IPsec 是建立在IP 上的協定套件。最初是用 IPv6 設計的,它也存在於 IPv4 中。
IPsec 能夠在 IP 層級上實現主機之間的加密通訊(即 TCP、HTTP、HTTPS、SSL 等上層不必知道其存在)。
嗯,聽起來不錯。我希望我的 http 流量超級用戶網站(或我的 UDP 種子流量)要加密。我該如何實現它?
Windows 十多年來一直支援 IPsec,但我不支持思考我的所有網路流量(即使用網際網路協定的任何內容)都是加密的。我該如何讓它進行?
您可以閱讀無數有關 IPsec 的技術細節:
- 身份驗證標頭
- 封裝安全有效負載
- 安全協會
- 運輸模式/隧道模式
但仍然沒有找到任何有關如何使用它的資訊。
至少VPN說得通。你必須找到一個VPN客戶端,並用它連接到VPN伺服器:
但這需要一個VPN伺服器在另一端。在此範例中,它不起作用,因為superuser.com沒有運行 VPN伺服器監聽端口1723。但 IPsec 不需要"伺服器"; IPsec 是內建於IP,且完全透明。
那麼如何對所有 IP 連線進行加密呢?我如何使用IPsec?
我對「網際網路協定安全」(IPsec)了解得越多,就越覺得您不能透過「網際網路」使用它 - 只能透過區域網路。
答案1
IPSec 建立在 IPv4 之上,並內建於 IPv6 中。然而,這並不意味著如果您正在交談的每個網站都透過 IPv6,您就可以「開啟」IPSec。
為了加密兩點之間的流量,兩個端點都必須參與加密。所以,是的,superuser.com 沒有執行 IPSec VPN 端點,因此您無法將 IPSec VPN 用戶端連接到它。如果它運行的是 IPv6,您仍然需要執行金鑰交換來驗證雙方的真實性並建立加密金鑰和方法。
在此之前,您在與 superuser.com 或任何其他網站通訊時,無法在 IPSec VPN 中端對端加密資料。提供加密會話的網站通常使用 SSL 來實現。
如果 IPSec 是您的首選方法,您能做的最好的事情就是確定距離您想要安全通訊的網站「附近」的 VPN 服務提供者。就從您連接的 VPN 閘道到您要造訪的網站的短跳數而言,接近。這意味著未加密的流量將在互聯網上傳輸更短的距離。
IPv4 上的 IPSec 確實在其本機形式的 NAT 方面存在困難,但是該協定有許多標準補充,允許其穿越 NAT。最常見且幾乎普遍實施的是 NAT-D,它使用 UDP/4500 作為其傳輸方式,而不是直接使用 ESP。