人電腦的安全 IPSec 傳輸。
- 兩台電腦協商建立安全連接的要求。其中包括彼此就加密、身分驗證和其他安全關聯 (SA) 參數等達成一致。
- 電腦傳送和接收加密資料,驗證其是否來自受信任的來源。它會執行檢查,以確保基礎內容真實可靠。
- 一旦傳輸完成或會話已逾時,則電腦會結束 IPSec 連接。
什麼是 IPSec 通訊協定?
IPSec 通訊協定可安全地傳送資料封包。資料封包是一種特定的結構,可為網路傳輸格式化和準備資訊。它由標頭、酬載和標尾組成。
- 標頭是前面的部分,包含用於將資料封包路由到正確目的地的說明資訊。
- 酬載是描述資料封包中包含的實際資訊的術語。
- 標尾是附加到酬載尾部的附加資料,可用於指示資料封包的結束。
下面給出了一些 IPSec 通訊協定。
身分驗證標頭 (AH)
身分驗證標頭 (AH) 通訊協定新增了一個包含寄件者身分驗證資料的標頭,並可保護封包內容免受未授權方的修改。它提醒收件人,可能對原始資料封包進行了操作。接收資料封包時,電腦會將來自酬載的加密雜湊計算與標頭進行比較,以確保兩個值匹配。加密雜湊是一種數學函數,可將資料匯總為唯一值。
封裝安全酬載 (ESP)
根據所選的 IPSec 模式,封裝安全酬載 (ESP) 協定對整個 IP 封包或僅對酬載執行加密。ESP 在加密時為資料封包新增標頭和標尾。
網際網路金鑰交換 (IKE)
網際網路金鑰交換 (IKE) 是一種在網際網路上的兩個裝置之間建立安全連接的通訊協定。兩個裝置均已設定了安全關聯 (SA),其中涉及協商加密金鑰和演算法,以傳輸和接收後續資料封包。
什麼是 IPSec 模式?
IPSec 以兩種不同的模式運行,並且保護程度也各不相同。
通道
IPSec 通道模式適用於在公有網路上傳輸資料,因為它增強了對未授權方的資料保護。電腦會加密所有資料,包括酬載和標頭,並向其附加一個新標頭。
傳輸
IPSec 傳輸模式僅會加密資料封包的酬載,並將 IP 標頭保留其原始格式。未加密的封包標頭允許路由器識別每個資料封包的目的地地址。因此,IPSec 傳輸可用於緊密且受信任的網路中,例如保護兩台電腦之間的直接連接。
什麼是 IPSec VPN?
VPN (虛擬私有網路) 是一種聯網軟體,允許使用者以匿名且安全的方式瀏覽網際網路。IPSec VPN 是一種 VPN 軟體,它使用 IPSec 通訊協定在網際網路上建立加密通道。它提供端對端加密,這意味著會在電腦上對資料進行加擾,及在接收伺服器上對其進行解碼。
SSL VPN
SSL 代表 Secure Sockets Layer。它是一種保護 Web 流量的安全性通訊協定。SSL VPN 是一種基於瀏覽器網路安全服務,它使用內建的 SSL 通訊協定來加密和保護網路通訊。
IPSec VPN 和 SSL VPN 有什麼差別?
兩種安全性通訊協定皆適用於開放式系統互連 (OSI) 模型的不同層。OSI 模型定義了電腦如何在網路上交換資料的分層結構。
IPSec 通訊協定適用於 OSI 模型中間的網路和傳輸層。同時,SSL 在最上層的應用程式層對資料進行加密。您可以從 Web 瀏覽器連接到 SSL VPN,但必須安裝單獨的軟體才能使用 IPSec VPN。
AWS 如何支援 IPSec 連接?
AWS Site-to-Site VPN 是全受管服務,可使用 IPSec 通道在您的資料中心或分公司與您的 AWS 資源之間建立安全連線。使用 Site-to-Site VPN 時,您可以連接到 Amazon Virtual Private Clouds (VPC) 以及 AWS Transit Gateway,每個連接會使用兩條通道來增加冗餘。AWS Site-to-Site VPN 帶來了許多優勢好處,例如:
- 透過效能監控了解本機和遠端網路運作狀態。
- 將本機應用程式安全輕鬆地遷移到 AWS 雲端。
- 與 AWS Global Accelerator 整合時,提高了應用程式效能。
立即註冊 AWS 帳戶,就可以開始使用 AWS VPN。
